Het belang van cybersecurity in het bedrijfsleven groeit. Helaas is het niet meer de vraag of je als bedrijf wordt aangevallen, maar wanneer. De ontwikkelingen in wet- en regelgeving en recente veiligheidsincidenten zetten cybersecurity hoger op de agenda. Hoog tijd dat bedrijven in actie komen. Maar waar moet je beginnen om je bedrijf zo weerbaar mogelijk te maken?
Cybersecurity vaak te laat in beeld: tips voor een fundamentele aanpak
Bedrijven zetten vaker en sneller nieuwe technologieën in, maar daarmee nemen ook de risico’s op cybercriminaliteit en datalekken toe. Tegelijkertijd gaan hackers steeds slimmer en geavanceerder te werk. Een bijkomende factor is dat bedrijven steeds vaker de grip dreigen te verliezen op de beveiliging van hun cloudsystemen. Dankzij de cloud is informatie altijd en overal beschikbaar, maar dat maakt systemen wel extra kwetsbaar. Zo was onlangs in het nieuws te lezen dat het gebruik van Amerikaanse clouddiensten risico’s met zich mee kan brengen.
Ontwikkelingen in wet- en regelgeving
Dat ook de Nederlandse overheid het belang van digitale weerbaarheid erkent, blijkt uit de komst van de NIS2-richtlijn en het recente wetsvoorstel ‘bevordering digitale weerbaarheid bedrijven’ (Wbdwb). Hoewel de NIS2-richtlijn niet voor alle bedrijven gaat gelden, is het verstandig om deze richtlijn te volgen. Het biedt namelijk goede handvaten voor een cybersecuritybeleid. Bovendien is de verwachting dat in de toekomst steeds meer bedrijven aan dergelijke richtlijnen moeten voldoen.
Een incident zit in een klein hoekje
De mate waarin een bedrijf digitaal weerbaar is hangt af van twee aspecten: technologie en menselijk gedrag. Je kunt de IT-infrastructuur van je organisatie zo waterdicht mogelijk maken, maar als een medewerker (per ongeluk) zijn wachtwoord of andere gevoelige bedrijfsdata deelt met een kwaadwillende, dan kan dit alsnog tot een cyberincident leiden. En zelfs met alle mogelijke maatregelen blijft het risico op een incident aanwezig. Daarom is het goed om offside back-ups te maken (back-ups buiten je reguliere omgeving) en procedures te ontwikkelen voor als het toch misgaat, zoals in het geval van een datalek. Zo kun je eventuele schade zo veel mogelijk beperken.
Waar begin je?
Het antwoord op deze vraag is simpel: zo vroeg mogelijk, het liefst voordat een applicatie wordt gebouwd. De reden hiervoor is dat het complexer en duurder is om security later in te bouwen. Als je security bij aanvang van een ontwikkeltraject in elke sprint meeneemt, kun je de maatregelen in elke fase van een project goed testen. Neem daarbij ook de security van je cloudomgeving onder de loep. Er zitten grote verschillen tussen de beveiligingsmaatregelen van clouddienstverleners. En als je maatwerk gebruikt binnen een publieke cloud, dan moet je rekening houden met extra risico’s. Tot slot is het een must om medewerkers doorlopend te trainen in bewustwording rondom cybersecurity.
Risico’s classificeren
Of je nu begint met de ontwikkeling van een nieuwe applicatie of de beveiliging van bestaande systemen wil verbeteren: een risico-inventarisatie is het vertrekpunt. Hiervoor is het zaak om je IT-systemen en infrastructuur onder de loep te nemen. Maak vervolgens een overzicht van alle risico’s. Bijvoorbeeld aan de hand van het BIV-model, dat staat voor Beschikbaarheid, Integriteit en Vertrouwelijkheid. Dit model classificeert gegevens aan de hand van drie factoren:
- Beschikbaarheid. Bijvoorbeeld: artsen moeten altijd toegang hebben tot patiëntinformatie om de continuïteit van zorg te waarborgen.
- Integriteit. Bijvoorbeeld: een database met financiële gegevens moet goed beschermd zijn tegen manipulatie of ongeoorloofde wijzigingen
- Vertrouwelijkheid. Bijvoorbeeld: klantgegevens met persoonlijke identificeerbare informatie (PII) zijn vertrouwelijker dan interne chatberichten.
Maatregelen prioriteren
Een BIF-classificatie geeft een goed beeld van de waarschijnlijkheid van elk risico en de mogelijke impact ervan op de organisatie. Op basis daarvan kun je de juiste set aan preventieve en reactieve maatregelen te kiezen . Een voorbeeld van een reactieve maatregel is het instellen van een notificatie bij een verdachte inlogpoging. Hierbij is het belangrijk om de praktische uitvoerbaarheid van beveiligingsmaatregelen in relatie tot het risico te evalueren. Hoewel verregaande maatregelen een organisatie in theorie veiliger maken, zijn ze niet altijd praktisch uitvoerbaar.
Een waardevol instrument in dit proces is het uitvoeren van threat modeling sessies. Deze sessies worden gebruikt om proactief beveiligingsrisico’s te identificeren en te beoordelen. Tijdens deze sessies worden verschillende aspecten geanalyseerd, zoals de IT-architectuur, de gebruikte technologieën en de gegevensstromen.
Signalen monitoren en actie ondernemen
Als je de juiste maatregelen hebt genomen, is de volgende stap om alle maatregelen en systemen zorgvuldig te beheren. Denk hierbij aan het tijdig doorvoeren van updates en anticiperen op veiligheidswaarschuwingen, bijvoorbeeld bij verdachte inlogpogingen.
Een voorbeeld van hoe het anders goed kan misgaan, is het incident bij de Universiteit van Maastricht, enkele jaren geleden. Het bleek dat hackers al maanden in het netwerk van de universiteit zaten, voordat ze toesloegen. De aanval begon met twee phishing-mails. Uiteindelijk heeft de universiteit een som van 200.000 euro losgeld betaald.
Cybersecurity moet prioriteit worden én blijven
Met de toenemende dreiging en strengere wetgeving vanuit de overheid, zou cybersecurity een topprioriteit moeten zijn voor het bedrijfsleven. Helaas zien we dat dit niet altijd het geval is, en dat is zorgwekkend. Bovengenoemde tips en adviezen kunnen helpen om hierin stappen te zetten.
Daarbij is het goed om te realiseren dat cybersecurity nooit ‘af’ is. Het is een voortdurende kat-en-muisspel, waarbij bedrijven hun beveiligingsmaatregelen bijwerken en hackers als reactie daarop hun tactieken verfijnen. Het is dus hoog tijd dat organisaties cybersecurity tot hun dagelijkse prioriteit maken.