Cyberverzekeringen: steeds vaker hoor of zie je er iets over, bijvoorbeeld in het nieuws. Het is misschien niet voor elke organisatie even relevant of noodzakelijk, maar toch is het iets waar veel organisaties zich in verdiepen. Niet gek, als je je bedenkt dat het dreigingslandschap steeds complexer wordt en organisaties hierin mee willen bewegen. Bedrijven moeten immers veilige manieren vinden om door dat landschap te navigeren om ten minste een deel van hun activiteiten uit te voeren: om relevant te blijven, handel en logistiek te beheren en hun zichtbaarheid en reputatie op te bouwen en te behouden. Een cyberverzekering kan in dit geval dan ook een beschermingsmaatregel zijn tegen de risico's die periodiek kunnen leiden tot een beveiligingsinbreuk. Daarnaast is het hebben van een cyberverzekering zeker met het oog op nieuwe cybersecurityrichtlijnen en wetgeving, zoals de NIS2, helemaal geen gek idee.
Veel cyberverzekeringspolissen sluiten specifieke beveiligingskwesties echter uit en hier moet een organisatie dan ook zeker scherp op zijn. Verzekeringsaanbieders zijn bijvoorbeeld eerder geneigd om de dekking stop te zetten wanneer een bedrijf niet reageert op een bekend beveiligingslek in software, ondanks het feit dat het bedrijf toegang heeft tot door de industrie ondersteunde updates. Niet patchen kan in sommige gevallen leiden tot een beveiligingslek. Uit het IBM Security's Cost of a Data Breach Report 2022 blijkt dat 13% van de beveiligingslekken te herleiden zijn naar kwetsbaarheden in software van derden. Verzekeraars hebben dus terechte vooroordelen. Helaas brengen bedrijven die nalaten kwetsbaarheden in software van derden aan te pakken zichzelf in een zwakke beveiligingstoestand. De tijd die namelijk nodig is om een inbreuk te identificeren en in te dammen bedraagt gemiddeld 284 dagen. Dit verzwakt de capaciteit van securitybeheerders en verhoogt tegelijkertijd de kosten, waardoor bedrijven in gevaar komen. Hoewel een cyberverzekering dus een achterhoedegevecht is tegen acute risico's, pakken hoogwaardige oplossingen die zich richten op het beheren van kwetsbaarheden en patches de kern van het probleem voor bedrijven aan.
Om deze uitdagingen voor bedrijven en bijbehorende risico's te beheren, heeft ESET haar eigen Vulnerability Assessment en Patch Management gelanceerd. Deze functionaliteit is toegevoegd aan het ESET PROTECT-platform. Dit platform helpt bedrijven van elke omvang proactief beveiligingsrisico's tijdig en efficiënt te detecteren en te verhelpen, waardoor het risico op datalekken en andere cyberaanvallen afneemt en proactief de belangrijkste aansprakelijkheidsrisico's worden aangepakt, die een voorwaarde zijn voor cyberverzekering.
Vulnerability en patch management helpt tekortkomingen van het mkb op het gebied van security aan te pakken
Vulnerability assessment en patch management zijn vaak een vereiste van aanbieders van cybersecurityverzekeringen, wat niet verwonderlijk zou moeten zijn, aangezien het securitylandschap snelle acties vereist wanneer een dreiging zich voordoet. Het beheren van kwetsbaarheden, een kernactiviteit in IT-beveiliging, beschermt bedrijven tegen cyberaanvallen en voorkomt hierdoor onderbrekingen in de bedrijfsvoering als gevolg van niet-gepatchte bekende kwetsbaarheden.
Dit is belangrijk, omdat de gemiddelde kosten van een datalek in 2022 werden berekend op bijna 4,35 miljoen dollar, waarbij een ServiceNow-onderzoek uit 2022, uitgevoerd door het Ponemon Institute, aantoonde dat 57% van de slachtoffers zegt dat de inbreuken plaatsvonden vanwege niet-gepatchte kwetsbaarheden. Wat nog erger is, volgens hetzelfde onderzoek, is dat 34% op de hoogte was van deze kwetsbaarheden, in welk geval ze direct aansprakelijk zouden zijn en hun dekking waarschijnlijk zou worden ingetrokken.
Om aanvallers voor te blijven, bieden kwetsbaarheden- en patchbeheer de nodige tools om problemen te rapporteren en te beheren. Veel bedrijven hebben hulp nodig bij het beheren van patches en updates voor hun hele netwerk, wat vaak leidt tot vertraagde of onvolledige patching, waardoor hun endpoints worden blootgesteld aan potentiële aanvallen. Daarnaast kan het moeilijk en tijdrovend zijn om kwetsbaarheden te identificeren en te prioriteren op basis van ernst, wat leidt tot inefficiënte toewijzing van middelen en een verhoogd risico.
Mkb-bedrijven die op zoek zijn naar best practices om hun traject voor kwetsbaarheden- en patchbeheer in kaart te brengen, hoeven niet ver te zoeken; Managed Service Providers (MSP) hebben dit tot de kern van hun bedrijfsmodel gemaakt. Som staat het zelfs centraal in hun dienstenaanbod, voorafgaand aan het leveren van endpointbeveiliging aan klanten. Dit feit toont de noodzaak aan van een kwalitatief hoogstaande administratie rondom het beoordelen en beheren van kwetsbaarheden en patches. Dit is één van de redenen dat steeds meer mkb’ers de beveiliging van hun bedrijfsnetwerk uitbesteden.
Omdat kleine bedrijven niet altijd op de hoogte zijn of kunnen blijven van cyberrisico's en kwetsbaarheden die grote impact kunnen hebben op hun bedrijf, is een basiskennis van de beschikbare dekkingen en de noodzakelijke afstemming (van bijvoorbeeld IT-beveiligingsinfrastructuur en -processen) op de polissen een goed uitgangspunt. Inzicht in deze baseline laat zien wat de juiste aanpak is aan de kant van de verzekeraar en de klant. Aan de kant van de klant kan die rol worden vervuld door een ervaren IT-beveiligingsbeheerder of, als alternatief, via een MSP of MSSP, omdat zij endpointbeveiliging op enterpriseniveau kunnen bieden en taken op het gebied van het vinden en verhelpen van kwetsbaarheden kunnen uitvoeren.
De groeiende belasting van technologie-adoptie versus cybersecurity
De prioritering van cybersecurity moet gelijke tred houden met de toenemende adoptie van digitale technologieën. Een opvallend voorbeeld is de voortdurende opmars van bedrijven naar de cloud, die gezien wordt in het eerdergenoemde IBM Security's Cost of a Data Breach Report 2022. Een groter deel van de risico's (45%) waar bedrijven mee kampen is afkomstig van inbreuken via de cloud. Dit toont aan dat bedrijven die de security intern beheren serieus werk moeten maken van een groeiend aantal basisprincipes, waaronder de beoordeling van kwetsbaarheden en patchbeheer. MSP's, die hebben laten zien dat ze bedreven zijn in het mogelijk maken van digitale transformatie en het beheren van cloudgebaseerde applicaties, zijn ook van vitaal belang bij het vergroten van de veiligheid van hun klanten door deze basis te dekken. Wanneer ze worden geïmplementeerd en onderhouden in combinatie met endpointbeveiliging, zijn Vulnerability Assesment en Patch Management eerstelijnsmiddelen bij het beperken van cyberaanvallen, waaronder supply chain-, zero day- en phishingaanvallen, nu gebruikers steeds meer het doelwit worden.
Als herinnering aan zowel verandering als vooruitgang in het omgaan met de veranderende dreigingsomgeving, hebben bedrijven van alle groottes zich steeds meer gericht op detectie- en responsmogelijkheden, zoals extended detection & response-oplossingen (XDR). Maar gebieden die te maken hebben met de preventiefase, zoals het beoordelen van kwetsbaarheden en patchbeheer, blijven de basis van een sterke basisbeveiliging.
Hoe ESET kan helpen met ESET Vulnerability & Patch Management
De behoefte aan goede oplossingen voor het beheer van kwetsbaarheden en patches is alomtegenwoordig en voor het mkb, of het nu interne investeringen doet of de IT uitbesteed aan een MS(S)P’er, zijn er grote mogelijkheden om krachtige geautomatiseerde en gebruiksvriendelijke beveiligingsoplossingen te gebruiken.
"Omdat cyberaanvallen blijven evolueren en security-eisen steeds complexer worden, hebben we ervoor gezorgd dat ons enterprisewaardig aanbod nu duidelijk de veranderende behoeften weerspiegelt van bedrijven van alle groottes terwijl ze door het dreigingslandschap navigeren," zegt Michal Jankech, vicepresident van ESET’s mkb- en MSP-segment. "We zijn hier om te helpen. Met de lancering van ESET Vulnerability and Patch Management voor ESET PROTECT, bieden we de oplossing om snel kwetsbaarheden op te lossen, waardoor zowel de verstoring als de kosten voor bedrijven tot een minimum worden beperkt," vervolgt Jankech.
In navolging van verzekeraars is het aanpakken van inefficiënties rond het detecteren van kwetsbaarheden, het beheren van patches en het uitvoeren van updates over volledige netwerken een fundament van goede beveiligingspraktijken. Mkb-bedrijven willen een gebruiksvriendelijke oplossing die hen veilig houdt. Het aanpasbare patchingbeleid in ESET Vulnerability and Patch Management geeft bedrijven flexibiliteit en controle zodat hun endpoints snel optimaal gepatcht kunnen worden, waardoor het risico op aanvallen geminimaliseerd wordt. Het gebruik van deze mogelijkheid zorgt er ook voor dat ze kunnen voldoen aan steeds strengere eisen op het gebied van cyberverzekering en regelgeving en dat ze voldoen aan de normen voor verschillende ISO-eisen, die op hun beurt een nauwkeurige weerspiegeling vormen van uw beveiligingsomgeving.