Met vijf vernieuwde basisprincipes die opgesteld zijn naar aanleiding van de Nederlandse Cybersecuritystrategie 2022-2028, geven het Nationaal Cyber Security Centrum (NCSC) en Digital Trust Centrum (DTC) hun visie op een digitaal veilig en weerbaar Nederland voor iedereen.
Door Sarala Jelgersma / Beeld Shutterstock
Bij de ontwikkeling van de vijf basisprincipes zijn niet alleen de eigen bestaande richtlijnen als uitgangspunt genomen, maar ook die van andere organisaties, zoals de AIVD (Algemene Inlichtingen- en Veiligheidsdienst), CIO Rijk (directie Chief Information Office-Rijk), Cyberveilig Nederland en de Rijksinspectie Digitale Infrastructuur (RDI). “We hebben de verschillende richtlijnen en principes naast elkaar gelegd en geanalyseerd. Op basis van overeenkomsten en verschillen hebben we de meest relevante elementen geselecteerd en samengebracht in een gezamenlijke, breed gedragen set”, zegt Anthonie Drenth, cybersecurityadviseur bij het NCSC.
Met de introductie van deze uniforme en breed afgestemde set basisprincipes is er nu één leidraad die toepasbaar is voor alle bedrijven en organisaties in Nederland. Inhoudelijk is de vernieuwde set gebaseerd op bestaande richtlijnen zoals NIST CSF en NIS2.
> LEES OOK: Vers van de pers: Security Management 3: Cybersecurity
Breed toepasbaar
Om de mogelijkheden van digitalisering optimaal te benutten, is digitale weerbaarheid een belangrijke voorwaarde. De realiteit is dat grote en kleine organisaties dagelijks te maken hebben met digitale dreigingen. Dit kan variëren van een datalek tot bijvoorbeeld uitval van de productieomgeving. De impact hiervan kan groot zijn. Van reputatieschade tot gevaar voor de bedrijfscontinuïteit.
Organisaties moeten zich daarom weren tegen deze dreigingen door werk te maken van hun digitale weerbaarheid. Het DTC en het NCSC hadden voor de gemeenschappelijke basisprincipes ieder hun eigen aparte richtlijnen voor hun eigen doelgroep. De richtlijnen van het DTC waren gericht op niet-vitale bedrijven en organisaties, terwijl die van het NCSC gericht waren op de Rijksoverheid en organisaties in vitale sectoren.
> LEES OOK: Nederland versnelt met vernieuwde Digitaliseringsstrategie
Eenduidig en uniform
“Een kleine ondernemer heeft vaak andere middelen en risico’s dan een vitale organisatie, maar met deze basisprincipes krijgt iedere organisatie een eenduidig en uniform houvast vanuit de overheid”, zegt Matthijs van Amelsfort, directeur van het NCSC. “De basisprincipes zijn zo opgesteld dat ze zowel praktisch als breed toepasbaar zijn. Ze bieden concrete handvatten waarmee zowel kleine als grote, vitale en niet-vitale bedrijven en organisaties hun digitale veiligheid kunnen verbeteren.”
Proactief
De website van het NCSC biedt naast een overzicht van de basisprincipes ook verdere verdieping. Zo zijn er naast praktische adviezen ook infosheets en filmpjes die handvatten bieden voor digitale weerbaarheid. “We verkondigen de basisprincipes ook proactief”, aldus een woordvoerder van het NCSC. “We hebben regelmatig contact met bedrijven en overheidsorganisaties. In onze adviezen vallen we regelmatig terug op de basisprincipes.” Bij de ontwikkeling is ook met meerdere overheidsinstanties nagedacht over de uitwerking en ook cybersecurityorganisaties hebben een bijdrage geleverd aan de totstandkoming.
Positieve feedback
De feedback die het NCSC krijgt is over het algemeen positief. “Dat komt omdat de principes eenvoudig en duidelijk zijn, hetgeen helpt om organisaties een concreet handvat te bieden om met cybersecurity aan de slag te gaan. Uiteraard was er ook kritiek. Dat zit hem in de vraag: welke onderliggende adviezen geef je nu wel en welke niet? Is bijvoorbeeld het updaten van software altijd een goed idee of moet je er meer risicogestuurd naar kijken? Maar ook: welk volwassenheidsniveau is nu precies het uitgangspunt van de basisprincipes? Daar hebben we veel discussie over gehad.”
De vijf basisprincipes
De basisprincipes zijn als volgt:
BASISPRINCIPE 1: Breng je risico’s in kaart
Een goede bedrijfsvoering valt of staat met een passend niveau van digitale weerbaarheid. Dat wil zeggen dat de informatie en informatiesystemen zijn beveiligd op een manier die aansluit bij je bedrijfsdoelstellingen. Wanneer je risicomanagement goed op orde is, weet je wat je in huis hebt, wat de dreigingen zijn en welke risico’s je bereid bent te nemen. Goed risicomanagement begint bij een risicoanalyse die inzicht geeft in welke belangen beschermd moeten worden en waar kansen liggen voor het groeien in weerbaarheid. Ook (technische) afhankelijkheden van leveranciers en risico’s kunnen in kaart worden gebracht.
Daarnaast is het belangrijk dat het risicomanagement wordt ingebed in de bedrijfscultuur, zodat het geen losstaande of eenmalige activiteit wordt, maar er periodiek risicoanalyses worden uitgevoerd waarbij het duidelijk is welke maatregelen er genomen worden, op welke termijn, door wie, en wie eigenaar is van het risico.
Bij het merendeel van de cyberincidenten is een mens betrokken
BASISPRINCIPE 2: Bevorder veilig gedrag
Bij het merendeel van de cyberincidenten is een mens betrokken. Bekende voorbeelden zijn phishingmails of het achterlaten van een geïnfecteerde USB-stick. Soms veroorzaken medewerkers zonder tussenkomst van een aanvaller onbedoeld een datalek. Het bevorderen van veilig gedrag is daarom essentieel om te groeien in digitale weerbaarheid. Dat kan door medewerkers bewust te maken van risico’s en te trainen hoe om te gaan met incidenten. Technische oplossingen kunnen hierbij helpen. Denk aan spamfilters om phishing te herkennen, of hulpmiddelen bij het veilig maken en opslaan van wachtwoorden.
Besteed daarnaast ook aandacht aan een veilige meldcultuur. Het tijdig detecteren van een incident is vaak cruciaal. Door het melden van incidenten eenvoudiger te maken, je medewerkers actief aan te moedigen te melden en melders te belonen, verlaag je de drempels en draag je bij aan een veilige meldcultuur.
BASISPRINCIPE 3: Bescherm systemen, applicaties en apparaten
Software computer en netwerkapparatuur worden vaak geleverd met standaardinstellingen Deze bevatten meestal meer functionaliteiten dan een organisatie nodig heeft waardoor het kwaadwillenden onnodig meer ruimte geeft om aan te vallen.
Door het aanvalsoppervlak te beperken, verklein je die mogelijkheid. Dit doe je door alle functionaliteiten en communicatie-openingen die niet nodig zijn voor het realiseren van de bedrijfsdoelen uit te zetten of te verwijden.
Verder is het belangrijk om het systeem tijdig te updaten en systemen te patchen om kwetsbaarheden zo snel mogelijk te verminderen. Om tijdig te kunnen reageren op aanvallen en de schade te beperken kan gebruik worden gemaakt van monitoring en detectieoplossingen.
BASISPRINCIPE 4: Beheer de toegang
Verklein de kans op ongelukken en misbruik, door medewerkers en partners alleen toegang te geven tot systemen en locaties die ze nodig hebben voor het uitvoeren van hun taken. Dit beperken van toegang tot tijd en informatie wordt ook wel het systeem van least privilege genoemd. De toegang moet bovendien goed beheerd worden (identity and access management). Dit geldt voor zowel logische als fysieke toegang. Ook de toegang tot service accounts, machine-accounts en functionele accounts dient te worden beperkt tot het noodzakelijke.
BASISPRINCIPE 5: Bereid je voor op incidenten
Het regelmatig oefenen en testen van response herstelplannen geeft inzicht in de gevolgen en weerbaarheid na een incident. Daarnaast is het periodiek opleiden en trainen van personeel een punt van aandacht Zij moeten vertrouwd raken met de taken die zij hebben in het response en herstelteam processen internaliseren de procedures kennen en vlieguren maken in de uitvoering van hun werkzaamheden.
Volg Security Management op LinkedIn
