Blog: Cybersecurity maand oktober: Houd je collega’s alert

Digitale technologie en netwerken (cyber) bieden een heel aantrekkelijke manier voor kwaadwillenden om druk uit te oefenen op vrijwel elke organisatie. Vanuit een afgeschermde locatie is immers de hele wereld bereikbaar. Bovendien zijn veel systemen kwetsbaar, door gebrekkige veiligheid van de technologie zelf, verkeerde implementatie, achterstallig onderhoud, onoplettend gebruik of een combinatie daarvan. Daarnaast is het opsporen en berechten van deze kwaadwillenden bijzonder ingewikkeld.  

De motieven van kwaadwillenden zijn veelal te scharen onder de noemers ‘aandacht vragen’ of ‘druk uitoefenen’. Bij aandacht vragen gaat het bijvoorbeeld om het laten zien van de kunde van de actor, of diens ideologische doel. Bij druk uitoefenen gaat het vaak om het verkrijgen van geld of het doen veranderen van gedrag van de aangevallen organisatie. Om druk uit te oefenen wordt bijvoorbeeld ransomware ingezet, een denial-of-service aanval uitgevoerd of (gedreigd met) sabotage. En zelfs als jouw organisatie niet het doelwit is van een aanval, kan het toch slachtoffer worden, bijvoorbeeld omdat een aanval ongericht is ingezet, of omdat een ketenpartner door de aanval wordt getroffen en niet beschikbaar is. Kortom: elke organisatie is potentieel slachtoffer van cyberellende en zou zich daarop moeten voorbereiden.

Wat te doen?
Er zijn vele instrumenten die aangeven hoe cybersecurity moet worden aangepakt, van gestandaardiseerde ISO-normen en NIST-kaders tot lijstjes basisprincipes. Ze komen grofweg op het volgende neer:

• Weet wat je moet beschermen: waar zijn kwaadwillenden mogelijk op uit en welke kennis en systemen zijn voor jouw organisatie cruciaal om voort te bestaan. Met andere woorden, wat zijn jouw te beschermen assets?
• Maak een plan om deze assets te beschermen tegen cyberdreigingen. Geef maatregelen aan die je zou moeten treffen, en in welke volgorde. Een roadmap. Hou daarbij in de gaten dat dit geen statisch plan zal zijn, de dreigingen evolueren en daar moet jouw plan rekening mee houden: cybersecurity is een wapenwedloop!
• Houd je assets in de gaten. Weet wat normaal gedrag is in jouw organisatie en de digitale systemen, zorg dat je afwijkend gedrag snel waarneemt en kunt beoordelen of het schadelijk gedrag is of niet.
• Zorg dat er een plan is voor als er toch iets gebeurt waardoor de normale operatie wordt verstoord. Hoe ga je dan handelen, welke partijen heb je nodig en hoe bereik je die? Oefen dit ook in de praktijk met de collega’s die daarbij betrokken zijn.
• Evalueer incidenten en leer ervan, pas zo nodig systemen, verantwoordelijkheden en processen aan.

Wie is aan zet?
Dat zijn we allemaal. Iedereen die met digitale technologie werkt, heeft een rol, al is het maar om deskundigen te waarschuwen bij afwijkend gedrag. Ook bestuurders en interne toezichthouders hebben duidelijke rollen, onder andere rond het zorgen voor cybersecuritybeleid, -cultuur en -investeringen. Belangrijk is dat rollen worden gedefinieerd en dat iedereen duidelijk weet welke rol(len) hij of zij heeft. Alleen dan kun je in control zijn.

Deze blog is een samenvatting van een uitgebreider artikel dat vooral is geschreven voor bestuurders. Deel het met hen en geef de cybersecuritymaand zo ook een zetje in jouw organisatie!

Ik wens je een veilige en weerbare maand!

Ronald Verbeek
Directeur
CIO Platform Nederland