Het recente 'Cybersecuritybeeld 2021' van het NCTV en de recent verschenen rapporten van de Cybersecurityraad dwingen ons om na te denken over wat nodig is om Nederland te behoeden voor de maatschappelijke ontwrichting veroorzaakt door cyberincidenten.
De conclusie van de rapporten: de Nederlandse digitale weerbaarheid is onvoldoende, ondanks meer investeringen in basis-beveiligingsmaatregelen dan in voorgaande jaren. De investeringen worden ingehaald door de sneller groeiende digitale dreigingen, met name door de toegenomen afhankelijkheid van digitale middelen tijdens de coronapandemie. Het is lucratiever geworden voor cybercriminelen om in een korte tijd ontwrichting te veroorzaken en financieel gewin te behalen, waardoor de impact van cyberincidenten wordt vergroot en cyberdreigingen meer voorkomen.
Hester Somsen, plaatsvervangend Nationaal Coördinator Terrorisme en Veiligheid, zegt tijdens de podcast Cyberhelden terecht dat het ‘Cybersecuritybeeld 2021′ is bedoeld om dreigingen te duiden en een boodschap uit te dragen van ‘hier moeten we iets mee’. Het is duidelijk dat collectieve maatregelen genomen moeten worden.
Weerbaar
Vanuit mijn dagelijkse werkzaamheden herken ik de situatieschets in het ‘Cybersecuritybeeld 2021’. Vanuit ons programma ‘Digitale Versnelling Nederland’ investeren we al enkele jaren in het ontwikkelen van cybersecuritykennis en securitydienstverlening, met als doel Nederland digitaal weerbaarder te maken.
Grote bedrijven hebben hun securitybeleid vaak redelijk op orde, op zowel het menselijke als technologische vlak van cybersecurity. Wat zorgen baart, is dat steeds meer securityinvesteringen vanuit een commercieel oogpunt worden gedaan, in plaats van gebaseerd op securityeffectiviteit. Deze trend komt niet ten goede aan de weerbaarheid van een organisatie. Een cfo moet niet het securitybeleid gaan dicteren en besluiten welke oplossingen er gebruikt gaan worden. Helaas is dit wel aan de orde van de dag.
Kleinere bedrijven hebben vaak meer moeite met het doorvoeren van de juiste maatregelen. Diezelfde kleine partijen zijn wel onderdeel van de aanvoerketen van de grotere organisaties, die hierdoor zelf extra risico lopen.
Open armen
Naast het ‘Cybersecuritybeeld 2021’ heeft het NCSC een ‘Handreiking Cybersecuritymaatregelen’ gepubliceerd. De publicatie is door ons met open armen ontvangen. Het is van cruciaal belang dat elke Nederlandse organisatie zich verdiept in deze handreiking en zichzelf het doel stelt de acht benoemde basismaatregelen op korte termijn toe te passen.
Deze basismaatregelen worden, ondanks dat we al jaren weten dat de digitale risico’s toenemen, onvoldoende of te laat toegepast. Zoals Wim Hafkamp van Z-Cert het terecht aanhaalde tijdens het Cybersecuritybeeld 2021 Webinar: Organisaties komen pas in actie wanneer ze getroffen zijn door een cyberincident, wanneer een auditor langskomt, of wanneer men inzicht krijgt in de kwetsbaarheden door bijvoorbeeld een pen-test.’
Het nemen van alleen de voorgestelde basismaatregelen is echter niet voldoende. Het versimpelen en integreren van securityoplossingen is ook cruciaal om deze effectief te laten zijn. We komen te veel voorbeelden tegen waar een complex systeem van securityoplossingen gebruikt wordt en waarbij bevindingen van de individuele componenten slecht tot niet aan elkaar gekoppeld kunnen worden. Hierdoor wordt de totale effectiviteit van het securitybeleid verminderd.
Grotere organisaties leggen vaak de focus op de detectie en response mogelijkheden, die alleen mogelijk zijn wanneer securityoplossingen sterk met elkaar verweven zijn. Kleinere organisaties die niet de middelen hebben om een eigen security operations center (SOC) te bemannen adviseren wij om gezamenlijk te kijken op welke manier een managed detectie en response (MDR) service kan helpen bij het verhogen van de securityeffectiviteit en de weerbaarheid van de organisatie.
Naast het Nederlandse bedrijfsleven kunnen ook Nederlandse Service Providers op een eenvoudige manier een basisniveau van cybersecurity aanbieden aan al hun mobiele en vaste klanten, door gebruik te maken van security op domeinnamensysteem (DNS) niveau. Zo kan om de digitale weerbaarheid van Nederland op grote schaal worden verbeterd en ransomware aanvallen centraal in een vroegtijdig stadium in de kiem worden gesmoord.
Lege schappen
Bekende internationale ransomware-aanvallen bij bijvoorbeeld een grote oliepijpleiding en vleesverwerker hebben iedereen op scherp gezet. Deze komen ook in Nederland veelvuldig voor en kunnen grote problemen bij een universiteit of lege schappen bij de supermarkt veroorzaken. Bij deze aanvallen werken criminele groeperingen samen om een organisatie binnen te komen, data te stelen en deze te versleutelen. Organisaties worden onder druk gezet met de dreiging dat de gestolen data gelekt gaan worden op het darkweb, wanneer het losgeld (de ransom) niet betaald wordt.
President Biden vaardigde in mei van dit jaar een bevel dat alle federale overheidsorganisaties dwingt zero-trust-security-principes toe te passen om dit soort aanvallen te voorkomen. Zero-trust omvat veel van basismaatregelen die de NCSC voorstelt, zoals multi-factorauthenticatie, netwerksegmentatie en de toegangscontrole voor data en diensten. Hierbij dwingt het securitybeleid af dat alleen de strikt noodzakelijke toegang wordt verleend aan gebruikers, apparaten en applicaties. Daarbij controleert het systeem continu of er redenen zijn om de toegang in te trekken omdat er iets vreemds is gesignaleerd bij de gebruiker, het gebruikte apparaat of de applicatie.
Door de impact voor een organisatie vormen ransomware-aanvallen een risico voor de nationale veiligheid. Het is van cruciaal belang dat we investeren om van dit type aanvallen te voorkomen. De basismaatregelen van het NCSC en zero-trust-implementatie zijn een goede eerste stap.
Te grote afhankelijkheid
Het ‘Cybersecuritybeeld 2021 benoemt ook specifiek de risico’s die een te grote afhankelijkheid van één cloud leverancier met zich meebrengen. Organisaties worden specifiek aangemoedigd om na te denken over de impact van een situatie waarin clouddiensten niet beschikbaar zijn. Wij geloven hierom ook dat het afnemen van security policies bij eenzelfde hyperscaler of cloudleverancier niet gewenst is. Het is verstandiger om een multi-cloudstrategie te omarmen waarbij universele security policies het mogelijk maken applicaties tussen cloudleveranciers en het eigen datacenters te verplaatsen zonder noodzakelijke aanpassingen aan security policies.
We willen het NCSC en de NCTV bedanken voor het uitbrengen van het ‘Cybersecuritybeeld 2021’ en de ‘Handreiking Cybersecuritymaatregelen’. Deze stukken resulteren in de aandacht die cybersecurity hoort te krijgen om toekomstige cyberincidenten te voorkomen.
Auteur: Jan Heijdra, cybersecurityspecialist bij Cisco Nederland