Veel bedrijven en organisaties hebben hun cybersecurity nog steeds niet op orde. Zo gebruiken veel websites verouderde technologie en zijn daarmee kwetsbaar voor cyberaanvallen. Wel is het totale aantal kwetsbaarheden minder dan voorgaande jaren.
Half miljoen
Dat blijkt uit de resultaten van de Webscan van BDO Accountants & Adviseurs. In dit jaarlijkse onderzoek kijkt BDO naar de digitale veiligheid van bedrijven en organisaties aan de hand van een scan van kwetsbaarheden op websites. Voor de laatste editie zijn ongeveer een half miljoen Nederlandse websites geanalyseerd. Om een goede vergelijking te maken, is naar dezelfde elementen gekeken als in eerdere jaren. Recente belangrijke kwetsbaarheden zoals Log4j en Spring4Shell, die diepgaander onderzoek vereisen, zijn niet in de webscan meegenomen.
Configuratie
Uit de resultaten van de webscan blijkt dat bijna de helft van alle websites niet goed is geconfigureerd. Daarnaast wordt bij één op de vijf een onveilige verbinding aangetroffen en bij een kwart van de websites open poorten, waardoor kwaadwillenden mogelijk een weg naar binnen kunnen vinden. Ook de e-mailbeveiliging is in veel gevallen niet op orde, waardoor spoofing (adresvervalsing) mogelijk is.
Achteraf
Volgens Kees Plas, partner bij BDO Digital, is het tijd dat cybersecurity de topprioriteit wordt van organisaties en bedrijven: “Nog steeds zijn helaas veel websites kwetsbaar, zo blijkt uit de webscan. We zien dat cybersecurity vaak achteraf een plaats krijgt in processen, maar eigenlijk moet het aan de voorkant goed ingeregeld zijn. Telkens met updates of patches nieuwe kwetsbaarheden achteraf verhelpen, is op lange termijn geen houdbare strategie. Daarmee bagatelliseer je ook het gevaar van cyberaanvallen. Cybersecurity moet echt een integraal onderdeel worden van de bedrijfsprocessen van elke organisatie, ongeacht de grootte daarvan. Dat gaat verder dan het beschermen van de eigen organisatie, het is ook een kwestie van maatschappelijke verantwoordelijkheid. Want in veel gevallen wordt bijvoorbeeld met persoonsgegevens gewerkt, of is de onderlinge afhankelijkheid binnen aanleverketens groot. Dan kun je het je simpelweg niet meer veroorloven cybersecurity op het tweede plan te zetten.”
Topje van de ijsberg
Met de non-intrusive webscan analyseert BDO websites op vier technische onderdelen: connectie, management, configuratie en security. Bij connectie gaat het om de (beveiligde) verbinding van de gebruiker met de website. Management richt zich op de vraag of er poorten naar de managementinterface open staan. Configuratie gaat over in hoeverre de website gevoelige, technische informatie prijsgeeft die criminelen kan helpen om een website of organisatie binnen te dringen. Onder security worden een aantal beveiligingsinstellingen gerekend. Bij diverse onderzoeken waarin BDO in opdracht verder kijkt dan ‘non-intrusive’ worden vaak meer en ernstigere kwetsbaarheden gevonden. Het lijkt hier dus om het topje van de ijsberg te gaan.
Bron: BDO
Geef een reactie