Edwin Roobol, Regional Director Middle Europe van Axis Communications, licht toe waarom het toepassen van cyber security in de volledige supply chain een belangrijke basis is om aan de eisen van GDPR te voldoen.
De General Data Protection Regulation (GDPR) is ontwikkeld om een basis voor beveiliging te creëren in de EU en voor organisaties die werken met data van EU-inwoners. Door te voldoen aan de richtlijnen, kunnen bedrijven boetes voorkomen door uitgebreide rapportage, gegevens veilig op te slaan en de toegang tot die gegevens te beperken. Door bij elke stap in de toeleveringsketen zorgvuldig te handelen, wordt de last verder beperkt. Voldoen aan de GDPR-richtlijnen is niet alleen een zaak van de eindgebruikers. In plaats daarvan zal een gezamenlijke aanpak moeten komen. Een aanpak waarbij verkopers, fabrikanten en eindgebruikers hun verantwoordelijkheid nemen op het gebied van cyber security om schadelijke gegevenslekken tot een minimum te beperken.
De GDPR – die in Nederland ook wel door het leven gaat als Algemene Verordening Gegevensbescherming (AVG) – is nieuwe, Europese regelgeving waar bedrijven over de hele wereld veel aandacht aan moeten besteden. Aangezien de wet vanaf 25 mei 2018 van kracht gaat, moeten de meeste organisaties inmiddels wel op de hoogte zijn van de belangrijkste aspecten van de GDPR. Bijvoorbeeld de boetes, die kunnen oplopen tot 4 procent van de jaarlijkse wereldwijde omzet van een organisatie, met een maximum van € 20 miljoen.
Echter, momenteel geeft slechts 43 procent van de organisaties aan dat zij zich aan het voorbereiden zijn op de GDPR. Dit zal er enerzijds toe leiden dat er meer kans bestaat op een verschuiving van de risico’s. Slecht beveiligde bedrijven worden vatbaarder voor bedreigingen, omdat hun concurrenten investeren in technologie om de veiligheid te waarborgen en aan de verordening te voldoen. Anderzijds is er een reële kans dat er aanzienlijke boetes uitgedeeld zullen worden.
Vooral de beveiliging van netwerkapparaten vormt een risico. Dat komt doordat IoT-technologie bij veel aanvallen als startpunt wordt gebruikt voor grotere aanvallen. Het digitale landschap verandert continu. Als een organisatie op maandag het netwerk goed heeft beveiligd, dan kan dit op vrijdag al verouderd zijn doordat er onbeveiligde technologie aan het netwerk is toegevoegd – door toedoen van werknemers of door nalatigheid van de fabrikant.
Zoals we laatst nog zagen bij de wereldwijde besmetting door WannaCrypt ransomware, worden aanvallen steeds geavanceerder. Het onderscheid tussen acties door staten en door de georganiseerde misdaad wordt steeds vager. Hierdoor krijgen criminele groepen toegang tot zeer geavanceerde malware. Nu bedrijven steeds vaker met bedreigingen te maken krijgen, is het belangrijker dan ooit om de beveiliging van de supply chain opnieuw te bekijken en werknemers op de hoogte te brengen van de cybersecurity-strategie van het bedrijf waar ze werkzaam zijn.
Risico’s verminderen door de supply chain beter te beveiligen
De afgelopen tien jaar is de bewakingsindustrie aanzienlijk veranderd. Zo heeft er een verschuiving plaatsgevonden van analoge camerabewaking naar netwerkcamera’s. Daardoor is niet alleen het gebruik van business intelligence (door analytische gegevens en big data te verzamelen) toegenomen, maar zijn ook de veiligheid en beveiliging van verschillende omgevingen erop vooruit gegaan. Spoorwegmaatschappijen kunnen nu bijvoorbeeld verschillende analytische technologieën gebruiken om personen te identificeren in gebieden met een ‘hoog risico’ of verboden gebieden, om zelfmoorden te voorkomen.
Naast de beveiliging van het apparaat zelf, is de manier waarop IoT-technologie wordt toegepast erg belangrijk. Wanneer dit niet goed gebeurt, kan het je organisatie immers kwetsbaar maken. In het ergste geval vormen fysieke beveiligingssystemen die gebruikt worden om informatie te beschermen de zwakste schakel. Dan kan een aanvaller toegang verkrijgen tot andere delen van het netwerk. Omdat het aantal aanvallen op bedrijven en het aantal aanvalsroutes toeneemt, moeten bedrijven verder kijken dan hun eigen vier muren om cybersecurity te waarborgen. Niet of slecht geteste apparaten kunnen een mogelijk doelwit zijn van een aanval op een netwerk. Denk hierbij aan een medewerker die zonder nadenken een USB-apparaat aansluit of niet geteste IoT-technologie gebruikt.
Ooit waren beveiligingsspecialisten verantwoordelijk voor het volledige proces, van het aanschaffen tot het installeren van bewakingstechnologie. Tegenwoordig doen ze dit in veel gevallen samen met de IT-afdeling. Bewakings- en beveiligingstechnologie vormt inmiddels een belangrijk onderdeel van het IT-netwerk. Het tempo van technologische ontwikkelingen en het feit dat het voor interne stakeholders onduidelijk is wie verantwoordelijk is voor cyber security, zorgt voor een kenniskloof. Met betrekking tot het beheer van de supply chain, betekent dit dat er vaak niet zorgvuldig wordt gehandeld. Degenen die verantwoordelijk zijn voor de technologie beschikken namelijk niet altijd over de noodzakelijke informatie om goede beslissingen te nemen en digitale risico’s in te perken. GDPR is de perfecte motivatie om serieus aan het werk te gaan en deze kloof te dichten.
Beveiliging versterken, aansprakelijkheid inperken
GDPR is ontwikkeld om ervoor te zorgen dat bedrijven ten minste een minimaal beveiligingsniveau in place hebben om zo eventuele schade (voor hun klanten) te beperken. Deze wetgeving bepaalt niet dat een bedrijf volledig veilig moet zijn. Het eist dat er plannen zijn voor de veilige verwerking van data, en dat er onderzoek is uitgevoerd naar of het bedrijf aan de richtlijnen voldoet. Dit alles om de kans op veiligheidslekken tot een minimum te beperken. Daarnaast is er de verplichting om eventuele lekken direct te melden. Goed om te weten is dat de GDPR specifiek van toepassing is op organisaties die persoonsgegevens bewaren of verwerken, en dat deze verantwoordelijkheid niet direct geldt voor bedrijven die mogelijk onveilige technologie leveren. Het is de organisatie die het apparaat heeft gekocht en gebruikt die uiteindelijk een GDPR-boete krijgt.
Wanneer een bedrijf onverhoopt toch slachtoffer wordt van een gegevenslek, en daardoor een boete riskeert, dan zal het bewuste bedrijf mogelijk niet aansprakelijk worden gesteld als er sprake is van bewezen gepaste zorgvuldigheid. Mocht een van de leveranciers van (security-)apparatuur beweren dat zijn technologie veilig is en het tegendeel wordt bewezen, dan is het zeer goed denkbaar dat er rechtszaken volgen van bedrijven die gebruikmaken van die technologie zonder dat ze op de hoogte waren van de risico’s.
De National Cyber Security Strategy 2016-2021 van het Verenigd Koninkrijk verwijst naar het concept ‘standaard veilig’, “om ervoor te zorgen dat de fabrikant de beveiligingsmaatregelen die in de software en hardware zijn ingebouwd, standaard activeert”. Dit concept is een belangrijke basis voor technologie die vandaag de dag wordt gebruikt. Hoe dan ook is de digitale veiligheid van een modern bedrijf een proces waarbij de gebruiker en de fabrikant moeten samenwerken. En dat gaat veel verder dan een productgerichte benadering.
Cyber Security Best Practices
Lees meer over de visie van Axis op cyber security en ontdek cyber security best practices in dit e-book.
Meer weten over de standaardbeveiliging van uw netwerkcamera’s? Download dan de hardening guide cyber security.
