Cyber Defence moet innovatie versnellen

Thales

Wat meer optimisme over onze weerbaarheid voor cyberaanvallen is goed voor Nederland, vindt Roel van Rijsewijk, directeur Cyber Defence bij Thales. Het is ook goed dat de Nationaal Coördinator Terrorismebestrijding en Veiligheid onlangs in het Cybersecuritybeeld Nederland 2019 opnieuw de noodklok luidde over de kwetsbaarheid van de Nederlandse samenleving. Maar het heeft weinig zin om vervolgens met de wolven mee te huilen en heel bang te worden.

Voortdurend blijven hameren op gevaar is contra­productief, meent Van Rijsewijk: het dringt niet meer door en het lost niets op. Het grootste risico is dat het een rem zet op Nederlandse innovatie, terwijl we het ons niet kunnen veroorloven stil te blijven staan. “Als we ons door angst laten regeren, worden we straks aan twee kanten geraakt: de dreiging blijft bestaan en we worden ingehaald door landen en organisaties die wél durven innoveren.”

Vitale processen

In het CSBN2019 waarschuwt de Nationaal Coördinator Terrorismebestrijding en Veiligheid dat vitale processen door gebrekkige cybersecurity in gevaar komen, van onze gas, water en elektra, tot onze waterhuishouding, ons vervoer en ons betalingsverkeer. Als het gevolg van die waarschuwing zou zijn dat de integratie van IT en operationele technologie (OT) wordt afgeremd en bemoeilijkt, is dat volgens Van Rijsewijk ongelofelijk zonde: “IT helpt OT beter controleerbaar en efficiënter te maken, zodat bijvoorbeeld de productie omhoog kan, storingen worden voorkomen en apparatuur langer meegaat. Als je die voordelen laat lopen omdat je bang bent dat je dan te kwetsbaar wordt voor kwaadaardige hackers, schiet je jezelf in de voet.”

In juni heeft Thales het Data Threat Report 2019 uitgebracht, en hoewel ook daaruit blijkt dat cybersecurity voor veel bedrijven nog een uitdaging is, geeft het ook reden tot optimisme. “Het is duidelijk dat Nederlanders de risico’s zeker niet onderschatten”, zegt Van Rijsewijk. Vergeleken met de rest van de wereld zijn we zelfs tamelijk op onze hoede. Volgens het onderzoek heeft 24% van de Nederlandse bedrijven maar weinig vertrouwen in veilig gebruik van nieuwe technologie. Tegelijkertijd weerhoudt dat 97% van de Nederlandse organisaties er niet van om gevoelige data te gebruiken in combinatie met digitale transformatie­technologieën (tegen 84% gemiddeld in Europa). “Kennelijk beseft het Nederlandse bedrijfsleven heel goed dat stilstand achteruitgang is en dat daarbij risico’s horen die je moet beheersen!”

Risico durven nemen

Een zeker risico durven nemen is heel gezond, denkt Van Rijsewijk. “Zolang we de dreiging maar wel onder ogen zien. Daardoor leren we ermee om te gaan en het te gebruiken om er sterker van te worden.” Zelf spreekt hij liever helemaal niet van dreigingen, maar van kansen. “Vergelijk cyberaanvallen met infectie­ziekten: als je ten koste van alles probeert te vermijden dat je ziek wordt, word je nooit sterker. Je immuunsysteem grijpt infecties aan om te leren en een verdediging op te bouwen. De combina­tie van een gezond immuun­systeem en goede gezondheidszorg als back-up, maakt, dat je veilig naar buiten kunt.”

Hetzelfde geldt voor cybersecurity. Of liever: Cyber Defence, want ‘veilig’ is een rekbaar en enigszins misleidend begrip, vindt Van Rijsewijk. “Wanneer ben je nu echt veilig? 100% veiligheid bestaat helemaal niet. Waar het om gaat is dat je je verdediging zo op orde hebt dat je je veilig voelt, omdat je weet dat je er klaar voor bent als er een aanval komt.” Het is heel goed dat een organisatie leert omgaan met onvermij­delijke dreigingen: “Als je goed bent voorbereid, heb je er eigenlijk weinig van te vrezen.”

In beweging blijven

Het belangrijkste doel van Cyber Defence is ervoor te zorgen, dat organisaties in beweging kunnen blijven. Innovatie zonder cyberrisico bestaat niet, weet Van Rijsewijk. “Het is niet erg als er af en toe iets mis gaat, zolang je er maar tijdig bij bent, direct in staat bent de juiste maatregelen te nemen, en ervan leert zodat het niet opnieuw gebeurt. Vooroplopen maakt je altijd kwetsbaar, maar als je de boot niet wilt missen, mag je niet stil blijven staan.”

Minstens zo belangrijk is volgens hem dat het omgekeerde ook waar is: “Juist het feit dat je bent voorbereid, maakt dat je geschikt bent om voorop te lopen.” Voor het Nederlandse bedrijfs­leven liggen hier enorme kansen. “Alleen focussen op veiligheid brengt je niet verder, dat vertraagt. Maar blind naar voren rennen zonder jezelf te verdedigen is ook geen optie. Bedrijven die nu laten zien dat ze kunnen innoveren en tegelijkertijd hun weerbaarheid vergroten, hebben de beste papieren voor een succesvolle digitale toekomst.”

Groeiende complexiteit

Een van de belangrijkste conclusies uit het Thales Data Threat Report is dat organisaties kwetsbaar worden door groeiende complexiteit. Van Rijsewijk ziet het beheersbaar maken van die complexiteit als een belangrijke taak voor Cyber Defence. “Wat we in de eerder genoemde OT-wereld bijvoorbeeld vaak zien, is dat er onvoldoende inzicht is in de onderlinge afhankelijkheid van systemen. Dat betekent dat niemand precies weet wat de gevolgen zijn als ergens in de keten iets mis gaat. Die onbekendheid leidt tot angst en verkeerde beslissingen. Daar moeten we vanaf.”

Inzicht is een voorwaarde om een goede verdediging op te bouwen, meent Van Rijsewijk. Weten hoe de organisatie in elkaar zit, hoe de verschillende systemen op elkaar ingrijpen, over welke data je beschikt, hoe de toegangsrechten zijn verdeeld en hoe de informatiestromen lopen, is de enige manier om incidenten tijdig te signaleren. Incidenten op waarde kunnen schatten en de juiste urgentie meegeven, zodat schade voorkomen of beperkt kan worden en dan herstellen naar een hoger niveau: dat zijn de vaardigheden die een organisatie nodig heeft om flexibel en innovatief te blijven. “En je kunt je ook laten inenten om de weerbaarheid op te bouwen, dat noemen ze in de cyber­wereld red teaming.”

Samenwerking

Om dat goed te doen, is het voor de meeste organisaties verstandig een samenwerking te zoeken met een ervaren security specialist. Een goede security partner is in staat het gehele IT- en OT-landschap van een organisatie snel en volledig in kaart te brengen. Van daaruit kan een cyberdefensie-strategie worden uitgestippeld die leidt tot een coherente beveiligingsketen voor alle bedrijfskritische systemen, inclusief preventie, detectie, analyse, respons en herstel.

Cyber Defence betekent voorbereid zijn, en zelfs bereid zijn het offensief te kiezen als dat nodig is, vindt Van Rijsewijk. “Er liggen ongekende mogelijkheden voor bedrijven om met behulp van technologie nieuwe kansen te ontwikkelen. Dat mogen we ons niet laten ontnemen. In plaats van ons bang te laten maken voor onze kwetsbaarheid, kunnen we het beter omdraaien: als we de risico’s beheersen, kunnen we beter en sneller innoveren.”

Meer over
Lees ook
Acht cybersecurity-tips uit The Walking Dead

Acht cybersecurity-tips uit The Walking Dead

Soms kan de meest onlogische combinatie van twee dingen voor een bijzondere uitkomst zorgen. Neem nu cybersecurity en entertainment. Wat kunnen populaire films, TV-shows, boeken of videogames ons leren over security? Op het eerste oog misschien niets, maar Cory Nachreiner van WatchGuard ontdekte in zijn guilty pleasure ‘The Walking Dead’ acht overlevingstips,...

Explosieve stijging kosten van cybercrime

Explosieve stijging kosten van cybercrime

Onlangs verscheen de vijfde editie van een gezamenlijk door het Ponemon Institute en HP uitgevoerd onderzoek naar de kosten van security. Die kosten blijken explosief toe te nemen en bedragen wereldwijd gemiddeld 12,7 miljoen dollar per organisatie. Het jaarlijkse onderzoek van het Ponemon Institute en HP’s Enterprise Security Products-divisie luistert...

Cybersecurity: vier eye-openers voor de CEO

Cybersecurity: vier eye-openers voor de CEO

Cybersecurity is de afgelopen jaren veel in het nieuws. Maar al te vaak lezen we over organisaties die zijn getroffen door hackers of andere cybercriminelen. Het gevaar van cyberaanvallen als DDoS, ransomware en phishing ligt dan ook voor iedere onderneming op de loer. Mocht een aanval slagen, dan heeft dat mogelijk grote gevolgen. Daarom is het belangrijk...