Hoe DORA de digitale weerbaarheid gaat verhogen
Kees Stammes van Securify aan het woord: “DORA is keihard nodig.”
De Digital Operations Resilience Act (DORA), die op 17 januari 2025 in werking treedt, heeft als doel de financiële wereld weerbaarder te maken tegen eventuele cyberaanvallen. Dit gebeurt op basis van vijf pijlers, waarvan één, ‘Digital Operational Resilience Testing’, voor veel bedrijven nog veel voeten in aarde zal hebben. Kees Stammes, Managing Director van Securify, wijdt er in dit artikel graag verder over uit.
De pentest, ofwel penetratietest, is een veelgehoorde term in de sector. Een jaarlijks terugkerende test waarin een ethische hacker een poging doet binnen te komen in jouw systemen. Maar eens per jaar is niet meer genoeg. Vindt DORA, maar ook Kees: “De klassieke jaarlijkse pentest voldoet niet meer in deze tijd. We leven in een tijd van continue innovatie waarbij organisaties en hackers continu blijven door ontwikkelen. De kans op, en impact van een veiligheidsincident is de afgelopen 10 jaar enorm toegenomen. Die veranderingen zijn niet met een jaarlijkse pentest af te vangen. De DORA maatregelen verplichten organisaties daarom om een teststrategie te hebben, gebaseerd op deze actuele risico’s. Een gamechanger voor kleine en middelgrote organisaties in de financiële sector.”
DORA: gemengde gevoelens
DORA kan in eerste instantie pessimisme oproepen. Zo vergroot het de bureaucratie en ontstaan er meer verplichtingen. Daarnaast kost het traject tijd, geld en moeite omdat er wordt verwacht dat bedrijven de werkzaamheden goed bijhouden. Zo moeten bedrijven jaarlijks een risicobeoordeling uitvoeren, leveranciersrisico’s in kaart worden gebracht, incidenten en cyberdreigingen worden gedeeld en moet er een teststrategie worden opgesteld. Daarentegen verhoogt het de digitale weerbaarheid van financiële organisaties. Momenteel verschijnen wekelijks nieuwsberichten over organisaties die geteisterd zijn door cyberaanvallen en datalekken. “Wetgeving op cyber security gebied loopt ver achter op andere wetgevingen”, aldus Kees, “Kijk bijvoorbeeld naar alle restricties en controles in de farmaceutische industrie. Je kunt je niet voorstellen dat medicijnen niet getest worden voordat ze op de markt komen. Medicatie moet doen wat het moet doen zonder dat je je zorgen hoeft te maken over je veiligheid. Dat verwacht je ook bij het gebruik van hard- en software.”
Verschillende risicoprofielen zorgen voor verschillende teststrategieën
Een groot onderdeel van DORA is het opstellen van het IT Risk Management Framework. Het is essentieel voor organisaties om te achterhalen welke belangen moeten worden beschermd. Omdat dit voor elke organisatie anders is, levert dat een uniek risicoprofiel op. Voor een InsurTech-bedrijf is het misbruiken van een veelgebruikte app misschien het grootste risico, terwijl er bij een traditionele verzekeraar meer risico’s over de hele breedte van de organisatie te identificeren zijn. Organisaties moeten daarom een teststrategie ontwikkelen op basis van de te beschermen belangen voor hun eigen organisatie. Securify adviseert om een teststrategie te bouwen op basis van de vier niveau’s: codeniveau, applicatieniveau, infrastructuurniveau en organisatieniveau. Een teststrategie wordt vaak gebouwd op basis van een Security Gap Analyse. Hiermee krijgt een organisatie met behulp van een externe partij inzicht in de staat van beveiliging van de organisatie. Hieruit volgen concrete verbeterpunten en een stappenplan, inclusief teststrategie. Met een Security Gap Analyse krijgen organisaties snel inzicht in de eigen weerbaarheid en mogelijke aanvalspaden van kwaadwillende. “Stap één bij nieuwe klanten is vaak een Security Gap Analyse. Wij kunnen hiermee helpen, omdat wij met onze aanvallersblik naar organisaties kijken. Daarnaast hebben wij de dreigingsinformatie in huis om sector- en organisatiespecifiek advies te kunnen geven.”
Een onderdeel van de Security Gap Analyse is de voor DORA benodigde teststrategie. Onderdelen binnen deze teststrategie variëren van vulnerability scanning, pentesting, fysieke testen, code reviews en een Red Teaming variant, de Threat Led Penetration Test. “We voeren al ruim 10 jaar deze testen uit, waarbij we altijd een stapje verder gaan en dieper graven. Zo voeren wij het hoogste percentage van whitebox pentesten uit in de markt. Dit houdt in dat wij met zoveel mogelijk informatie testen, en we ook de broncode beschikbaar hebben om efficiënter en diepgaander te testen. Hierdoor kunnen wij de moeilijkste kwetsbaarden vinden en klanten van beter advies voorzien,” aldus Kees. “Daarnaast hebben wij met onze Inline dienstverlening de klassieke pentest veranderd in een agile code review proces. Hiermee inspecteren onze (veelal) senior specialisten de broncode in elke sprint op kwetsbaarheden, waardoor organisaties de focus kunnen houden op innovatie zonder zich daarbij zorgen te hoeven maken over security.”
Threat Led Penetration Test
Red Teaming volgens het ART of TIBER framework?
DNB heeft op 10 april 2024 het ART framework gelanceerd. Advanced Red Teaming kan worden ingezet om op hoogwaardig niveau realistische scenario’s uit te voeren. Het heeft een modulaire opbouw, zodat organisaties zelf elementen kan selecteren waar de test uit zal bestaan. Het ART framework is een afgeleide van het TIBER framework, die striktere maatregelen hanteert aan de test. TIBER test de volledige organisatie op alle elementen en stelt bijvoorbeeld drie scenario’s in de test verplicht, waar ART minimaal 1 scenario vraagt.
In de DORA verordening staat dat de Threat Lead Penetration Test volgens het TIBER framework moet worden uitgevoerd. Met de lancering van ART bestaat de mogelijkheid dat DORA dit framework zou kunnen gaan hanteren in plaats van het TIBER framework. ART is makkelijker uit te voeren en kan organisaties veel geld schelen, omdat het minder tijd in beslag neemt. “Beide frameworks testen de gehele organisatie op basis van een actueel scenario, maar ART is laagdrempeliger. Zo kunnen kleinere organisaties makkelijker instappen en wennen aan een Red Teaming test. Vanwege de lancering van ART en DORA verwachten wij meer Red Teaming opdrachten uit te voeren. Securify is sterk vertegenwoordigd in de financiële sector, dus wij voeren deze scenario gebaseerde testen al met enige regelmaat uit. Maar dit zal weer een extra boost geven die nodig is om de gehele sector digitaal weerbaarder te maken,” concludeert Kees.
Wat doet Securify?
Securify, gevestigd in Amsterdam, is in 2013 opgericht door voormalige beveiligingsspecialisten van ABN AMRO, Rabobank en Delta Lloyd. In 2024 bestaat Securify uit een team van 50 ethische hackers, secure coding-experts en security researchers. Securify is gespecialiseerd in allerlei preventieve beveiligingsopdrachten en helpt organisaties om technische beveiligingsrisico’s te identificeren, op te lossen en te voorkomen.
Veel bedrijven, variërend van startups tot grote banken, vertrouwen al jaren op Securify om hun systemen en applicaties goed te beveiligen. Met de honderden penetratietests, code reviews en red teaming-oefeningen die elk jaar worden uitgevoerd, helpt het team om de gegevens van miljoenen Nederlandse burgers beter te beveiligen.
Lees ook
Meer
De complexe wereld van IT-regelgeving voor gemeenten
Voor IT- en compliance-verantwoordelijken bij gemeenten wordt de wereld steeds complexer. Naast de dagelijkse uitdaging om...
READ MORESecurity controls in hybride cloudomgevingen
Een holistische benadering van security controls is cruciaal voor het verhogen van de digitale weerbaarheid.
De stand van cybersecurity in de financiele sector in Nederland
Bedreigingen worden steeds geavanceerder, regelgeving wordt strenger en de druk op IT-professionals blijft toenemen.