De meerderheid van Europese organisaties zijn te weinig bewust van de noodzaak om bedrijfskritische applicaties béter te beveiligen dan de overige programma’s in het bedrijf. Dat blijkt uit onderzoek van CyberArk. Bedrijven hebben vaak voor hun ERP– en CRM-systemen hetzelfde niveau van beveiliging als voor andere apps of diensten die veel minder relevant zijn voor de dagelijkse bedrijfsvoering. Opvallend, want voor veel organisaties leidt de geringste downtime van belangrijke systemen al tot grote problemen.
Iets meer dan de helft van de ondervraagde bedrijven (56 procent) gaf aan in de afgelopen twee jaar te maken te hebben gehad met gegevensverlies, datalekken of downtime van services. Nederland staat op dit gebied met 67 procent op de tweede plaats, achter Zwitserland (71 procent). Toch denkt 72 procent van de organisaties (Nederland: 77 procent) prima in staat te zijn om cyberaanvallen aan de rand van het netwerk tegen te houden. Een opvallende discrepantie in de focus van de security-strategie en de visie op wat het meest waardevol is in het bedrijf. 69 Procent van de ondervraagde bedrijven geeft aan dat ze qua security niet de focus leggen op bedrijfskritische applicaties, of, erger nog, geen idee hebben hoe het is geregeld.
Bedrijfskritische applicaties gewilde doelen voor hackers
Issues met belangrijke operationele systemen leiden niet alleen tot downtime, maar kunnen ook aanvullende kosten zoals schadevergoedingen en boetes opleveren. De gemiddelde kosten van een aanval op een ERP-systeem liep vorig jaar op tot 5,5 miljoen dollar, becijferde CyberArk. Vorig jaar was in de helft van alle securitygevallen de georganiseerde misdaad de verzoorzaker, vaak doordat er misbruik gemaakt kon worden van privileges binnen IT-systemen.
“Iedere organisatie heeft zijn bedrijfskritische applicaties. Wanneer deze uitvallen of corrupt raken, merkt een organisatie dat meteen”, zegt David Higgins, EMEA technical director bij CyberArk. “Door het belang van deze systemen en de informatie die erop staat, staan ze vaak bovenaan de lijstjes van hackers.”
Security op het juiste niveau
CyberArk definieert in een e-book vijf oplossingen om bedrijfskritische applicaties op een juist niveau te beschermen. Zo zou een organisatie goed in kaart moeten brengen welke applicaties inderdaad cruciaal op operationeel gebied. Daarnaast is het raadzaam je te verdiepen in de cloud, nu steeds meer bedrijfskritische apps daarheen worden verplaatst of als service worden afgenomen. Weet bovendien hoe de diensten en applicaties in de cloud beveiligd zijn en worden. Wanneer de cruciale bedrijfsapplicaties in kaart zijn gebracht, is het zaak om alle beheersinformatie die aan deze apps gekoppeld zijn, inclusief de onderliggende infrastructuur, te wijzigen en beveiligen. Isoleer sessies om diefstal van inloggegevens te voorkomen en biedt een volledig controletraject van alle activiteiten op de bedrijfskritische applicaties.
Mens én machine beschermen
Naast het trainen van de zwakke, menselijke schakel is het belangrijk om de beveiliging van bedrijfskritische applicaties zelf kritisch tegen het licht te houden. Het gebruik van hardcoded credentials betekent namelijk een aanzienlijk beveiligingsrisico voor bedrijfskritische applicaties en moet worden geëlimineerd.
Tot slot adviseert CyberArk om lokale beheerdersrechten van werkstataions te verwijderen om zo het downloaden van malware te voorkomen. Bovendien is het investeren in antiphishing-bescherming en de training en het bewustzijn van eindgebruikers onmisbaar in de bescherming van bedrijfskritische applicaties, naast alle technologische maatregelen.
“CISO’s moeten prioriteiten stellen en een risico gebaseerde aanpak hanteren om hun bedrijfskritische applicaties rigoureus te beschermen en vooral het priviliged access te beveiligen, zodat die accounts bruikbaar blijven, ongeacht welke aanvallen er op het netwerk afkomen”, zegt Higgins.