"Kwetsbaarheden zijn vaak makkelijk te verhelpen", zegt de cybersecurity-specialist. "Het is zaak gevoeligheden tijdig te ontdekken en de risico's te mitigeren. Te vaak worden websites en infrastructuren opgezet en als veilig beschouwd. Kwetsbaarheidsmanagement en veiligheid zijn na oplevering vaak niet langer prioriteit voor de organisatie. De veiligheid komt vaak pas weer in beeld nadat cybercriminelen hun slag hebben geslagen.
Overheid
In Nederland zijn, volgens de Informatiebeveiligingsdienst (IBD) van de Vereniging van Nederlandse Gemeenten (VNG), ook veel overheidsinstanties kwetsbaar. Vaak wordt de inrichting van web- en infrastructuur uitbesteed. Opdrachtgevers gaan er dan van uit dat beveiliging en risicomanagement goed zijn geregeld. "Dat is niet altijd het geval", weet Kortekaas. "Gevoelige gegevens van burgers staan als het ware achter een open deur."
Gebrekkige beveiliging is overigens niet een typisch Nederlands probleem. Ook het Duitse Bundesamt für Sicherheit in der Informationstechnik (BSI) ziet een toename in het aantal kwetsbaarheden waar niets aan wordt gedaan. Het Duitse onderzoek richt zich met name op webshops.
Webshops
Daar worden veel kwetsbaarheden geconstateerd. Vaak zitten die in de ondersteunende systemen. Tijdens inventarisaties zijn maar liefst 78 veelvoorkomende kwetsbaarheden geconstateerd. Die kwetsbaarheden kunnen variëren van een gebrekkig wachtwoordbeleid tot verouderde software. In meer dan de helft van de gevallen is geconstateerd dat de eigenaren echter weinig of geen prioriteit geven aan het opzoeken en verhelpen van de kwetsbaarheden. Risico’s op inbreuken en datalekken blijven daardoor uit het zicht van de organisaties.
"Gevaarlijk want de aanvallen op de webomgevingen van organisaties, vaak digitale infrastructuur met daarin gevoelige gegevens, worden steeds geavanceerder", zegt Kortekaas. Toch hoeft het beveiligen niet heel gecompliceerd te zijn, weet hij ook. Het gaat er vooral om de risico's altijd in beeld te hebben. "Het regelmatig uitvoeren van kwetsbaarheidsscans, het testen van de weerbaarheid en het continu versterken van de digitale voordeur zijn belangrijk. Met een kwetsbaarheidsscan kunnen organisaties, maar ook hun leveranciers, zien waar risico’s zich voordoen en dus adequate maatregelen nemen."