Bij cybersecurity ligt de focus vaak op het blokkeren van cyberaanvallen via technische oplossingen. Maar dergelijke preventieve maatregelen alleen zijn in het huidige dreigingslandschap simpelweg niet meer voldoende. Risicoanalyses, kennisdeling, detectie en incident-response zijn minstens zo belangrijk om de totale impact van een incident te beperken.
De aandacht voor cybersecurity is dit jaar fors toegenomen. Een positieve ontwikkeling, want cybercriminaliteit kost de samenleving elk jaar miljarden euro’s. Helaas heeft de groeiende bewustwording nog niet het gewenste effect: de incidenten volgen elkaar in hoog tempo op.
Alleen al in augustus en september was het meerdere keren raak. Zo kregen diverse internetproviders en media te maken met DDoS-aanvallen. Vooral in Zeeland zorgde dat voor overlast: een groot deel van de provincie zat zonder internet. De Veiligheidsregio Noord- en Oost-Gelderland (VNOG) werd getroffen door ransomware, waardoor het gebruik van interne systemen en e-mail beperkt werd. Gelukkig bleven de meldingssystemen P2000 en C2000 wel beschikbaar.
Meer dan preventieve maatregelen nodig
Er is geen makkelijke oplossing voor deze problematiek. Wel ben ik van mening datEen next-gen firewall en de antimalware-oplossing houden malware tegen. De e-mailbeveiliging smoort phishingmails in de kiem. Via een strikt patchbeleid worden zwakke plekken in de software gedicht. En steeds meer organisaties trainen het personeel in het herkennen van cyberaanvallen. Deze basis moet op orde zijn.
Toch is dat slechts een deel van het verhaal. Cybercriminelen speuren continu naar nieuwe manieren om het netwerk binnen te dringen. Bovendien is het aanvalsoppervlak nu groter dan ooit omdat we massaal thuiswerken. Het afslaan van alle cyberaanvallen is een nobel doel, maar zelfs voor de meest kapitaalkrachtige organisaties niet realistisch. Een solide securitystrategie bestaat dan ook uit meer dan alleen maatregelen die puur op preventie gericht zijn.
Ik illustreer dit graag aan de hand van een vergelijking. Bank X heeft een grote hoeveelheid geld op voorraad. Hekken, kogelwerende deuren, toegangscontroles en een kluis met dikke kluiswanden moeten voorkomen dat overvallers of inbrekers makkelijk bij de ‘kroonjuwelen’ komen. Toch zijn dat zeker niet de enige stappen die de bank heeft gezet om de beveiliging te verbeteren:
Risicoanalyses: Via controles door een onafhankelijke partij laat Bank X periodiek toetsen of de beveiliging nog steeds op niveau is. Zijn er nieuwe zwakke plekken in onze beveiliging? En hoe kunnen criminelen of kwaadwillende medewerkers daar misbruik van maken? Ook voert de bank regelmatig een risicoanalyse uit. Wellicht zijn er nieuwe methoden ontdekt om de kluis te kraken, of hebben andere banken een betere kluis waardoor Bank X een makkelijke prooi is. En wat zijn de gevolgen als dit gebeurt?
Het belang van metingen en risicoanalyses is ook voor securityprofessionals evident. Zonder objectief beeld van het huidige volwassenheidsniveau, de voornaamste risico’s en de verbeterpunten is het bijzonder lastig om de juiste (preventieve) maatregelen te selecteren.
Kennisdeling: Bank X wisselt continu informatie uit met andere banken, de politie en de branchevereniging. Zij hebben allemaal hetzelfde doel: het aantal overvallen en inbraken terugdringen. Die kennisdeling is nog belangrijker als Bank X overvallen wordt. Door de werkwijze en signalementen van de criminelen te verspreiden, wordt het voor de politie makkelijker om ze op te sporen. Ook kunnen andere banken gerichte maatregelen treffen, zoals het inschakelen van extra bewaking.
Kennis over aanvalsmethodes en kwetsbaarheden is ook in de context van cybersecurity van grote waarde. Als it- en securityprofessionals moeten we elkaar slimmer maken door veel meer informatie te delen. Bijvoorbeeld via securityevenementen zoals NLSecure[ID].
Detectie: Bank X houdt rekening met een scenario waarin inbrekers de eerste verdedigingslinie weten te omzeilen. Bewakers zijn dag en nacht aanwezig en overal hangen beveiligingscamera’s, zodat een inbraak zo snel mogelijk wordt gedetecteerd. Bank X maakt ook gebruik van allerlei andere slimme beschermingssystemen. Zo zijn sommige geldbundels in de kluis nep of voorzien van inktpatronen die geactiveerd worden als ze het gebouw verlaten. Daardoor wordt het gestolen geld onbruikbaar.
Proactieve detectie van potentiële gevaren is cruciaal voor elke organisatie. Door goed te monitoren wie er toegang hebben tot welke IT-systemen, komen opvallende verbindingen snel aan het licht. Zo beperkt u het risico op verstoring van bedrijfskritische processen.
Incident-response: Van de communicatie met de criminelen tot een knop onder de balie om de nooddiensten in te seinen: alle medewerkers van Bank X weten precies hoe ze moeten handelen in het geval van een overval. Elk detail staat beschreven in een ontruimings- en calamiteitenplan dat regelmatig geoefend wordt. Verder zijn er heldere procedures voor zaken zoals de aangifte, slachtofferhulp en het herstel van de dienstverlening. Allemaal om de totale impact van het incident te beperken.
Wat doet u als u slachtoffer bent van een hack? Hoe communiceert u zowel intern als extern? En hoe minimaliseert u de schade? Zo’n ‘runbook’ voor cyberincidenten ontbreekt nog binnen veel bedrijven, maar is een essentieel onderdeel van elke securitystrategie.
Intern draagvlak creëren
Deze vergelijking met Bank X is natuurlijk niet perfect. Ik wil er alleen maar mee aangeven dat het blokkeren van cyberaanvallen slechts één onderdeel is van een solide it-beveiliging. De meeste it-professionals weten dit wel, maar hoe zit het met de rest van uw organisatie? Wellicht helpt deze metafoor u om intern draagvlak te creëren voor aanvullende securitymaatregelen.
Breng de risico’s en zwakke plekken in kaart. Deel uw kennis met branchegenoten en overheidsinstanties. Zorg ervoor dat u indringers op het bedrijfsnetwerk snel detecteert. En wees voorbereid op een ingrijpend cyberincident. Alleen dan bent u écht weerbaar tegen cybercriminaliteit.
Erno Doorenspleet, vice president security strategy bij KPN security