Cyber Defence moet innovatie versnellen
Wat meer optimisme over onze weerbaarheid voor cyberaanvallen is goed voor Nederland, vindt Roel van Rijsewijk, directeur Cyber Defence bij Thales. Het is ook goed dat de Nationaal Coördinator Terrorismebestrijding en Veiligheid onlangs in het Cybersecuritybeeld Nederland 2019 opnieuw de noodklok luidde over de kwetsbaarheid van de Nederlandse samenleving. Maar het heeft weinig zin om vervolgens met de wolven mee te huilen en heel bang te worden.
Voortdurend blijven hameren op gevaar is contraproductief, meent Van Rijsewijk: het dringt niet meer door en het lost niets op. Het grootste risico is dat het een rem zet op Nederlandse innovatie, terwijl we het ons niet kunnen veroorloven stil te blijven staan. “Als we ons door angst laten regeren, worden we straks aan twee kanten geraakt: de dreiging blijft bestaan en we worden ingehaald door landen en organisaties die wél durven innoveren.”
Vitale processen
In het CSBN2019 waarschuwt de Nationaal Coördinator Terrorismebestrijding en Veiligheid dat vitale processen door gebrekkige cybersecurity in gevaar komen, van onze gas, water en elektra, tot onze waterhuishouding, ons vervoer en ons betalingsverkeer. Als het gevolg van die waarschuwing zou zijn dat de integratie van IT en operationele technologie (OT) wordt afgeremd en bemoeilijkt, is dat volgens Van Rijsewijk ongelofelijk zonde: “IT helpt OT beter controleerbaar en efficiënter te maken, zodat bijvoorbeeld de productie omhoog kan, storingen worden voorkomen en apparatuur langer meegaat. Als je die voordelen laat lopen omdat je bang bent dat je dan te kwetsbaar wordt voor kwaadaardige hackers, schiet je jezelf in de voet.”
In juni heeft Thales het Data Threat Report 2019 uitgebracht, en hoewel ook daaruit blijkt dat cybersecurity voor veel bedrijven nog een uitdaging is, geeft het ook reden tot optimisme. “Het is duidelijk dat Nederlanders de risico’s zeker niet onderschatten”, zegt Van Rijsewijk. Vergeleken met de rest van de wereld zijn we zelfs tamelijk op onze hoede. Volgens het onderzoek heeft 24% van de Nederlandse bedrijven maar weinig vertrouwen in veilig gebruik van nieuwe technologie. Tegelijkertijd weerhoudt dat 97% van de Nederlandse organisaties er niet van om gevoelige data te gebruiken in combinatie met digitale transformatietechnologieën (tegen 84% gemiddeld in Europa). “Kennelijk beseft het Nederlandse bedrijfsleven heel goed dat stilstand achteruitgang is en dat daarbij risico’s horen die je moet beheersen!”
Risico durven nemen
Een zeker risico durven nemen is heel gezond, denkt Van Rijsewijk. “Zolang we de dreiging maar wel onder ogen zien. Daardoor leren we ermee om te gaan en het te gebruiken om er sterker van te worden.” Zelf spreekt hij liever helemaal niet van dreigingen, maar van kansen. “Vergelijk cyberaanvallen met infectieziekten: als je ten koste van alles probeert te vermijden dat je ziek wordt, word je nooit sterker. Je immuunsysteem grijpt infecties aan om te leren en een verdediging op te bouwen. De combinatie van een gezond immuunsysteem en goede gezondheidszorg als back-up, maakt, dat je veilig naar buiten kunt.”
Hetzelfde geldt voor cybersecurity. Of liever: Cyber Defence, want ‘veilig’ is een rekbaar en enigszins misleidend begrip, vindt Van Rijsewijk. “Wanneer ben je nu echt veilig? 100% veiligheid bestaat helemaal niet. Waar het om gaat is dat je je verdediging zo op orde hebt dat je je veilig voelt, omdat je weet dat je er klaar voor bent als er een aanval komt.” Het is heel goed dat een organisatie leert omgaan met onvermijdelijke dreigingen: “Als je goed bent voorbereid, heb je er eigenlijk weinig van te vrezen.”
In beweging blijven
Het belangrijkste doel van Cyber Defence is ervoor te zorgen, dat organisaties in beweging kunnen blijven. Innovatie zonder cyberrisico bestaat niet, weet Van Rijsewijk. “Het is niet erg als er af en toe iets mis gaat, zolang je er maar tijdig bij bent, direct in staat bent de juiste maatregelen te nemen, en ervan leert zodat het niet opnieuw gebeurt. Vooroplopen maakt je altijd kwetsbaar, maar als je de boot niet wilt missen, mag je niet stil blijven staan.”
Minstens zo belangrijk is volgens hem dat het omgekeerde ook waar is: “Juist het feit dat je bent voorbereid, maakt dat je geschikt bent om voorop te lopen.” Voor het Nederlandse bedrijfsleven liggen hier enorme kansen. “Alleen focussen op veiligheid brengt je niet verder, dat vertraagt. Maar blind naar voren rennen zonder jezelf te verdedigen is ook geen optie. Bedrijven die nu laten zien dat ze kunnen innoveren en tegelijkertijd hun weerbaarheid vergroten, hebben de beste papieren voor een succesvolle digitale toekomst.”
Groeiende complexiteit
Een van de belangrijkste conclusies uit het Thales Data Threat Report is dat organisaties kwetsbaar worden door groeiende complexiteit. Van Rijsewijk ziet het beheersbaar maken van die complexiteit als een belangrijke taak voor Cyber Defence. “Wat we in de eerder genoemde OT-wereld bijvoorbeeld vaak zien, is dat er onvoldoende inzicht is in de onderlinge afhankelijkheid van systemen. Dat betekent dat niemand precies weet wat de gevolgen zijn als ergens in de keten iets mis gaat. Die onbekendheid leidt tot angst en verkeerde beslissingen. Daar moeten we vanaf.”
Inzicht is een voorwaarde om een goede verdediging op te bouwen, meent Van Rijsewijk. Weten hoe de organisatie in elkaar zit, hoe de verschillende systemen op elkaar ingrijpen, over welke data je beschikt, hoe de toegangsrechten zijn verdeeld en hoe de informatiestromen lopen, is de enige manier om incidenten tijdig te signaleren. Incidenten op waarde kunnen schatten en de juiste urgentie meegeven, zodat schade voorkomen of beperkt kan worden en dan herstellen naar een hoger niveau: dat zijn de vaardigheden die een organisatie nodig heeft om flexibel en innovatief te blijven. “En je kunt je ook laten inenten om de weerbaarheid op te bouwen, dat noemen ze in de cyberwereld red teaming.”
Samenwerking
Om dat goed te doen, is het voor de meeste organisaties verstandig een samenwerking te zoeken met een ervaren security specialist. Een goede security partner is in staat het gehele IT- en OT-landschap van een organisatie snel en volledig in kaart te brengen. Van daaruit kan een cyberdefensie-strategie worden uitgestippeld die leidt tot een coherente beveiligingsketen voor alle bedrijfskritische systemen, inclusief preventie, detectie, analyse, respons en herstel.
Cyber Defence betekent voorbereid zijn, en zelfs bereid zijn het offensief te kiezen als dat nodig is, vindt Van Rijsewijk. “Er liggen ongekende mogelijkheden voor bedrijven om met behulp van technologie nieuwe kansen te ontwikkelen. Dat mogen we ons niet laten ontnemen. In plaats van ons bang te laten maken voor onze kwetsbaarheid, kunnen we het beter omdraaien: als we de risico’s beheersen, kunnen we beter en sneller innoveren.”
Meer over
Lees ook
"Bedrijven investeren jaarlijks ruim 92.000 euro voor bijscholing cybersecurityteams"
In het recente onderzoek 'Het portret van de moderne informatiesecurityprofessional' deed Kaspersky onderzoek naar het wereldwijde tekort aan cybersecuritypersoneel. Zo onderzocht het de exacte redenen waarom bedrijven te weinig cybersecuritydeskundigen hebben.
Onderzoek WatchGuard: sterke stijging evasive malware
Het gebruik van malware dat detectiemethoden probeert te omzeilen (‘evasive malware’) is het laatste kwartaal van 2023 fors gestegen. Daarnaast hebben hackers het steeds vaker voorzien op Exchange-mailservers. Het aantal ransomwarebesmettingen blijft wel verder afnemen, waarschijnlijk door diverse internationale inspanningen.
‘’Innovatie op het gebied van cybersecurity blijft achter in Nederland’’
De huidige innovatiekracht in Nederland en Europa op het gebied van cybersecurity blijft achter, ten opzichte van de Verenigde Staten en China. Dat blijkt uit het deze week verschenen boek ‘Security Innovation Stories’, geschreven door Bram de Bruijn in samenwerking met Frank van Summeren.