Cyber security is goed, cyber-weerbaarheid (‘cyber resilience’) is beter. Cyber security is een serieuze zaak. De bedreigingen die op ons afkomen beperken zich niet tot het missen van een aantal bestanden, het uitlekken van een adressenlijst of het uit de lucht halen van een website.
Inmiddels vormen it-systemen een essentiële en serieuze rol in ons dagelijks leven. Het uitvallen of zelfs haperen van deze systemen kan drastische gevolgen hebben in de digitale en de fysieke wereld. Zo heeft de hack van Diginotar ons laten zien hoe kwetsbaar enkele essentiële onderdelen in onze it-infrastructuur kunnen zijn. De gevolgen beperkten zich niet tot uitval van enkele websites, maar ook essentiële koppelingen tussen systemen en de interfaces met de belastingdienst waren niet meer veilig. De fysieke infrastructuur die we dagelijks gebruiken is dusdanig afhankelijk van it dat essentiële onderdelen van ons dagelijks leven niet meer functioneren zonder een veilige en betrouwbare verbinding. Denk daarbij aan elektronisch handelsverkeer, routeplanning, bewegwijzering, treinbesturing of aan fundamentele diensten zoals elektriciteit, gas en water.
We beschermen onze systemen tegen ongeoorloofd en crimineel gebruik. Maar we realiseren ons te weinig dat cyber security nooit 100 procent veiligheid garandeert. De genomen maatregelen en checklists wekken vaak de illusie dat ‘het goed geregeld is’. Het tegendeel is waar. Organisaties moeten voorbereid zijn op de gevolgen van cyberinbraken en een plan klaar hebben dat de financiële-, operationele-, en reputatieschade beperkt. Dit betekent niet alleen gevolgen voor techniek, maar ook in de processen en attitude van de medewerkers. Neem hierbij als uitgangspunt dat cyber criminaliteit jou gaat raken. Accepteer dat je gehackt gaat worden en bekijk dan welke maatregelen je gaat nemen.
Op dit moment is het melden van een cyber-inbraak nog altijd een gevoelig punt. Incidenten komen te laat aan het licht en maatregelen worden te laat genomen. Het reduceren van de ernst en het bagatelliseren van de gevolgen is nog al te vaak de standaard reactie. Dit moet veranderen willen we weerbaarder worden. Organisaties moeten zich actief voorbereiden op cybercriminaliteit en het melden van incidenten moet de normaalste zaak van de wereld worden.
Drie niveaus in beveiliging
In de beveiliging van onze organisaties onderkennen we drie niveaus; cyber security, detectie/monitoring en cyber weerbaarheid (cyber resilience).
Cyber security
Cyber security is beveiliging door het afschermen van systemen voor het garanderen van continuïteit. Het systeem wordt veiliger gemaakt met firewalls, access rules en certificaten die de toegang beperken. Dit werkt zoals een slotgracht om een kasteel. In een wereld met veel gekoppelde systemen is deze aanpak steeds minder effectief. Elke nieuwe koppelingen geeft namelijk extra toegang en brengt additionele bedreigingen met zich mee. Het beheren en beheersen van deze toegang is erg complex. Is iemand eenmaal over de slotgracht heen dan is het relatief eenvoudig om je onopgemerkt binnen het kasteel te bewegen.
Kern bij deze aanpak is het toepassen van de juiste regels voor toegang. Het toetsen van de aanwezigheid van de juiste cyber security maatregelen gebeurt met checklists. De praktijk wijst echter uit dat deze passieve controle onvoldoende is om een veilig gebruik van systemen te garanderen. Het met goed gevolg doorlopen van een cyber security checklist betekenen alleen dat de administratie klopt, het geeft geen garantie op een veilig systeem.
Detectie en monitoring
Het tweede niveau is het continu meten van de cyber security van je organisatie. Bij het toepassen van cyber security moet de organisatie in staat zijn om de inrichting te monitoren. De organisatie moet ook in staat zijn om afwijkingen te signaleren en potentiële inbraken te detecteren. Hiermee vormt de organisatie een beeld van de aanvallen die er vanuit het ecosysteem ontstaan.
Met deze monitoring ben je als bedrijf in staat om trends en ontwikkelingen in soorten bedreigingen te herkennen en proactief passende maatregelen te nemen. Er moet dus iemand in de organisatie verantwoordelijk zijn voor het detecteren en rapporteren van opvallende zaken en het nemen van passende maatregelen.
Cyber weerbaarheid
Uiteindelijk moet iedere organisatie naast een actief cyber security-model ook over een actief programma op het gebied van cyber weerbaarheid (‘cyber resilience’) beschikken. Dit gaat verder dan het aflopen van de eerder genoemde ‘compliance checklist. Een actief programma van cyber weerbaarheid bestaat uit een risico inventarisatie, het toepassen van een security policy, een recovery plan, een test protocol en een communicatieplan.
Hoe pak je dat aan?
Redeneer vanuit bedrijfsrisico’s (en niet vanuit checklists). Dit geeft een totaal andere benadering van security. Kijk niet naar de voorgeschreven lijsten, kijk naar je werkelijke organisatie. Wat is de belangrijkste informatie die de organisatie wil beschermen? Wat zijn de kritische bedrijfsfuncties en wat zijn de zaken waar je, in het geval van een cyber-aanval, het risico op verlies kunt verwerken? Op deze wijze maak je een afgewogen keuze waarbij je de continuïteit van je organisatie maximaal waarborgt tegen een acceptabele prijs.
Hanteer een ‘cyber security policy’ gericht op het actief beschermen van de belangrijkste activa van je organisatie (financieel maar ook qua informatie). Bepaal hoe men toegang krijgt tot deze bronnen en welke maatregelen zijn genomen om deze te beschermen. Zoek het antwoord op de volgende vragen: ‘Wie (maar ook welke systemen) hebben toegang tot welke informatie en bedrijfsfuncties?’; ‘Wat is het beleid bij het wijzigen van deze functies?’ Breng dit in kaart en zorg voor een actief security beleid om deze toegang te beheren.
Maak en ‘cyber recovery plan’. Met dit plan stel je je organisatie in staat om te overleven tijdens een cyber security-aanval en daarna snel te herstellen. Maak een gedetailleerd plan met de juiste prioriteiten. Bepaal de essentiële bedrijfsfuncties en leg vast hoe deze in het geval van een cyber-aanval beschermd en eventueel hersteld moeten worden.
Stel een ‘cyber test protocol’ samen waarin je de uitvoering van het cyber recovery-plan frequent oefent. Hoe vaker je dit plan test des te soepeler de uitvoering verloopt in het geval van een echte calamiteit. Ook zorg je ervoor dat het plan blijft werken in de continue veranderingen van de technische omgeving (infrastructuur) die je organisatie gebruikt.
Maak een ‘cyber communicatie plan’ waarin je op elk niveau van de organisatie helder hebt beschreven welke informatie en signalen er gedeeld moeten worden. Beschrijf in dit plan aan wie twijfels aan de huidige cyber security inrichting gemeld kunnen worden zonder dat daar enige vorm van repercussies aan verbonden zijn. Ook is de inrichting van goede communicatie vanuit het directieteam van de organisatie van essentieel belang. Op het moment dat er een aanval plaatsvindt moet de directie klanten, aandeelhouders en de andere stakeholders op een heldere en eenduidige wijze kunnen voorlichten over de situatie en de maatregelen die de organisatie heeft genomen. Niets is zo funest als een ceo die er geen idee van heeft waar het om gaat.
Cyber resilience
Met de verschuiving van aandacht van cyber security naar cyber resilience wordt de wijze waarop organisaties met cybercriminaliteit omgaan volwassener. Het is niet meer van deze tijd dat we een diepe slotgracht om onze systemen graven en ‘hopen dat het goed geregeld is’. Een aanval mag niet als een verrassing komen. Het uitgangspunt moet zijn dat we, ondanks alle preventiemaatregelen, ooit een keer slachtoffer worden. En als we dan daadwerkelijk gehackt worden, zijn we er in ieder geval klaar voor.
Cyber resilience gaat over het actief voorbereid zijn op de meest negatieve scenario’s waarbij we weten wat we moeten doen. Zodat we met vertrouwen een aanval inperken en zo snel mogelijk weer operationeel zijn. Zo kunnen we de investering in cyber security richten op de zaken met de hoogste business prioriteit en daarmee een effectief rendement op onze investering laten plaatsvinden.
Zorg dus dat je klaar staat als je gehackt wordt!
