Cybersecurity Awareness Month heeft radicale herziening nodig en een stimulans van wetgevers
“Zonder naar het officiële thema van deze editie van CSAM te kijken, gaf ik vorige week het gebruikelijke advies aan een collega: gebruik sterke en unieke wachtwoorden, schakel multi-factor authenticatie (MFA) in en vermijd het klikken op phishing-links. En ja hoor, dit zijn bijna alle belangrijke punten van “Secure Our World”, het officiële thema van dit jaar” aldus Tony Anscombe, ESET Chief Security Evangelist.
Door de overvloed aan dergelijke richtlijnen die elke oktober circuleren, zou men denken dat dit genoeg zou moeten zijn om een veilige en beveiligde cyberspace te creëren. Maar is dit advies efficiënt geweest in het aanzetten tot zinvolle gedragsverandering en het helpen aanpakken van de toenemende veiligheidsrisico’s van vandaag en morgen?
Na een decennium waarin dezelfde richtlijnen werden gepromoot, is het tijd voor de industrie om te heroverwegen, wetten te maken en betere cybersecuritypraktijken af te dwingen, vooral waar persoonlijk identificeerbare informatie (PII) of andere waardevolle gegevens op het spel staan. “Ik ben geen fan van het oplossen van problemen met wet- en regelgeving, maar de vooruitgang die we nodig hebben is er niet”, zegt Tony Anscombe. Veel populaire onlinediensten en apps bieden nog geen MFA, en als ze het wel doen, is het niet standaard ingeschakeld. CSAM zou volgend jaar dit onderwerp volledig kunnen weglaten als alle bedrijven die PII opslaan, verplicht waren MFA standaard in te schakelen op alle gebruikersaccounts.
In 2017 was Apple een van de dappere bedrijven die MFA voor alle gebruikers afdwong. Hebben ze gebruikers verloren? Is hun aandelenkoers gedaald? “Nee”. Als ze geen alternatief hebben, zullen gebruikers een verbeterde beveiligingspraktijk aannemen en zo hun gegevens veilig houden.
Een ander voordeel van het standaard inschakelen van MFA voor iedereen is dat het de risico’s gepaard aan het hergebruiken van wachtwoorden, aanzienlijk zou verminderen. Een hergebruikt wachtwoord ondersteund door MFA, veroorzaakt minder snel problemen. Dit wil niet zeggen dat het acceptabel is om zwakke wachtwoorden te gebruiken of wachtwoorden op meerdere sites te hergebruiken. De nadruk op sterke en unieke wachtwoorden zal afnemen, omdat de toegevoegde MFA-laag diefstal van inloggegevens aanzienlijk zal helpen voorkomen.
Als diefstal van inloggegevens al zo lang een groot probleem is, is het tijd om erbij stil te staan. We hebben hiervoor efficiënte precedenten gezien, zoals de AVG (Algemene Verordening Gegevensbescherming). De EU realiseerde zich dat bedrijven zonder strenge regelgeving de weg van de minste weerstand zouden blijven kiezen: gegevens verzamelen en deze zonder encryptie opslaan, wat een Far West-benadering van gegevensbescherming was. Het kost geld om dingen veilig te houden, maar zuinige Chief Financial Officers zouden kortetermijnwinst boven langetermijn-beveiliging kiezen. De AVG veranderde dit, daar forse boetes het budget rechtvaardigen voor goede gegevensbeveiligingsmaatregelen.
Als sterke en unieke wachtwoorden en MFA worden gebruikt, wordt volgend jaar tijdens CSAM niet meer gepredikt over basisbeveiligingspraktijken. Na jaren hierop te hebben gehamerd, zou het gesprek eindelijk kunnen evolueren. De aandacht zou naar de wijdverbreide praktijken kunnen gaan waarbij mensen opgelicht worden en hun zuurverdiende geld kwijt spelen. Een deel hiervan wordt vandaag al behandeld, maar te vaak raakt het gewoon in de vergetelheid.
Het is dus tijd om het onderwerp te verleggen en wetten te maken over wat sommige bedrijven in de sector niet hebben geïmplementeerd, zodat de cruciale educatie over echte cybersecurityproblemen de krantenkoppen worden.
Dit artikel is geschreven door een van onze partners en valt buiten de verantwoordelijkheid van de redactie.
