De overheid heeft oktober uitgeroepen tot de cybersecurity maand, en dat is maar goed ook want het tempo waarin cybercriminelen professionaliseren is bijna niet meer bij te houden. Je hoeft de krant maar open te slaan en er staat wel een artikel in over de gevolgen van cybercriminaliteit. Neem pas geleden nog de hack van de gegevens van toegangspassen van de Tweede Kamer. De dreiging van cybercriminelen en het belang van beveiliging en awareness worden steeds groter. Maar hoe krijg je nu inzicht en direct grip op jouw specifieke cyberrisico’s? UNO kan je daarbij als strategische IT partner helpen. Onze directeur, Mark Peter van Rijn, geeft je in deze blogreeks aan de hand van een stappenplan concrete handvatten hoe je jouw specifieke security risico’s kan aanpakken.
Onder de naam “Stap voor stap grip op je cybersecurity van jouw organisatie”, publiceren we de volgende drie delen:
Deel 1: Direct grip op je cyberrisico’s; zorg dat de basis op orde is!
Deel 2: Creëer inzicht met een cyberrisico analyse
Deel 3: Bescherm, beveilig en bewaak! Dat doe je met Microsoft Zero trust en een cybersecurity roadmap
Deel 1: Direct grip op je Cyberrisico’s; zorg dat de basis op orde is!
Cyberbeveiliging is een van de topprioriteiten die op elke management agenda moet staan. In het afgelopen jaar is het belang ook nog eens toegenomen. We zijn bijvoorbeeld op andere manieren gaan werken. Tegenwoordig heeft elke medewerker een laptop en een telefoon waarop wordt gewerkt en dan ook nog buiten de vertrouwde kantooromgeving. Dat zorgt ervoor dat je als organisatie waar hybride wordt gewerkt niet één maar talloze digitale locaties moet beveiligen. De cloud-initiatieven die ervoor zorgen dat we op nieuwe manieren kunnen werken, vragen om een compleet andere aanpak van je cybersecurity. Criminelen kunnen op verschillende locaties toeslaan, elk apparaat, elke werkplek en elk stukje informatie moet apart beveiligd worden. Deze cybercriminelen zijn daarnaast een stuk professioneler geworden. We hebben het hier niet over hobbyisten op een zolderkamer. Het zijn professionele organisaties die telkens weer nieuwe manieren verzinnen om beveiligingssystemen te omzeilen. Bovendien gaan ze zo gefragmenteerd en gelaagd te werk dat ze vrijwel niet op te sporen zijn. Dit is ook één van de redenen dat de wet- en regelgeving rondom cybersecurity steeds strenger wordt. Iedereen kent natuurlijk de Algemene verordening gegevensbescherming (AVG). Maar zowel internationaal als in Nederland is het steeds vaker vanuit de wet een verplichting om je serieus te wapenen tegen de risico’s. Terecht, want het kost de samenleving en daarmee ook de overheid heel veel geld. Niet alleen multinationals en landelijke overheden, maar ook mkb- organisaties, lokale overheden en stichtingen nemen standaard (en steeds strengere) veiligheidsbepalingen op in hun aanbestedingsdocumenten (RFP’s).
8 Basis Security maatregelen
De boodschap is denk ik duidelijk, het is noodzakelijk om je IT Security serieus te nemen en dat is geen eenmalige actie, het is een continu en doorlopend proces. Maar hoe ga je hier nu mee aan de slag? Waar begin je?
Voordat je de organisatie maanden blind laat staren en alle systemen laat analyseren, is het mijn advies om eerst te controleren hoe je ervoor staat met de basismaatregelen. Soms kom ik bij bedrijven die de nieuwste geavanceerde security-maatregelen willen treffen en daar maanden de tijd voor uittrekken, maar waar basis veiligheidsmaatregelen zoals multifactorauthenticatie nog niet geregeld zijn. Een goed uitgangspunt als controle op de basis veiligheidsmaatregelen is de ‘Handreiking Cybersecuritymaatregelen’ van het Nationaal Cyber Security Centrum (NCSC). Dit adviesorgaan houdt zich bezig met het informeren van het bedrijfsleven op het gebied van cybersecurity. Zij hebben acht bijzonder effectieve basismaatregelen opgesteld die elke organisatie zou moeten treffen. Het zijn echt basismaatregelen, maar je zult je verbazen hoeveel bedrijven dit toch nog niet op orde hebben.
In het managen van de cyberrisico’s is het goed om gestructureerd te werk te gaan. Een goed raamwerk hiervoor is het Cybersecurity Framework van het NIST waarin je al je activiteiten indeelt in vijf functies; Identify, Protect, Detect, Respond en Recover. In de set aan basismaatregelen van het NCSC zal je zien dat de activiteiten horend bij die maatregelen telkens onder een van deze functies passen.
Een van de belangrijkste maatregelen om jezelf te beschermen is het tijdig installeren van updates. Wanneer er kwetsbaarheden in de software worden gevonden worden deze in volgende updates verholpen. Laat je kwetsbaarheden bestaan dan houd je de deur open voor cybercriminelen om je netwerk binnen te dringen. Zorg voor een proces dat updates identificeert, test en installeert.
Het gebruik van multifactorauthenticatie (MFA) voorkomt dat een aanvaller toegang verkrijgt tot een account als het wachtwoord op straat ligt. Wachtwoorden zijn voor hackers steeds makkelijker te kraken en om dat tegen te gaan is MFA een must. De aanmeldingsprocedure hiervoor is vaak snel en eenvoudig. Je kan vervolgens alleen inloggen met een combinatie van iets dat je “weet” en iets dat je “hebt”. Je “weet” je inlognaam en je wachtwoord en je “hebt” een vooraf geregistreerde telefoon waarop je een autorisatiecode krijgt. Daarnaast moet je altijd zorgen dat je de regie hebt over wie er bij je data kan. Denk hierbij aan het geven van toegangsrechten met adequaat toegangsbeheer. Zeker over de meest waardevolle of kwetsbare data in je onderneming.
Een volgende goede stap is het segmenteren van je netwerken, en daar kan je zo ver mee gaan als je nodig acht. Het doel van deze maatregel is om de schade te beperken voor in het geval er toch iemand binnenkomt. Denk hierbij aan het scheiden van wifi netwerken voor gasten, medewerkers met vertrouwde apparaten en medewerkers met eigen apparaten. Maar ook het scheiden van productie en testomgevingen, en vooral het apart onderbrengen van embeded devices zoals IP-camera’s.
Het is ook ontzettend belangrijk om te weten welke apparaten en toepassingen bereikbaar zijn vanaf het internet. We noemen dat ook wel de basis hygiëne. Als je dit weet, dan kun je (en moet je) met enige regelmaat controleren of de bescherming hiervan nog op orde is.
Ik adviseer onze klanten ook om altijd al de opslagmedia met gevoelige bedrijfsinformatie (vooral die op laptops en andere mobiele apparaten) te versleutelen. Zo maak je de data onbruikbaar als deze apparaten in handen van aanvallers valt. Dit is vaak heel eenvoudig te regelen maar wordt toch geregeld over het hoofd gezien.
Geen enkel IT-systeem is 100% veilig. Als je dan toch een keer slachtoffer wordt van een cyberaanval dan is het enorm belangrijk om na een incident te kunnen achterhalen wat er precies is gebeurd. In de loginformatie kun je bijvoorbeeld bijhouden wat de applicatiegebruikers in een bedrijfsnetwerk hebben uitgespookt. Hier vind je ook andere status waarschuwingen en inlogpogingen. Logbestanden spelen een sleutelrol in het detecteren van aanvallen en het afhandelen van incidenten. Zorg dus dat elke applicatie en elk systeem voldoende loginformatie genereert. Om dit goed te doen moet je jezelf afvragen hoe je de enorme hoeveelheid data efficiënt opslaat, actief monitort en afhandelt. Dit kost tijd, kennis en geld. Vraag je af of je dit zelf wil doen of wil uitbesteden.
Daarnaast wil je je business continuïteit garanderen met beschikbare back-ups en nog belangrijker; restores die echt werken als systemen zijn aangetast en hersteld moeten worden. Het regelmatig maken en testen van back-ups is dus essentieel. Een goede back-up is je vangnet; iun veel gevallen is het je laatste redmiddel. Maar dan moet je daar wel 100% op kunnen vertrouwen! En je wilt het liefste in no time weer up en running zijn. Weet jij wat je moet doen bij een noodscenario? Liggen er plannen klaar voor een echte calamiteit, en hoe snel heb je weer beschikking over systemen?
Met deze 8 basis veiligheidsmaatregelen legt je organisatie het fundament voor effectieve cyberweerbaarheid. Veel van deze maatregelen komen ook terug in de Zero Trust beveiligingsstrategie die ik in het laatste deel van deze BLOGreeks behandeld. Vanuit UNO helpen wij onze klanten met het opzetten en het uitvoeren van een securitybeleid.
Nu je weet dat de basis op orde is, waar liggen voor jouw organisatie nu echt de risico’s en hoe kies je wat hierbij de best passende strategie is? In de volgende blog nemen we de Cyberrisico analyse onder de loep!
Heb je behoefte om te sparren of zoek je een partner die je volledig kan ondersteunen met het op orde krijgen van jouw cybersecurity? We helpen graag. Wij focussen daarbij niet alleen op het ontwikkelen van de juiste beveiliging, maar zorgen er ook voor dat je medewerkers er op een verantwoorde manier mee omgaan. Wil je weten waar jouw organisatie staat op het gebied van beveiliging? Neem contact met ons op of mail mij op mrijn@uno.nl of bel naar 070-3300010.
Mark-Peter van Rijn
Directeur bij UNO