Bewustzijn rond tweestapsverificatie neemt toe, maar adoptie blijft achter

Uit een onderzoek van Visma blijkt dat 94% van de bedrijven in Vlaanderen minstens één vorm van tweestapsverificatie gebruikt. Toch blijft dit nog te vaak beperkt tot specifieke systemen of gebruikers, en ook de effectieve toepassing ervan door werknemers blijft vaak achter. Joris Dresselaers, Business Area Director bij Visma: “Veiligheid mag geen randvoorwaarde zijn, het moet in het hart van je bedrijf zitten.”

Bedrijven in Vlaanderen zijn recent begonnen aan een heuse inhaalbeweging. Dat blijkt uit een onderzoek dat Visma uitvoerde bij 337 IT-verantwoordelijken. Maar liefst 94% gebruikt minstens één vorm van tweestapsverificatie. Toch blijft dit meestal beperkt tot specifieke applicaties of gebruikers (36%) of zelfs alleen tot (online) bankieren (8%). Slechts 1 op de 2 Vlaamse bedrijven (50%) gebruikt tweestapsverificatie voor alle toepassingen. Van de verschillende types tweestapsverificatie zijn authenticator-apps zoals Google Authenticator en Microsoft Authenticator het meest gangbaar.

De inhaalbeweging die Vlaamse bedrijven maakten is nog erg recent. Slechts 24% gebruikt tweestapsverificatie al langer dan twee jaar. Twee jaar geleden vond er een grote ommeslag plaats, met meer dan 35% van de bedrijven die toen de overstap naar tweestapsverificatie maakten. De grootste drijfveren voor deze koerswijziging zijn een interne behoefte aan betere beveiliging (27%), een verhoogde cyberdreiging (24%) en aanbevelingen van hun IT-leverancier (16%).

Het is een goede zaak dat Vlaamse bedrijven een inhaalbeweging gestart zijn, want zodra bedrijven digitaal groeien, nemen ook hun zwakke plekken toe. “Het gaat er niet over óf er iets gaat gebeuren, maar wannéér”, stelt Joris Dresselaers. “Cyberincidenten komen veel vaker voor dan mensen denken en hebben dagelijks invloed op velen van ons. Denk bijvoorbeeld aan de cyberaanval in Zaventem die onlangs tienduizenden reizigers trof. Daarom mag cyberbeveiliging geen randvoorwaarde zijn. Het moet in het hart van je bedrijf zitten.”

Hoewel deze cijfers een grote stap in de goede richting zijn, blijft er nog heel wat ruimte voor verbetering. Niet alleen qua aantal bedrijven dat tweestapsverificatie implementeert, maar ook op vlak van de toepassing ervan in het gehele bedrijf. Want slechts 44% van de bedrijven verplicht tweestapsverificatie voor al zijn werknemers. Een bijkomende 30% verplicht het voor specifieke afdelingen.

Daarnaast blijft ook de effectieve adoptie door medewerkers achter. In slechts 14% van de bevraagde bedrijven gebruiken alle medewerkers tweestapsverificatie. In één op de vier bedrijven (22%) past zelfs minder dan 50% van de medewerkers effectief tweestapsverificatie toe. Volgens de respondenten is de adoptie het meest succesvol als het bedrijf zorgt voor een duidelijke interne communicatie (24%), verplichting door het beleid (23%) en technische ondersteuning (20%).

Joris Dresselaers: “Het is belangrijk om medewerkers in staat te stellen om zelf goede veiligheidsbeslissingen te nemen. In plaats van alle redenen op te sommen waarom medewerkers tweestapsverificatie zouden moeten gebruiken, is het effectiever om een situatie te beschrijven waarin tweestapsverificatie een cyberaanval vermeden heeft, of had kunnen vermijden. Dat maakt de dreiging tastbaar en zorgt ervoor dat medewerkers eerder geneigd zijn om hun gedrag te veranderen.”

Kmo’s moeten een tandje bijsteken

Kmo’s vormen een belangrijk onderdeel van onze Vlaamse economie. Toch lopen ze nog ver achter op de grote bedrijven wanneer het op cybersecurity aankomt, waardoor ze een bedreiging vormen voor de financiële gezondheid van ons land.

Joris Dresselaers: “Hoewel er nog een lange weg te gaan is, zijn we hoopvol voor de toekomst. Steeds meer bedrijven zien het belang van tweestapsverificatie in en nemen maatregelen om hun cybersecuritybeleid te verbeteren. Door van elkaar te leren, ben ik ervan overtuigd dat we dit proces nog verder kunnen versnellen.”

10 tips om te starten met tweestapsverificatie

1. Begin eerst met de kritieke systemen: e-mail, financiële software, beheerdersaccounts en clouddiensten.
2. Gebruik authenticator-apps (zoals Microsoft Authenticator, Google Authenticator of Authy) in plaats van sms voor betere beveiliging.
3. Geef je medewerkers duidelijke installatie-instructies met schermafbeeldingen en overweeg een korte trainingssessie.
4. Stel altijd back-upverificatiemethoden in om uitsluiting te voorkomen. Denk bijvoorbeeld aan back-upcodes of meerdere apparaten.
5. Elimineer waar mogelijk gedeelde accounts door iedereen een individuele login te bezorgen.
6. Als gedeelde accounts noodzakelijk zijn, beheer ze dan via een wachtwoordkluis met tweestapsverificatie.
7. Documenteer je tweestapsverificatie-beleid: wanneer is het verplicht, wie stelt het in, en wat zijn de herstelprocedures.
8. Zorg ervoor dat de IT-afdeling weet hoe ze moeten omgaan met herstelverzoeken voor tweestapsverificatie.
9. Overweeg hardwarebeveiligingssleutels voor beheerdersaccounts met de hoogste beveiliging.
10. Verwijder de tweestapsverificatietoegang onmiddellijk wanneer medewerkers vertrekken, en werk gedeelde methoden bij.