Oktober is traditiegetrouw Cybersecurity-awarenessmaand. Hoewel je als organisatie continu moet werken aan het bewustzijn omtrent digitale weerbaarheid, is alle extra aandacht mooi meegenomen. Toeval wil dat de overheid juist deze maand één miljoen beschikbaar stelt voor het verder ontwikkelen van innovaties op het gebied van cybersecurity. Marcommit, PR- en contentmarketingbureau, vroeg aan zes security-experts: “Wat zou jij doen met één miljoen?”. Grote gemene deler: het kweken van bewustzijn.
De overheid ziet dat Nederlandse ondernemers een sleutelrol spelen in de opbouw van een veilige cyberinfrastructuur. De financiering, die loopt via de Rijksdienst voor Ondernemend Nederland, is bedoeld voor projecten die bijdragen aan thema’s als automatisering van bestaande cyberbeveiligingsoplossingen, behoud en scholing van personeel, en het veilig delen van data. Deze financiering behelst ongeveer 1 miljoen euro, die kan worden verdeeld over uiteenlopende projecten. Misschien een druppel op een gloeiende plaat, maar een reeks cybersecurityspecialisten weet er wel raad mee.
> LEES OOK: DTC introduceert cybersubsidie voor kleine bedrijven
Samenwerking tussen overheid, bedrijfsleven en onderwijs
Patrick Akkers, Network Engineer bij Wireless Logic, is in ieder geval blij dat het onderwerp cybersecurity een prominente plaats op de agenda van de overheid heeft. Dit is in zijn ogen bittere noodzaak, gezien de voortdurende dynamiek rondom beveiligingsdreigingen. “Ik onderstreep het belang van projecten die op deze wijze gefinancierd worden. Ik zie grote voordelen in het vergroten van het bewustzijn rondom cybersecurity door middel van begrijpelijke taal en eenvoudige tools. Denk hierbij aan de ontwikkeling van communicatie- en bewustwordingscampagnes met persoonlijke verhalen over de gevolgen van securitydreigingen op specifieke situaties.”
Daarnaast lijkt het Akkers raadzaam dat er wordt geïnvesteerd in educatieve inspanningen, met de focus op het gedrag van de gebruiker. Denk aan een e-learning module waarin je phishing leert herkennen. “Het zou enorm helpen als hierbij de samenwerking tussen de overheid, het bedrijfsleven en de onderwijssector wordt verbeterd om gezamenlijk de bewustwording en cybersecurity in Nederland te verbeteren.”
> LEES OOK: Miljoenennota spreekt amper over Cyber Security: in afgelopen 4 jaar 1 keer genoemd
‘Zie investeren in security als een kans’
Jeroen Hentschke, Propositie Lead Security bij Telindus, onderschrijft het belang van bewustzijn, maar zet zelf liever in op een bewustwordingscampagne richting bedrijfseigenaren. “Zij zijn uiteindelijk verantwoordelijk voor de borging van informatie beveiligings- en privacyvraagstukken binnen hun organisatie”, vertelt Hentschke. Hij ziet dat de cybersecurityindustrie in de regel gebruikmaakt van angstbeelden waarbij gigantische kosten en onherstelbare schade aan reputatie en IT-omgeving gebruikt worden om oplossingen te verkopen. “Het geld dat beschikbaar wordt gesteld vanuit de overheid zou ik besteden aan de ontwikkeling van een campagne die vooral de kansen benadrukt voor bedrijven die informatiebeveiliging hoog in het vaandel hebben staan. Vertrouwen van de klant, meer kansen om aan aanbestedingen mee te kunnen doen, beter en veiliger presterende IT-infrastructuur. Draai het om en zie investeren in security als een kans.”
> LEES OOK: Overheid start met campagne tegen online criminaliteit ‘Laat je niet interneppen’
Phishing simulatie
Het verbeteren van het bewustzijn kan op verschillende manieren. Dominique Frison, Consultant IT Security bij Ictivity, kiest bijvoorbeeld voor phishing simulatie. Phishing is de nog altijd zeer succesvolle manier om ‘slachtoffers’ op foute linkjes te laten klikken of om credentials los te peuteren. “Phishing-aanvallen zijn de meest voorkomende cyberdreiging. Simulatie biedt een actieve, realistische en proactieve benadering om medewerkers bewust te maken van de gevaren van dit soort aanvallen.”
Frison legt uit dat je met phishing simulatie medewerkers de daadwerkelijke technieken en tactieken van cybercriminelen kunt laten ervaren zonder daadwerkelijke schade aan te richten. “Dit hands-on leren vergroot de herkenning van phishing-pogingen en verbetert de alertheid van gebruikers.” Ten tweede biedt het de mogelijkheid om directe feedback en uitleg te geven aan deelnemers die bij een simulatie in de val zijn gelopen. Dit bevordert het leren door te doen en verbetert de respons van medewerkers op echte aanvallen. Ten slotte kun je simulaties op regelmatige basis uitvoeren, wat bijdraagt aan het behoud van een hoog bewustzijnsniveau in een steeds evoluerend dreigingslandschap. “We zijn inmiddels zover dat we met AI phishing simulaties kunnen aanpassen aan het veranderende dreigingslandschap en het kennisniveau van de medewerker.”
> LEES OOK: Senior Managers bewuster van cyberrisico’s, maar klikken wel vaker op kwaadaardige links
Daarnaast benadrukt Frison het belang van het verstrekken van subsidies aan kleine- en middelgrote ondernemingen. Hij vertelt: “Met deze subsidies kunnen organisaties hun beveiligingsinfrastructuur upgraden, waardoor ze zichzelf beter kunnen beveiligen tegen digitale dreigingen. Denk hierbij bijvoorbeeld aan de implementatie van geavanceerde firewalls, Endpoint Detection and Response (EDR)-software en het uitvoeren van penetratietesten.” Volgens Frison draagt de implementatie van deze beveiligingsmethoden niet alleen bij aan een veiligere digitale omgeving, maar ook aan een veerkrachtigere economie waarin organisaties beter zijn voorbereid op de dreigingen van het moderne digitale tijdperk.
Security is geen project
Werken aan het bewustzijn en het ontwikkelen van campagnes hieromtrent zijn hard nodig. Maar iedere organisatie is anders en heeft andere uitdagingen, zo denkt Notis Iliopoulos, Chief Cyber Security Business Benelux bij NTT DATA. Een onderzoeksinstituut van een technische universiteit heeft te maken met andere kritische data en processen dan een accountantskantoor. Iliopoulos: “Het is belangrijk om te investeren in het trainen van beveiligingsprofessionals, IT-medewerkers en zeker ook in het kennisniveau bij eindgebruikers. Maar denk ook aan een security operations center (SOC) en aan identiteitsbeheer. Verder raden wij de overheid aan – als er nog meer geld beschikbaar komt – om te investeren in een holistisch cyberbeveiligingsbeheer en continu risicobeheer. Security is geen project, met een kop en een staart, het is iets wat 24/7 aandacht en inzet vereist. Effectiviteit is vereist voor cyberbeveiliging in het huidige onderling verbonden fysieke/digitale ecosysteem. Organisaties moeten de volwassenheid van hun cybersecurity verhogen en hun cybersecurityprogramma verbeteren. Denk daarbij aan beschermingsstrategieën op basis van actief bedreigingsbeheer en aan red-teaming oefeningen (acties in samenwerking met ethische hackers). Dit als onderdeel van de voortdurende assessments.”
> LEES OOK: DTC waarschuwde bedrijven al bijna 70.000 keer voor cyberdreigingen
Identiteitsbeheer: wie is welke gebruiker?
Iliopoulos stipt kort een belangrijk element aan in het streven naar digitale weerbaarheid: identity management. Vakgenoot Guido Gerrits, Global Head of Channels IAM bij Thales, is van mening dat security begint bij de identiteit van de gebruiker. “Als je niet weet wie de gebruiker is, kan je nooit besluiten waar je iemand toegang toe wil geven en op welke manier”, legt Gerrits uit. “Op de juiste manier toegang geven wordt steeds complexer. Je hebt niet alleen te maken met eigen medewerkers maar ook met de inhuur van externe organisaties waarmee op projectbasis wordt samengewerkt. Die moeten allemaal toegang krijgen tot een stukje van jouw data. Als je niet weet wie iemand is, kan je ook geen toegang geven. Bij interne medewerkers is dat al prima geregeld, want dat is vaak gebonden aan bestaande wetgeving, zoals de AVG. Bij Identity & Access Management moeten ook flexibele en externe krachten betrokken worden; organisaties kunnen dit nog verder doorontwikkelen om de digitale weerbaarheid te verbeteren. Dit zijn allemaal waardevolle stappen in de bescherming van de data en de kroonjuwelen van je organisatie; daar draait het uiteindelijk om.”
> LEES OOK: Toenemende kosten cyberverzekering versus meer investeren in security
Investeren in governance
Identiteitsbeheer is dus een belangrijke laag in de complete aanpak voor cyberveiligheid. Maar er zijn er meer, stelt Marc Brevé, Governance, Risk en Compliance Specialist bij ilionx. “Als informatiebeveiligingsspecialist hebben wij geleerd dat de beste beveiliging komt van de gelaagde beveiligingsmethode. Als een laag dan niet goed werkt ben je altijd nog beschermd met een andere laag. Maar hoe zorg je er nu voor dat al die mooie, dure, slimme, technische en procedurele maatregelen ook daadwerkelijk zo goed (samen)werken dat er geen gaten ontstaan?” Brevé weet het wel, zijn budget zou aan een goed werkend en effectief ISMS [Information Security Management System] besteed worden dat de enorme set aan beveiligingsmaatregelen beheert. “Met een goede PDCA-cyclus [Plan I Do I Check I Act] op elke beveiligingsmaatregel in het ISMS wordt het overzichtelijk en blijf je in control ongeacht het aantal maatregelen en de grote groep medewerkers die daarbij betrokken zijn.” Brevé wijst erop dat het inrichten van een beheersysteem tijd en energie kost. Maar dit is een investering die uiteindelijk gaat renderen en waardoor de werkdruk voor de Security Officer afneemt. “Zie dat ISMS als de dirigent van een groot orkest van beveiligingsmaatregelen. Als dat goed samenwerkt, komt er wat moois uit.”
> LEES OOK: Minderheid van alle organisaties digitaal volwassen
Cyberveilige samenleving
Zo veel mensen, zo veel wensen. Als we alle voorgestelde maatregelen, plannen en oplossingen die geopperd zijn gaan implementeren, gaan we ruim over een miljoen. Dat is niet erg, maar graag inspireren we organisaties met deze oplossingen. Want wie weet nou beter waar het potje voor security aan uitgegeven moet worden dan de experts uit de branche zelf? Kijk als organisatie zelf ook naar wat je al goed doet en waar je nog verder kunt werken aan digitale weerbaarheid. Zo werken we samen stap voor stap naar een cyberveilige samenleving.
Volg Security Management op LinkedIn
