Het recept voor een weerbare organisatie

Er lijkt iets grondig mis met de digitale weerbaarheid van Nederlandse organisaties. De Nationaal Coördinator Terrorismebestrijding en Veiligheid stelt in het Cybersecuritybeeld Nederland 2019 onomwonden dat “incidenten voorkomen hadden kunnen worden en schade beperkter had kunnen zijn door het nemen van basismaatregelen”. Terwijl de angst voor “statelijke actoren” en professionele hackers toeneemt, blijkt het voor veel organisaties al een hele uitdaging om een fatsoenlijke weerstand op te bouwen tegen huis-, tuin- en keukendreigingen.

De eerste stap om de weerbaarheid te verhogen is je eigen kwetsbaarheid onder ogen zien. Als we denken aan en praten over cybersecurity, en hoe we ons daartegen kunnen wapenen, dan gaat het gesprek al snel over techniek. Met firewalls en andere maatregelen kan in no-time een muur rond een organisatie worden opgetrokken – en dan denkt men voldoende beschermd te zijn. Dat is op zich geen gekke gedachte, als je ervan uitgaat dat de dreiging van buiten komt.

Helaas blijkt uit steeds meer onderzoeken dat een groeiend aantal incidenten (tot 50% en meer, afhankelijk van het onderzoek dat je leest) is terug te voeren op fouten binnen de eigen organisatie. Dan hebben we het niet alleen over kwaadwillende medewerkers (waarvan iedereen wil geloven dat ze die niet hebben), maar vooral ook over onachtzaam of onverschillig gedrag, manipulatie (social engineering), slecht geconfigureerde hard- en software, en onduidelijke, onvolledige of zelfs ontbrekende processen.

Je kunt peperdure sloten op je deuren laten zetten, maar als je vervolgens domweg je raam open laat staan, heeft dat niet zo gek veel zin. Zelfs de beste cybersecurity kan weinig uitrichten tegen medewerkers die eenvoudig de poort uitlopen met je bedrijfsgegevens. Goedkope en eenvoudige trucs zoals phishing of smishing (phishing via text messaging) en pure bluf blijken vaak voldoende om de gegevens te bemachtigen die nodig zijn om hele bedrijfsrekeningen leeg te plunderen. Staar je dus niet blind op technologie, maar zorg dat je je mensen en processen op orde hebt.

Drie maatregelen in de mix

Het eerste wat organisaties helpt om hun weerbaarheid te verhogen, is de basis van de organisatie beheersbaar maken. Als je niet weet dat je een kelderraam hebt, kun je ook niet controleren of het gesloten is. Zorg daarom zo snel mogelijk voor volledig en actueel inzicht in de middelen, de gebruikers en het netwerkverkeer van je totale infrastructuur. Dat helpt je de gevolgen van mogelijke incidenten in te schatten, en dus ook beter te bepalen waar je kwetsbaar bent en waar je mogelijk aanvullende maatregelen zou moeten nemen. Bovendien is dergelijk inzicht een voorwaarde om incidenten tijdig te ontdekken (nog steeds komen organisaties er pas na maanden achter dat er een security incident heeft plaatsgevonden – en dan nog vaak doordat anderen het ze komen vertellen).

Het tweede waar je voor moet zorgen is dat je minimaal de maatregelen neemt die iedereen genomen zou moeten hebben. Als je weet dat er insluipers in de buurt actief zijn, en jij laat gewoon je ramen open staan, dan kun je ervan op aan dat je vroeg of laat ongewenst bezoek krijgt. Vulnerability management zorgt ervoor dat bekende kwetsbaarheden snel worden aangepakt, bijvoorbeeld door de nieuwste patches en updates te installeren en mogelijke configuratieconflicten direct op te lossen. Bij Solvinity en voor onze klanten is dat een proces waar we voortdurend mee bezig zijn.

Dat klinkt zo vanzelfsprekend, maar de lijst bekende kwetsbaarheden is bijzonder groot, en actief controleren of al die potentiële problemen fatsoenlijk zijn opgelost is een hele klus. Tegelijkertijd kun je ervan uitgaan dat die kwetsbaarheden ook bekend zijn bij de booswichten. Die lopen simpelweg de lijst langs om te zien wie zijn zaken niet op orde heeft. Zorg dus dat je vulnerability management beheerst. Het laatste wat je wilt is achteraf aan je klanten uitleggen dat je security-probleem eenvoudig voorkomen had kunnen worden (je wilt niet weten hoe vaak dit nog voorkomt).

En tot slot: maak security een verantwoordelijkheid voor iedereen in je organisatie. De schade door phishing is, zo publiceerde de Volkskrant in maart van dit jaar, in een jaar tijd verviervoudigd. Dit komt niet alleen doordat fraudeurs geraffineerder te werk gaan, maar ook doordat mensen de risico’s onvoldoende herkennen en erkennen. De mens als zwakste schakel dus.

Bewustwording is hier het ‘toverwoord’. Maak je mensen bewust van de risico’s. Wijzelf testen onze eigen medewerkers zeer regelmatig met social engineering-pogingen van verschillende kwaliteit en geraffineerdheid. Door er een onderlinge competitie van te maken en de resultaten met elkaar te delen, compleet met puntentelling en leaderboards, wordt het hele team veel alerter op bijvoorbeeld phishing, verdachte links en andere pogingen om mensen te verleiden data af te geven of handelingen uit te voeren die het bedrijf kwetsbaar maken.

Er zijn hele goede en dure oplossingen op de markt om jezelf te beschermen tegen geavanceerde bedreigingen van buiten. Maar het heeft pas zin daarnaar te kijken als je je eigen organisatie onder controle hebt. Inzicht in je eigen kwetsbaarheid, bekende kwetsbaarheden direct verhelpen, en medewerkers die zich verantwoordelijk voelen: die mix is het basisrecept voor een weerbare organisatie.

Security by Design white paper

Veiligheid begint bij de basis

In ons werk als IT dienstverlener streven wij naar een veilige digitale toekomst. Je zult je afvragen of dat nog mogelijk is in een tijd waarin zelfs amateuristische cybervandalen grote schade aanrichten aan organisaties? Ons antwoord is “Ja!”. Samen met onze klanten doen wij er alles aan om een betrouwbare uitgangspositie te creëren voor een gezonde digitale toekomst. En dat begint bij de basis.