De digitale weerbaarheid van Nederland is niet op orde, zo blijkt uit het Cybersecuritybeeld Nederland 2019. Hoe buigen we deze situatie om? Simpel: elke organisatie heeft een strategie voor cyberresilience nodig. Wat zijn de belangrijkste elementen van zo’n strategie?
Persoonlijk ben ik niet zo onder de indruk van het CSBN 2019, een rapport van de Nationaal Coördinator Terrorismebestrijding en Veiligheid. Vooral omdat er zo weinig nieuws in staat over het huidige dreigingslandschap. En de conclusies zijn niet bepaald verrassend. Elke securityprofessional weet dat de digitale weerbaarheid van Nederlandse organisaties voor verbetering vatbaar is. Dit meldt de NCTV al jaren op rij.
Impact van storingen
Nederland loopt stevig achter op het gebied van cyberresilience, met mogelijk ernstige gevolgen. We kregen in juni een voorproefje van wat er gebeurt als belangrijke (digitale) diensten opeens niet beschikbaar zijn. Een storing bij het alarmnummer 112, vermoedelijk veroorzaakt door een softwarefout in het routeringsplatform, leidde tot flink wat commotie. Recent kampte Albert Heijn ook al met twee grote pinstoringen. Tijdens de tweede storing op 25 juni moest de helft van de filialen de deuren enige tijd gesloten houden.
Uit nieuw onderzoek van Mimecast blijkt dat slechts 37 procent van de Nederlandse organisaties een strategie heeft voor cyberresilience. Het wereldwijd gemiddelde ligt bijna 10 procent hoger. Het goede nieuws? Relatief veel Nederlandse respondenten geven aan dat ze bezig zijn met het uitrollen van zo’n strategie.
Wat is cyberresilience?
Je moet voorbereid zijn op alle soorten dreigingen, uit welke hoek ze ook komen. Alleen zo beperk je de totale impact van een storing, ransomwarebesmetting of ander incident. Dit heeft allemaal te maken met je cyberresilience, oftewel je digitale weerbaarheid.
Een strategie voor cyberresilience bestaat op hoofdlijnen uit de volgende pijlers:
1. Bescherming. Preventieve maatregelen vormen de verdedigingslinie die cybercriminelen op afstand houdt. Denk hierbij aan technische maatregelen zoals oplassingen voor het beveiligen van (mobiele) endpoints, e-mailbeveiliging, websecurity en identity and Access management (iam). Maar veilige processen – van een strikt wachtwoordbeleid tot regels voor externe communicatie – zijn minstens zo belangrijk.
Onderschat ook de menselijke factor niet. Goed getrainde medewerkers kunnen veel digitale ellende in de kiem smoren. Helaas scoort Nederland in het Mimecast-onderzoek ook als het gaat om awarenesstrainingen minder hoog dan andere landen. Slechts 16 procent van de Nederlandse organisaties traint het personeel continu om cyberaanvallen te herkennen. Het wereldwijd gemiddelde is ruim een kwart.
2. Aanpassingsvermogen Dit is het vermogen van de organisatie om zich aan te passen aan het continu veranderende dreigingslandschap. Als je verdediging puur is ingericht op de huidige cyberrisico’s, ben je morgen alweer kwetsbaar. Threat intelligence is dan ook onmisbaar. Op basis van informatie over toekomstige dreigingen kun je de beschermende maatregelen finetunen of nieuwe maatregelen nemen.
Ook op dit gebied lijken Nederlandse organisaties achter te lopen. Het onderzoek van Mimecast toont aan dat zij relatief weinig belang hechten aan threat intelligence. Ruim een kwart van de Nederlandse respondenten geeft aan dat ‘threat intel’ nu al extreem belangrijk is voor de eigen organisatie. Fors minder dan het gemiddelde van bijna 45 procent.
Niet alleen de dreigingen veranderen, maar ook andere externe factoren zoals wet- en regelgeving. Neem de algemene verordening gegevensbescherming (avg), die organisaties verplicht tot ‘passende technische en organisatorische maatregelen’ voor de beveiliging van persoonsgegevens. Cyberresilience is dus geen eenmalige oefening, maar een proces van constante verbetering.
3. Continuïteit. Een waterdichte beveiliging bestaat niet. Ga ervan uit dat het een keer misgaat. Wat doe je dan om de impact te verkleinen? Hoe communiceer je met klanten over een pin- of telefoniestoring? Wat is de taakverdeling na een ransomware-infectie? Hoe verloopt het melden van een datalek? Is er een uitwijklocatie met werkplekken in het geval van een calamiteit? Zijn deze procedures getest?
Zorg er ook voor dat je alternatieven hebt voor bedrijfskritieke systemen. Bijvoorbeeld voor je e-mailsysteem. Veel organisaties gebruiken e-mail als een soort bedrijfsgeheugen. Als dat archief niet beschikbaar is, lopen allerlei processen vertraging op. Nog los van het feit dat het niet mogelijk is om via e-mail met klanten en partners te communiceren.
4. Herstel. Tot slot moet je strategie erop gericht zijn dat de organisatie snel weer volledig operationeel is. Een besmetting met ransomware leidt gemiddeld tot een downtime van twee tot drie dagen, met alle gevolgen van dien. Voor de meeste organisaties is dat onacceptabel. Hoogwaardige, actuele back-ups van bedrijfskritieke data maken de herstelfase korter en verkleinen de kans op gegevensverlies.
Om even bij het voorbeeld van e-mail te blijven: er zijn oplossingen die het recoveryproces automatiseren. Daarmee kun je alle e-maildata vanuit Exchange en Office 365 tot zes keer per dag synchroniseren naar een locatie in de cloud. Handig als belangrijke informatie zoals contactenlijsten en agenda’s niet meer beschikbaar zijn, bijvoorbeeld door een fout van een medewerker, softwarefout of datacorruptie.
Het is goed dat de NCTV jaarlijks aandacht vraagt voor het verhogen van de digitale weerbaarheid. Helaas staren veel organisaties zich nog steeds blind op alleen de beschermende maatregelen. Als dat niet verandert, zal het CSBN 2020 weer een herhaling van zetten zijn.
Digitale weerbaarheid – lees wendbaarheid – gaat om OODA-loop waarover ik ooit eens schreef. OBSERVEREN van de risico’s gaat om een actieve verkenning van de invloeden (threat intelligence) van buitenaf. Gevaren hierin hoeven niet per definitie de welbekende cybercriminelen te zijn want contractuele inertie aangaande patches maakt je als organisatie kwetsbaar. En de welbekende SOA-klutsers konden zich 4 jaar geleden niet in mijn opinie vinden maar risico’s zijn een gewogen factor waarin de kans van optreden afgezet wordt tegen de impact op de business middels een ORIËNTATIE op de processen. Eén van mijn trouwe criticasters heeft volgens de Kamer van Koophandel zijn bedrijfsactiveiten beëindigd omdat er geen positieve baten meer waren, OBSERVEREN in het kader van een digitale wendbaarheid gaat dan ook om de aanvals- en vluchtroute omdat je kans op succes afweegt tegen het risico van verlies.
Je kunt namelijk wel een grote productiecapaciteit hebben in jachtvliegtuigen maar als je geen personeel hebt om ze in te zetten dan staan ze werkloos aan de grond. Op dit moment wordt de digitale wendbaarheid – lees weerbaarheid – in Nederland vooral bedreigd door een achterstand in onderhoud. Ik heb een wat afwijkende achtergrond in de ICT omdat mijn titel een rang was maar het aspect van een cyberwarfare blijft nog te vaak onbeproken. De koude oorlog van eind jaren 90 is ondertussen naar een contole op het Internet verplaatst omdat dit netwerk voor 90 procent bepalend is in de communicatie. En de discussie over Huawei als leverancier in onze strategische infrastructuur gaat om de wijsheid van Sun Tzu:
“Het commanderen van velen is als het commanderen van weinigen: dat is een kwestie van groeperen. Vechten met een groot leger is hetzelfde als het vechten met een klein leger; dit is een kwestie van vlaggen en vaandels.”
De valse vlag en het verkeerde vaandel gaat om een slimme inbreuk in de communicatie, NCTV activeerde de beschermingsmaatregelen toen een Mexicaan noodlijdende KPN probeerde over te nemen middels een vijandig bod op de aandelen. Vrijwel direct erna heroverwoog de politiek uitbesteding van nationale belangen aangaande de digitale weerbaarheid en kwam AIVD met een rapport over de Nederlandse digitale kernbelangen hierin. Die digitale kernbelangen betreffen trouwens niet de eenvoudig vervangbare diensten zoals e-mail maar de ‘vliegvelden’ waar de data mag landen in het kader van nieuwe inzichtelijkheden in bedrijfspionage die Edward Snowden gaf.