Discussies over cybersecurity richten zich al snel op grote geavanceerde dreigingen uit cyberspace. Dat is jammer, want daardoor verzuimen bedrijven eenvoudige maatregelen te nemen die direct effect sorteren. Vergelijk het met fysieke beveiliging: we kunnen het hebben over bewakingsrobots, druksensoren en laserstralen, maar misschien moeten we eens beginnen met fatsoenlijke sloten op de deur.
Cybersecurity zou een integraal onderdeel moeten zijn van het totale beveiligingsplan van organisaties. Toch wordt cybersecurity nog steeds veel gezien als een typisch ‘IT-ding’: een abstracte strijd die zich afspeelt in een digitaal domein dat ver af staat van onze fysieke beveiliging.
Vrijwel iedereen is kwetsbaar voor digitale dreigingen
Dat is begrijpelijk, maar onverstandig. Uit het jaarlijkse Data Threat Report van Thales bleek onlangs nog dat inmiddels vrijwel iedere organisatie (99%) digitale technologie gebruikt om gevoelige gegevens te verwerken. Nu de AVG is ingevoerd, begint langzamerhand door te dringen wat dat betekent: bijna iedereen is kwetsbaar voor digitale dreigingen.
Steeds vaker schade die makkelijk voorkomen had kunnen worden
Je zou verwachten dat een land als Nederland, dat sterk leunt op de dienstensector, vanuit een duidelijk economisch belang zijn best doet zich te onderscheiden met een hoog algemeen niveau van cybersecurity. Toch constateerde de Nationaal Coördinator Terrorismebestrijding en Veiligheid in het Cybersecuritybeeld Nederland 2018 dat de digitale weerbaarheid van Nederland onder druk staat. “Organisaties worden succesvol aangevallen met eenvoudige methoden”, stelt het rapport. Steeds vaker lopen bedrijven grote schade op die voorkomen had kunnen worden met een paar simpele maatregelen.
Specialisten zijn pas nodig nadat de eerste eenvoudige maatregelen zijn genomen
‘Simpel’ is niet het eerste waar mensen aan denken als het gaat over cybersecurity. En met reden: cybersecurity op hoog niveau is een vak apart. Niet voor niets wordt cybersecurity steeds vaker uitbesteed aan externe specialisten, die kunnen beschikken over de schaarse mensen met de juiste actuele kennis om kwetsbaarheden en aanvallen tijdig te herkennen en af te vangen. Maar dat specialisme wordt eigenlijk pas echt relevant als eerst de meest eenvoudige maatregelen zijn genomen.
Cybercriminelen richten zich steeds vaker op ‘laag hangend fruit’
De dreigingen vanuit het digitale domein nemen hand over hand toe en er is inmiddels geen organisatie meer denkbaar die daar immuun voor is. De meest kwetsbare organisaties, zoals in de financiële sector, beginnen langzamerhand hun digitale beveiliging te verbeteren. Daardoor richt de cybercriminaliteit zich steeds vaker op het ‘laaghangende fruit’ van partijen die misschien niet de kostbaarste digitale schatten te bewaken hebben, maar simpelweg door hun lage beveiligingsniveau toch interessante slachtoffers zijn, bijvoorbeeld voor chantage. Denk maar aan de golf ransomware-aanvallen van het afgelopen jaar.
Kan het ook zonder peperdure cybersecurity experts?
Ook organisaties die niet per se grote belangen hebben in de digitale wereld zouden in staat moeten zijn in elk geval de meest voorkomende dreigingen tegen te houden zonder meteen een team peperdure cybersecurity experts in te huren. Maar hoe?
Standaarden bieden niet altijd een oplossing
Er zijn wel standaarden die in grote lijnen aangeven wat er moet gebeuren. Maar die standaarden zijn vaak tamelijk abstract. ISO 27001 beschrijft bijvoorbeeld in grote lijnen wat een organisatie allemaal zou moeten doen, maar zegt niet hoe. Bedrijven werpen er een blik op en schuiven het dan door naar hun vaak toch al overbelaste IT-team. Maar ook voor hen is het bijna niet te doen om uit te zoeken hoe al die standaarden zich vertalen naar concrete maatregelen voor hun specifieke onderneming.
Algemene Beveiligingseisen Defensie Opdrachten (ABDO)
Nu is er een organisatie die zich al veel langer bezighoudt met de bescherming van maatschappelijke belangen. Die organisatie is het ministerie van Defensie. Defensie is er vanuit de aard en verantwoordelijkheid van de organisatie bijzonder bij gebaat dat hun zakenpartners voldoen aan een minimaal beveiligingsniveau. Daarvoor heeft Defensie de ABDO opgesteld: de Algemene Beveiligingseisen Defensie Opdrachten. ABDO is een heel praktisch document, waarin puntsgewijs beschreven staat aan welke veiligheidseisen je moet voldoen als je zaken wilt doen met Defensie.
Praktische lijst van eisen
ABDO stelt eisen aan organisatie, personeel en fysieke beveiliging, maar bevat sinds 2017 ook een uitgebreide cyber-component. In feite is ABDO een checklist waarop organisaties voor verschillende beveiligingsniveaus concrete maatregelen kunnen afstrepen die ze minimaal genomen moeten hebben. De lijst is zo praktisch dat je je kunt afvragen waarom hij niet veel breder wordt ingezet.
Beveiliging van Te Beschermen Belangen
Defensie heeft ABDO opgehangen aan de beveiliging van ‘TBB’s’: Te Beschermen Belangen die onder de verantwoording van het Ministerie van Defensie vallen. Defensie bestaat vooral om ons grondgebied te beschermen en de (internationale) rechtsorde en stabiliteit te bevorderen. Maar de samenleving als geheel heeft wel meer ‘te beschermen belangen’ dan dat. Denk aan onze welvaart en economie. Dus wellicht is het tijd dat we de beveiligingseisen van Defensie wat breder gaan trekken.
Tal van initiatieven voor digitale veiligheid
De Nederlandse overheid doet al veel. Defensie heeft inmiddels een Cyber Commando en het Defensie Computer Emergency Response Team (DefCERT). Justitie heeft het Nationaal Cyber Security Center (NCSC). Het ministerie van Economische Zaken en Klimaat heeft het Digital Trust Center gelanceerd. Zo zijn er nog tal van initiatieven waarmee vanuit de regering hard aan onze digitale veiligheid wordt gewerkt.
Nationale Cybersecurity Agenda
Maar bij de presentatie van de Nederlandse Cybersecurity Agenda (NCSA), in april dit jaar, zei minister van Justitie en Veiligheid Grapperhaus: “Cybersecurity is onlosmakelijk verbonden met onze nationale veiligheid en het ongestoord functioneren van onze maatschappij. Nu we zien dat de dreiging van cyberaanvallen toe blijft nemen, moet het basisniveau van beveiliging omhoog. Dat kunnen we als overheid niet alleen.”
Oproep aan alle partijen om hun verantwoordelijkheid te nemen
In de NCSA pleit de minister dan ook nadrukkelijk voor meer samenwerking tussen de publieke en private sector: “Voor een veilig klimaat in het digitale domein mag en moet van alle partijen verwacht worden dat zij hun verantwoordelijkheid nemen en hun bijdrage leveren om Nederland samen digitaal veilig te maken en te houden.”
Eigen verantwoordelijkheid van de gebruikers
Het is absoluut in het belang van iedereen dat de toch al schaarse kennis en ervaring van en met cybersecurity zo goed mogelijk worden gedeeld. Tegelijkertijd ligt er ook een belangrijke verantwoordelijkheid bij gebruikers.
Zelfs de beste cybersecurityspecialisten kunnen weinig uitrichten als de digitale samenleving aan de onderkant zo lek is als een mandje
Iedere beveiliging is zo goed als de zwakste schakel. Zelfs een krachtige overheid en de beste cybersecurityspecialisten kunnen weinig uitrichten als de digitale samenleving aan de onderkant zo lek is als een mandje. Als we er niet snel voor kunnen zorgen dat we de basis op orde krijgen, komt Nederland op achterstand te staan. Het laatste wat we willen is dat Nederland Dienstenland binnen Europa een slechte digitale reputatie krijgt.
Nederland op de 15e plaats in de Global Cybersecurity Index 2017
Zover is het gelukkig, mede dankzij onze overheid, nog lang niet. In de Global Cybersecurity Index 2017 van de International Telecommunication Union (ITU) staat Nederland internationaal keurig 15e. Maar wel achter andere Europese landen zoals Groot-Brittannië, Frankrijk en Noorwegen. Ons zwakke punt zit hem volgens het GCI-rapport vooral in ‘Cybersecurity good practices’. Door simpelweg meer aandacht te besteden aan de meest voor de hand liggende basismaatregelen kan Nederland zomaar een paar plaatsen stijgen. Dat is leuk voor de ranking en goed voor onze concurrentiepositie, maar het maakt ons vooral ook minder aantrekkelijk voor cybercrime.
Zorgen ervoor dat je niet de fiets hebt met het slechtste slot in het rijtje
Voor een goede beveiliging is het niet altijd nodig, laat staan wenselijk, alle risico’s uit te sluiten. Vaak is het een kwestie van gezond verstand. Je beschermen tegen een gerichte aanval is bijvoorbeeld heel wat anders dan ervoor zorgen dat je niet het meest voor de hand liggende slachtoffer bent. Vergelijk het met je fiets: als dieven hem per se willen hebben, kan zelfs een peperduur slot ze niet altijd tegenhouden – maar onder normale omstandigheden is het vooral belangrijk dat jij niet de fiets hebt met het slechtste slot in het rijtje.
ABDO helpt bij het nemen van simpele maatregelen te nemen, waarmee organisaties minder aantrekkelijk worden voor cybercriminelen
Ook voor cybersecurity geldt dat je nooit in de positie wilt komen dat jouw organisatie – laat staan jouw land – aantrekkelijk wordt voor cybercrime, enkel en alleen omdat je een paar simpele maatregelen niet hebt genomen. ABDO kan daarbij helpen. Bedrijven die ABDO toepassen vanuit een zakelijke relatie met Defensie, bouwen nu al een voorsprong op in hun digitale transformatie. Om ABDO ook buiten die context toe te passen, is het document op te vragen bij het bureau Industrieveiligheid van het ministerie van Defensie en vrij te downloaden van Defensie.nl. Onkwetsbaar worden we er niet van – maar het helpt wel het basisniveau van cybersecurity te bereiken dat onze digitale economie broodnodig heeft.
René van Buuren is directeur Cybersecurity bij Thales Nederland