Naar een zelfverzekerde digitale organisatie

thales

Uit de Nationale Cybersecurity Monitor 2019 blijkt dat organisaties veel meer kunnen doen om digitale dreigingen met vertrouwen tegemoet te treden.

“De mens lijdt het meest door het lijden dat hij vreest”, luidt een mooi oudhollands spreekwoord. Het zinnetje dat daarop volgt - “…doch dat nooit op komt dagen” - gaat voor cybersecurity helaas niet op. De grootste uitdaging voor moderne organisaties is dat iedereen weet dat er sprake is van een reële en groeiende dreiging uit cyberspace, maar dat vaak opvallend weinig moeite wordt gedaan om de vrees voor die dreiging weg te nemen. Sterker nog: door onzekerheid te laten bestaan, wordt de angst én de dreiging alleen maar groter.

De jaarlijkse Nationale Cybersecurity Monitor zegt een heleboel over actuele en bekende dreigingen en incidenten, maar het venijn zit vooral in de conclusies die niet getrokken kunnen worden. Identiteitsdiefstal en datadiefstal bungelen met respectievelijk 16% en 11% onderaan de lijst met incidenten die in het afgelopen jaar door de deelnemers werden gerapporteerd – maar ze staan beide bovenaan de lijst als het gaat om incidenten waarvan de respondenten simpelweg niet weten of ze hebben plaatsgevonden.

Waarschijnlijk komen identiteits- en datadiefstal bij veel organisaties nu vaker voor dan ze door hebben - maar dat is niet eens het grootste probleem.

21% van de respondenten geeft aan dat juist de onzekerheid over mogelijke dreigingen voor de grootste onrust zorgt. Dat is jammer, want zekerheid krijgen over de risico’s die een organisatie loopt, en hoe die moeten worden opgevangen, is helemaal niet zo moeilijk. Er is alleen nog te weinig aandacht voor.

Weten wat je niet weet

In 2020 verwachten de deelnemers aan het onderzoek opnieuw 11% méér uit te geven aan IT-beveiliging. Gevraagd naar de drijfveer voor die stijgende budgetten, blijkt het opnieuw vooral te gaan om vrees voor het onbekende: de toenemende afhankelijkheid van IT wordt genoemd (46%), en het groeiende gebruik van de cloud (43%) en mobiele apparaten en toepassingen (36%). Maar incidenten die daadwerkelijk al hebben plaatsgevonden in de organisatie, bungelen helemaal onderaan als motivatie (10%; minder nog dan de druk van klanten en leveranciers met 19%).

Angst en onzekerheid zijn slechte raadgevers

De beste manier om de vrees voor onbekende dreigingen weg te nemen, is door er proactief tegen te wapenen. Door software fundamenteel veiliger te ontwerpen (security by design) en in het hele ontwikkelproces aandacht te vragen voor cybersecurity (door middel van Secure DevOps bijvoorbeeld), zijn security incidenten in de toekomst bijvoorbeeld veel beter te voorkomen - maar juist investeringen in die twee maatregelen krijgen in het onderzoek veruit de laagste prioriteit. Zelfs monitoring, waarbij met behulp van SIEM/SOC-oplossingen gezorgd wordt dat de organisatie is voorbereid op mogelijke incidenten, krijgt in het onderzoek maar weinig handen op elkaar. 75% zet nog steeds met name in op toegangsbeheer om complexe aanvallen te voorkomen, terwijl monitoring (48%) en response (38%) als laatsten worden genoemd. Dat is jammer, want een goede defensieve grondhouding is het uitgelezen middel om angst en onzekerheid te bestrijden.

Security in Operationele Technologie

Voorbeelden van de gevolgen van een slechte voorbereiding zijn te zien in de Operationele Technologie (OT), bij bedrijven die werken met grote en dure machines, van bruggen en sluizen tot productiestraten en industriële gietovens. Dergelijke OT wordt steeds vaker met het internet verbonden en - dus - kwetsbaar voor cyber threats. Dat is een relatief nieuw soort dreiging voor dergelijke organisaties, maar ook één die ze vaak voor een lastig dilemma stelt. Aan de ene kant kan een bedrijf zich storingen in dergelijke machines niet veroorloven. Aan de andere kant is dat juist vaak een reden om zo min mogelijk veranderingen aan de software te willen doorvoeren, terwijl dat vanuit cyber­security perspectief juist een regelmatig terugkerende vereiste is. Geen wonder dus dat respondenten die met Operati­onele Technologie werken vooral een uitdaging zien in machine­leveranciers die via het internet gegevens uit willen lezen of onderhoud uitvoeren. Maar goede tweede in hun lijstje uitdagingen is ook hier weer het feit dat ze ‘geen goed zicht hebben op de kwetsbaarheden’. Gezien de potentieel grote gevolgen van een mogelijke cyberaanval op OT is dat tamelijk verontrustend.

Weg met de angst

Vrees werkt verlammend. De angst voor het onbekende kan ervoor zorgen dat beslissingen worden uitgesteld die genomen moeten worden om op een verantwoorde manier operationeel te blijven. Bij iedere organisatie kan het ervoor zorgen dat innovatie stilvalt, omdat risico’s mijden veiliger lijkt dan maatregelen nemen die het mogelijk maken risico’s op een verantwoorde manier te beperken.

Organisaties weten zelf ook wel dat onbekende dreigingen gevaarlijker zijn dan bekende. Niet voor niets noemt 20% van de bedrijven in de Nationale Cybersecurity Monitor ‘investeren in medewerkersbewustzijn’ als de absolute topprioriteit. Maar dat bewustzijn moet bedrijfsbreed zijn. Een krachtige organisatie die de wereld vol vertrouwen tegemoet treedt, zich bewust is van zijn kwetsbaarheden, inzicht heeft in de risico’s die het neemt en klaar is om te reageren als het zover komt, heeft een veel betere uitgangspositie dan een bedrijf dat ieder risico probeert te vermijden door de boze buitenwereld buiten te sluiten.

Organisaties die onkwetsbaar zijn voor cybercrime, bestaan niet. Maar de wetenschap dat de organisatie is voorbereid op de aanvallen die ongetwijfeld gaan komen, geeft vrijheid van handelen. Door te investeren in maatregelen en samenwerkingen die dat inzicht geven, creëren organisaties een uitgangspositie die het mogelijk maakt te innoveren vanuit een reële inschatting van de risico’s. Organisaties die opereren vanuit een dergelijke zelfver­zekerde grondhouding, nemen een enorme voorsprong op hun concurrentie.

Roel van Rijsewijk is directeur Cyber Defense bij Thales Nederland