Bedrijven en (semi-)overheidsorganisaties, die actief zijn in de vitale sector, hebben hun risicomanagement onvoldoende op orde. Daardoor kunnen bij cyberincidenten gevaarlijke situaties ontstaan. Denk aan het stokken van de dienstverlening of het wegvallen van de toegang tot stroom en water. In plannen voor verbetering is samenwerken het toverwoord. Dat blijkt uit het Samenhangend Inspectiebeeld cybersecurity.
Het Samenhangend Inspectiebeeld cybersecurity is een jaarlijks overzicht van inspectiediensten binnen de rijksoverheid die in het kader van de Wet beveiliging netwerk- en informatiesystemen (Wbni) nauw met elkaar moeten samenwerken.
In het document delen onder meer Autoriteit Persoonsgegevens (AP), De Nederlandsche Bank (DNB), Inspectie Justitie en Veiligheid (IJenV) en de Rijksinspectie Digitale Infrastructuur (RDI, voorheen Agentschap Telecom) hun toezichtsresultaten.
‘Het risicomanagementproces vraagt meer aandacht. Er is ruimte om als vitale aanbieders dit proces naar een hoger niveau te tillen, bijvoorbeeld door het verder ontwikkelen en implementeren van beveiligingstesten’, stellen de gezamenlijke toezichthouders.
Onder de vitale sector vallen onder meer digitale dienstverleners rondom de landelijke ict-infrastructuur, drinkwater- en energiebedrijven en overheden die grote hoeveelheden persoonsgegevens verwerken.
ISO 27001
Ook schrijven de toezichthouders dat ‘cyberhygiëne’ bij organisaties moet verbeteren. Ze wijzen op succesvolle digitale aanvallen die voorkomen hadden kunnen worden als die partijen hun basisbeveiliging (sterke wachtwoorden, autorisatie, niet op verdachte linkjes klikken) op orde hadden.
Inmiddels hanteren nagenoeg alle vitale aanbieders de ISO 27001-certificering voor informatiebeveiliging als leidraad, zo blijkt uit het securitybeeld. Ook is de verantwoordelijkheid van het bestuur van bedrijven en organisaties vaak duidelijk vastgelegd in een Information Security Management System (ISMS). Dat betekent dat er bij een incident een risicomanagementproces klaarligt om volgens een plan-do-check-act-cyclus te handelen.
Maar de toezichthouders wijzen ook op een aantal verbeterpunten, zoals toezicht op toegang tot systemen. Ze zien dat sinds de coronacrisis geautomatiseerde identiteitsvaststelling een vlucht heeft genomen. ‘Bij toegangsbeveiliging gaat de aandacht bij vitale aanbieders vooral uit naar het buiten houden van onbevoegden. Dat blijft belangrijk omdat diefstal of gijzeling van gegevens nog steeds een van de meest concrete cyberdreigingen is’, schrijven de samenstellers.
NCSC
Maar ook het risico op cyberincidenten door eigen medewerkers verdient aandacht. De toezichthouders noemen ongeautoriseerde inzage in dossiers of onnodige toegang tot systemen binnen de eigen organisatie, ofwel insider threat als voorbeeld en zien dat er met name binnen de zorg en bij gemeente stappen gezet meten worden.
Ook zien ze dat het vaker mis gaat door complexere systemen en samenwerking. Bijvoorbeeld als externen het ict-beheer uitvoeren. Leveranciers of onderaannemers hebben dan regelmatig op afstand toegang tot delen van de infrastructuur. ‘Bij uitgebreide leveranciersketens of bij leveranciers van buiten Europa, levert dit extra risico’s op. Diverse incidenten laten zien dat vitale aanbieders op dit punt onvoldoende in beeld hebben waartoe leveranciers toegang hebben en welke activiteiten daar plaatsvinden.’ In onderstaand kader staan richtlijnen van het Nationaal Cyber Security Centrum (NCSC) over toegangsbeveiliging.
De toezichthouders maakten in 2022 afspraken over het verbeteren van risicomanagement. In 2023 worden de onderdelen ‘inhoudelijk op elkaar afgestemd’. Er is ook afgesproken ‘intensiever’ samen te werken aan de doorontwikkeling van risicomanagement.
Toegangsbeveiliging
Logische toegangsbeveiliging controleert wie, wanneer, op welke wijze en met welke rechten toegang krijgt tot bepaalde digitale informatie, informatiesystemen en netwerken. Voor toegangscontrole is identity and access management (iam) nodig. Dit bestaat uit:
• Identificatie: Een persoon of entiteit moet herkend kunnen worden aan een digitale identiteit of een account. Accounts die zijn gebonden aan een persoon bieden meer controle dan accounts die worden gedeeld;
• Authenticatie: Om aan te tonen dat je de rechtmatige gebruiker bent van een account, heb je een authenticatiemiddel zoals een wachtwoord, vingerafdruk, smartcard of gebruik je een systeem als DigiD. Om fraude en misbruik te voorkomen worden meerdere soorten bewijzen gevraagd. Dit heet multifactorauthenticatie;
• Autorisatie: Aan accounts worden rechten verleend. Er wordt vastgelegd waartoe precies toegang mogelijk is, en of bepaalde informatie en configuraties ingezien, gecreëerd, bewerkt en/of verwijderd mogen worden. Een beheerder kan autoriseren, maar rechten kunnen bijvoorbeeld ook automatisch verleend worden aan de hand van de functie van een medewerker. Voor goede beveiliging en om onbedoelde acties te voorkomen worden niet meer rechten dan nodig verleend. Dit heet het ‘principle of least privilege’;
• Accounting: Systemen en netwerken kunnen loginformatie genereren om toegang en acties van accounts te registreren. Dit is van belang voor het detecteren en corrigeren van ongewenste situaties en afwijkingen;
Bron: Samenhangend Inspectiebeeld cybersecurity 2023
Tips
NCSC deelt ook een paar tips: ‘Toegangsbeveiliging kan verder versterkt worden door bijvoorbeeld toegangscontrole na verloop van tijd te herhalen om te controleren of de actieve gebruiker nog steeds de geautoriseerde persoon is. Ook kan een netwerk gesegmenteerd worden waardoor toegang nauwkeuriger bepaald kan worden, en waardoor problemen geïsoleerd kunnen worden in een deel van het netwerk.’
Het noemt ‘logische toegangsbeveiliging’ als essentieel onderdeel van cybersecurity. Het NCSC adviseert organisaties om risicomanagement toe te passen door aan de hand van de te beschermen belangen, dreigingen en de weerbaarheid van de betreffende organisatie te bepalen of aanvullende maatregelen nodig zijn.