De (e-mailbeveiligings)kloof dichten tijdens de pandemie

Digitale transformatie is geen nieuw concept. Maar toen de pandemie begin 2020 toesloeg, zorgde dit voor een turbo-effect op de digitale transformatie van bedrijven, aangezien organisaties - en hun werknemers - zich haastig moesten aanpassen. Terwijl massa's professionals thuis begonnen te werken, werden hun acties en gedragingen plotseling een nieuwe zorg voor IT-beveiligingsteams van ondernemingen.

In het middelpunt van alles: e-mail.

In een paar korte maanden tijd verscheen golf na golf van aanvallen op - velen met slimme en gevarieerde methoden om kwetsbaarheden uit te buiten. Het werd al snel duidelijk dat e-mailbeveiliging in het tijdperk van de coronavirussen van cruciaal belang is. IT-directeuren en cyberbeveiligingsteams moeten er in hoge mate op kunnen vertrouwen dat zij de cyberaanvallen die onvermijdelijk zijn, kunnen afslaan.

Uit een recent onderzoek van Censuswide onder 509 Britse IT-directeuren, in opdracht van Mimecast, blijkt dat deze bedrijfsleiders erkennen hoe de omgeving aan het veranderen is en hoe de versnelde invoering van digitale technologie hiaten in de e-mailbeveiliging en potentiële zwakke plekken heeft geïntroduceerd. Velen hebben stappen ondernomen om de bescherming aan te scherpen.

De keerzijde is echter dat hun perceptie van de bescherming die de ingebouwde beveiliging van hun platforms biedt, niet altijd overeenkomt met de werkelijkheid. En die kloof laat zien dat veel Britse bedrijven mogelijk niet voldoende beschermd zijn.

Nieuwe inzet voor basis Cyberbeveiliging

Een van de dingen die opvallen in de enquêtegegevens is hoezeer de situatie is veranderd sinds de pandemie uitbrak. Denk maar aan:

• 75% van de bedrijven heeft enige versnelling van hun digitale transformatie-initiatieven gezien als gevolg van COVID-19.
• 50% gaf als reden hiervoor aan dat men zich in de toekomst tegen nieuwe lockdowns moet kunnen beschermen, maar 47% wees ook op de noodzaak beter beschermd te zijn tegen cyberaanvallen.
• 56% zegt getuige te zijn geweest van meer pogingen tot cyberaanvallen via e-mail.
• 51% geeft aan dat het tegengaan van cyberaanvallen via e-mail meer tijd van hun organisatie in beslag neemt dan voor de pandemie.

Ondertussen bevestigen het Britse National Cyber Security Centre (NCSC) en het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) in een gezamenlijke verklaring dat ransomware, betalingsfraude, bedrijfsspionage, diefstal van intellectuele eigendom en desinformatiecampagnes de afgelopen maanden allemaal sterk zijn toegenomen.[1] Een groter aantal aanvallen en steeds geavanceerdere methoden leiden natuurlijk tot een groter risico op een inbreuk. Maar dat is slechts een deel van het probleem. Meer tijd om brandjes te blussen betekent dat de beveiligingsteams van ondernemingen nog dunner worden opgerekt - in een tijd waarin ze worden gevraagd de kosten en complexiteit te beperken - en dat het voor hen nog moeilijker wordt om de cyberbeveiligingscurve voor te blijven.

Het probleem wordt nog vergroot door de aard van het thuiswerken. Uit de enquête kwamen een paar belangrijke trends naar voren:

• 52% van de respondenten zegt dat werknemers meer gebruik zijn gaan maken van e-mail op het werk voor persoonlijke redenen.
• 57% meldde dat werknemers hun e-mail op het werk gebruiken om persoonlijke aankopen of transacties te doen.

Deze vermenging van activiteiten is een probleem. Het verhoogt het risico op een inbreuk. Als gevolg hiervan zegt 53% dat werknemers nu de grootste kwetsbaarheid van hun organisatie op het gebied van cyberbeveiliging zijn en 54% dat hun e-mailplatform de kern van de cyberbeveiligingsdefensie van hun organisatie is geworden.

Kloven tussen perceptie en realiteit in e-mailbeveiliging

Hoewel IT-directeuren zich zorgen maken over het vermogen van hun e-mailplatforms om cyberaanvallen af te schrikken, zijn ze van mening dat deze platforms een adequate beschermingslaag bieden. Maar in het geval van megaplatforms zoals Microsoft 365 - dat door 86% van de respondenten wordt gebruikt - is hun grootste kracht ook hun achilleshiel: door hun alomtegenwoordigheid zijn ze een zeer waardevol doelwit voor cyberaanvallen, terwijl hun monocultuur het moeilijk maakt om het volledige scala aan potentiële aanvallen te voorkomen. Volgens de State of Email Security 2021 heeft 42% van de Britse respondenten te maken gehad met een e-mailstoring bij Microsoft 365 die ernstige of matige gevolgen had voor hun organisatie. Dit heeft ertoe geleid dat meer dan een kwart (27%) een beveiligingslaag bovenop MS 365 heeft toegevoegd.

Die tweedeling komt duidelijk naar voren in de enquêteresultaten. Als we dieper graven, blijkt de perceptie van Britse IT-directeuren niet te stroken met de actualiteit. Bijvoorbeeld:

• 56% is van mening dat hun e-mailplatform hen volledig beschermt.
• 58% denkt dat hun e-mailplatform hun leveranciers, klanten en partners beschermt tegen aanvallers die zich proberen voor te doen als hun organisatie.

Maar:

• 56% merkte op dat hun e-mailplatform geen bescherming tegen ransomware of anti-phishing biedt.
• 64% zegt dat het platform geen bescherming biedt tegen aanvallen op het compromitteren van zakelijke e-mail.
• 65% gaf aan geen bescherming tegen zero-day bedreigingen te hebben.

Nog verbazingwekkender is het feit dat minder dan de helft van alle IT-directeuren meldt dat hun huidige e-mailplatform essentiële functionaliteit biedt, zoals antivirus (40%), bescherming tegen malware (42%), spamfilters (45%) en e-mailback-up (42%).

Effectieve e-mailbeveiliging is missiekritisch geworden

Hoewel sommige IT-directeuren actief proberen hun strategie voor cyberbestendigheid van e-mail te verbeteren, blijven er aanzienlijke barrières bestaan. Zo is het moeilijk de leiding ervan te overtuigen meer in beveiliging te investeren en bestaat er bezorgdheid over de verwarring onder de werknemers. Nogmaals, uit het Britse onderzoek:

• 49% van de IT-directeuren vreest dat de inzet van nieuwe cyberbeveiligingssoftware hun werknemers in verwarring zal brengen.
• 42% zegt niet genoeg te weten over beveiligingsoplossingen van derden om erin te investeren.
• 35% vindt het moeilijk te rechtvaardigen budget uit te geven aan deze oplossingen voor leiderschap.

Slechts 54% van de IT-directeuren was het ermee eens dat, mocht er een inbreuk plaatsvinden, hun organisatie in staat zou zijn om de e-mailgegevens binnen 24 uur te herstellen. Slechts 53% van de IT-directeuren was het ermee eens dat beveiliging een top drie-factor was bij de keuze van hun organisatie voor een e-mailplatform. Daar komt nog bij dat er een tekort is aan training op het gebied van beveiligingsbewustzijn: Slechts een kwart (26%) van de Britse respondenten van de State of Email Security merkte op dat hun organisaties hun werknemers trainen om cyberaanvallen te herkennen.

De kern van de zaak

Veel organisaties spelen Russische Roulette met cyberbeveiliging. Hun e-mailplatforms houden hun organisaties niet veilig. Door massaal over te stappen op een monocultuurbenadering van e-mailbeveiliging (en door te proberen de complexiteit te verminderen en de waarde van hun bestaande investeringen te vergroten), ondermijnen ze in feite de beveiliging en nemen ze het cyberrisico toe.

Zij gaven toe dat zij een dergelijke aanval niet konden identificeren en tegengaan voordat deze verdere schade aan hun netwerk zou toebrengen en hun bredere bedrijfsecosysteem in gevaar zou brengen. De uitdaging hier is een mono-cultuurbenadering die voortkomt uit een toenemende afhankelijkheid van zakelijke softwaremegaplatforms. De oplossing is cybersecurity defence-in-depth, een gelaagde, multiculturele benadering die de native beveiligingsmogelijkheden van een platform versterkt met een meer doordringende benadering van e-mailbeveiliging waarbij het bredere beveiligingsecosysteem wordt betrokken. Die meer holistische benadering zal beveiligingsprofessionals helpen de gaten te dichten.

[1] "COVID-19 Exploited by Malicious Cyber Actors," Cybersecurity and infrastructure Security Agency, UK.