BSA: ‘Bedrijven die ongelicentieerde software installeren spelen met vuur’

  1. 22 sep 2016
  2. 0 reacties
georg-bsa

Bijna een kwart van de software in Nederland is ongelicentieerd, zo blijkt uit de Global Software Survey van BSA | The Software Alliance. Het samenwerkingsverband van softwareleveranciers en hardwarepartners deed wereldwijd onderzoek onder zowel IT-managers als particuliere en zakelijke gebruikers, en concludeert dat ons land het met een incompliance-percentage van 24 beter doet dan het wereldwijde gemiddelde van 39 procent. Desondanks noemt Georg Herrnleben, senior director compliance & external affairs EMEA van de organisatie, de Nederlandse cijfers erg hoog en wijst hij op de sterke connectie tussen incompliant software en cyberaanvallen.

Malware vormt een groot probleem voor organisaties. Volgens onderzoek van Symantec nam het aantal onlinedreigingen in 2015 toe met een miljoen per dag, en zag het bedrijfsleven een toename van 35 procent in het aantal ransomware-aanvallen. In de meeste gevallen (65 procent) waren mkb’ers het slachtoffer van die aanvallen, die overigens flink in de papieren kunnen lopen. Naar schatting kost een succesvolle cyberaanval een groot bedrijf gemiddeld 11 miljoen Amerikaanse dollar en in het afgelopen jaar leidde dat wereldwijd tot een kostenpost van 400 miljard dollar.

Noodklok luiden

“Des te opvallender is het, dat incompliance nog zo vaak voorkomt”, zegt Hernleven. Hij wijst op het eerder genoemde onderzoek van BSA | The Software Alliance, waaruit blijkt dat ongelicentieerde software een van de vaakst voorkomende oorzaken is van malware. Zo maakt een regressieanalyse duidelijk dat de correlatie tussen het gebruik van ongelicentieerde software en malware neerkomt op 0.78, bij een perfecte correlatie van 1.0. “Ter vergelijking: de correlatie tussen opleidings- en inkomensniveau is 0.77”, aldus Hernleben.

world-map-bsa-6

Met die kennis is het niet zo vreemd dat BSA | The Software Alliance de noodklok luidt over het gebruik van ongelicentieerde software, en in een persbericht stelt dat bedrijven die software zonder licenties installeren, met vuur spelen. “De kosten die gemoeid zijn met een malwareaanval, zijn nog maar het begin”, zo stelt Hernleben. “Als bij een onderzoek blijkt dat een bedrijf gebruik maakt van ongelicentieerde software, hangt daar ook vaak een flink prijskaartje aan. En dan hebben we het nog niet eens over de reputatieschade als gevolg van datalekken.”

Risico’s voor banken en verzekeraars

Dat laatste geldt met name voor branches die een grote maatschappelijke verantwoordelijkheid dragen en beschikken over gevoelige informatie. Hernleben vindt het daarom behalve zorgelijk ook verbazingwekkend dat het incompliance-niveau in deze sectoren hoog ligt. “Wereldwijd ligt de incompliance voor banken, verzekeringsmaatschappijen en de beveiligingssector bijvoorbeeld op maar liefst 25 procent.”

Een van de verklaringen voor het ongelicentieerd gebruik van software die in de Global Software Survey wordt aangedragen, is een gebrek aan softwareassetmanagement (SAM). Hernleben: “CIO’s hebben in veel gevallen geen idee welke software er in de organisatie gebruikt wordt en zijn zich niet bewust van de schaal waarop ongelicentieerde software in het bedrijf aanwezig is. Zo schatten zij zelf in dat ongeveer vijftien procent van de werknemers weleens ongelicentieerde software installeert op het bedrijfsnetwerk. Maar vraag je het de medewerkers zelf, dan blijkt dat dit percentage met 26 een stuk hoger ligt.”

Cloudsoftware

Een andere vorm van incompliance komt voort uit het gebruik van cloudgebaseerde software. In een gemiddelde grote onderneming worden maar liefst 1.100 clouddiensten gebruikt, zo blijkt uit recent onderzoek van cloudsecuritybedrijf SkyHigh Networks. In datzelfde onderzoek komt verder naar voren dat veel bedrijven geen formeel IT-beleid hebben ten opzicht van het gebruik van clouddiensten, of dat medewerkers dat aan hun laars lappen.

“Veel bedrijven denken dat cloud computing een garantie is voor compliance en dat ze er daarom geen beleid voor hoeven op te stellen, maar dat is geheel onterecht”, waarschuwt Hernleben. “Want hoewel het dan misschien niet zo makkelijk is om te werken met een illegale kopie van een cloudsoftwarepakket, is het wel degelijk mogelijk om inloggegevens te delen.” En dat gebeurt dan ook op grote schaal, zo blijkt uit de Global Software Survey. Maar liefst 58 procent van de cloudgebruikers deelt zijn of haar gebruikersnaam en wachtwoord met anderen.

Zaken op orde krijgen

Hernleben dringt er bij organisaties op aan hun softwareassetmanagement snel op orde te krijgen, voordat de gevolgen niet meer te overzien zijn. “Inzicht krijgen in de software die binnen de organisatie wordt gebruikt, is daarbij stap 1”, adviseert hij. “Goede SAM-software kan daarbij helpen en brengt zowel software op het eigen netwerk, als het gebruik van publieke-clouddiensten in kaart. De IT-afdeling kan vervolgens nagaan of voor alle diensten de juiste licentie aanwezig is, en of er niet teveel gebruikers zijn binnen de organisatie.”

Daarnaast drukt Hernleben IT-managers op het hart dat het opstellen van alleen een licentiebeleid niet genoeg is. “Natuurlijk is het goed om intern regels vast te leggen over het gebruik van software en licenties. Maar daar heb je niets aan als je de naleving van de regels niet controleert. Vooral bij kleinere ondernemingen leeft het gevoel dat dit niet nodig is, omdat ze hun werknemers vertrouwen. Maar vertrouwen staat hier los van. Vaak zijn medewerkers zich er niet eens van bewust dat ze de regels overtreden. Hier was bijvoorbeeld ook sprake van bij Van Dijk Geo- en Milieutechniek, die dit jaar een fikse boete kreeg voor illegale software. Bij de overname van het bedrijf was er een duidelijk IT beleid opgesteld waarin was opgenomen dat illegale software ten strengste verboden was. Echter bleek dat dit onvoldoende werd nageleefd en dat er voor diverse softwarepakketten geen of onjuiste licenties aanwezig waren. Zonder medeweten van de directie hadden medewerkers software geïnstalleerd waarvoor de juiste licenties ontbraken. Dit deden zij overigens met de beste bedoelingen, bijvoorbeeld om een vastgelopen systeem te herstellen. Van Dijk bewaart de licenties sindsdien digitaal en gecentraliseerd. Incompliance kan ook voortkomen uit de beste bedoelingen, bijvoorbeeld doordat iemand een collega aan bepaalde data wil helpen en daarvoor zijn inloggegevens verstrekt.”

Complexe materie

Een andere manier om softwareassetmanagement op orde te krijgen, is door het uit te besteden aan een bedrijf dat zich daarin specialiseert, zegt Hernleben. Of om er iemand voor aan te stellen. “Bij licenties en software gaat het soms om complexe materie. Daarin verschilt het in wezen niet van financiële of juridische zaken. En net als bij finance en legal is het vooral voor grotere organisaties helemaal geen slecht idee om SAM te laten uitvoeren door iemand met verstand van zaken.”

“Hoe dan ook vraagt softwareassetmanagement om een investering van tijd en geld”, vervolgt Hernleben. “Maar die investering valt in het niet als je het wegzet tegen de mogelijke financiële en reputatieschade als gevolg van incompliance.”

Dossiers