Cybersecurity means business

‘Nederland wordt digitaal bedreigd, en de situatie is erger dan mensen denken. We kunnen de tegenstanders niet bijbenen. Het gevaar groeit sneller dan de verdediging. De situatie is meer dan zorgelijk. Echt heel zorgelijk. De dreiging is groot en hun acties verlopen succesvoller dan onze tegenmaatregelen’. Met deze woorden opende de Nationaal Coördinator Terreurbestrijding en Veiligheid, Dick Schoof, op 25 september jongstleden de Cyber Security Week in Den Haag.

Wie het nieuws de afgelopen periode enigszins gevolgd heeft, zal niet verbaasd zijn over deze uitspraak. Immers, in mei vond de wereldwijde WannaCry aanval plaats, waarbij binnen een paar uur tijd tienduizenden systemen wereldwijd geïnfecteerd werden. WannaCry maakte pijnlijk duidelijk dat cybercriminaliteit niet alleen data raakt, maar ook de echte wereld. Onder andere ziekenhuizen, fabrieken, geldautomaten en parkeergarages gingen ‘plat’ als gevolg van deze aanval. Niet veel later volgde de NotPetya aanval, die eveneens grote verstoringen in de operatie van bedrijven veroorzaakte. Zo lag een aantal terminals in de Rotterdamse haven dagenlang stil. De schade voor moederbedrijf Maersk is geschat op meer dan 300 miljoen dollar. In september van dit jaar kwam naar buiten dat bij de Amerikaanse hypotheekverstrekker Equifax als gevolg van een beveiligingsincident (lees: datalek) gegevens van meer dan 140 miljoen (!) klanten op straat lagen. Ook de Securities and Exchange Commission werd slachtoffer van een grote hack. En zelfs Deloitte, een van ’s werelds meest toonaangevende cybersecurity dienstverleners, werd slachtoffer van een cyberaanval waarbij hackers toegang tot e-mails van klanten kregen.

Cybercrime kost jaarlijks wereldwijd meer dan 500 miljard dollar. Om dat in perspectief te plaatsen: dat is ongeveer tweeëneenhalf keer de beurswaarde van Shell. Of net zo veel als het Bruto Binnenlands Product van België. Cybercrime veroorzaakt immens veel schade en de schattingen zijn dat dit alleen maar toeneemt.

Men zou verwachten, zeker gezien de genoemde voorvallen en bedragen, dat cybersecurity top prioriteit geniet in elke bestuurskamer. Zowel corporate als MKB. De vraag is of dat ook echt het geval is. Vaak wordt onterecht gedacht dat cybersecurity een verantwoordelijkheid voor de IT-afdeling is, omdat ‘het over techniek gaat’. Ook wordt vaak gedacht dat bij cybersecurity de focus vooral extern moet worden gelegd. De dreiging komt immers van buiten, zo wordt verondersteld.

In 2015 publiceerde Intel de resultaten van een onderzoek, waaruit bleek dat 43% van het totale data verlies wordt veroorzaakt door eigen personeel. Hieronder vallen opzettelijke (fraude) en onopzettelijke (menselijke fouten) factoren. Een studie door Protiviti, uitgevoerd in dit jaar, toont aan dat organisaties die het beste presteren op het gebied van cybersecurity tenminste voldoen aan de volgende elementen:

  • Tone from the top: organisaties waarbij op directieniveau een hoge mate van betrokkenheid bij informatiebeveiliging aanwezig is;
  • Het hebben en naleven van een ingevoerd cybersecurity / informatie-beveiligingsbeleid;
  • Het actief uitvoeren en onderhouden van dataclassificatie methoden, waarbij de digitale ‘kroonjuwelen’ zijn geïdentificeerd en waar de bijbehorende mate van beveiliging op wordt afgestemd.

Cybersecurity gaat dus wel degelijk verder dan welke firewall, welk Intrusion Detection systeem, of andere technische maatregelen die nodig zijn. Zowel directie (organisatie) als IT (techniek) moeten samen de digitale veiligheid van een organisatie waarborgen. Net als bij IT-projecten, is het voor de top van een organisatie onverstandig om risico’s en vraagstukken volledig weg te delegeren naar ‘de specialisten’. Daarmee ben je gedoemd te mislukken. Ook als het gaat om cybersecurity.

Begin dus bij beleid, geformaliseerd en bekrachtigd op directieniveau. Naarmate dit beleid verder geoperationaliseerd wordt in plannen en maatregelen, haakt de techniek (de IT-afdeling) meer aan. De basis beveiligingsprincipes dienen te allen tijde te worden nageleefd. Zoals hieronder vallen:

  • Beheer van autorisaties: hoe minder (ruime) privileges toegekend aan accounts, hoe minder snel een uitbraak kan verspreiden;
  • Segmentering stelt je beter in staat delen van het netwerk te isoleren of te beschermen tegen verdere verspreiding;
  • Patch management draagt zorg dat beveiligingsupdates tijdig worden uitgevoerd. Slechts één update achterlopen kan fatale gevolgen hebben;
  • Gebruikers moeten zich bewust zijn van digitale dreigingen en daar naar handelen;
  • Een externe back-up heeft beduidend minder kans op infectie.
  • Een back-up is pas een back-up als deze succesvol een restoretest heeft ondergaan;
  • Maak bij uitbesteding van IT-diensten leveranciersaccreditatie, bijvoorbeeld op basis van ISAE3402, een hard criterium;
  • Ga ervan uit dat je vroeger of later tòch slachtoffer van een cyberaanval wordt, zorg daarom naast preventieve maatregelen altijd voor een incident respons plan en test deze.

Voor je digitale veiligheid moet je als organisatie voldoende balans aanbrengen in de beheersing van interne en externe bedreigingen. Cybercriminaliteit en datalekken kunnen wel degelijk ook van binnenuit komen. Houdt hier voldoende rekening mee bij het uitvoeren van je dreigingsanalyse. Weet wie je potentiële aanvallers zijn, binnen en buiten het bedrijfsnetwerk. En stem daar je beleid en maatregelen op af. Hiermee weerklinkt de echo van een tweeënhalf duizend jaar oude wijsheid uit Sun Tzu’s ‘the art of war’: ‘If you know the enemy and yourself, you need not fear the result of a hundred battles. If you know yourself but not the enemy, for every victory gained you will also suffer a defeat. If you know neither the enemy nor yourself, you will succumb in every battle’.

Geert-Jan Krol is Partner IT Advisory bij Crowe Horwath Peak

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *