Het Financieele Dagblad opende onlangs met een breaking story onder de titel ‘Overheid gooit informatie over hacks bij bedrijven weg’ en publiceerde enkele dagen daarna een verdiepend artikel ‘Nationale cyberwaakhond blaft lang niet voor iedereen’.
Het verhaal komt er kortweg op neer dat het Nationaal Cyber Security Centrum (NCSC) regelmatig tips krijgt over lekken, hacks en andersoortige bedreigingen, maar dat het deze waardevolle kennis alleen proactief deelt met organisaties die volgens het NCSC ‘vitaal’ zijn voor de BV Nederland. Zo heeft het kunnen gebeuren dat gevoelige bedrijfsgegevens van Nederlandse organisaties door een cybercrimineel online zijn gezet terwijl het NSCS allang wist dat deze bedrijven kwetsbaar waren. De bedrijven echter stonden niet op de ‘lijst der vitalen’ en ‘buiten het wettelijke mandaat kunnen dergelijke bedrijven niet geïnformeerd worden”, aldus het NSCS.
Deze situatie biedt legio aanknopingspunten voor een goed gesprek. Het steeds maar toenemende aantal cyberincidenten, de rol van het NCSC (die wat mij betreft zeer relevant is), de trage wereld van politiek die hier raakt aan de snelle wereld van cybercrime, enzovoort. Maar waar ik graag de aandacht op wil vestigen is dat elke organisatie slachtoffer kan worden van cybercrime. En wanneer dat gebeurt, dan staat de overheid zeker voor je klaar. Echter niet per se om te helpen, maar in elk geval om te bepalen of je een boete zou moeten krijgen.
Maak serieus werk van beveiliging
Vrijwel dagelijks lezen we over bedrijven die gehackt zijn. Slachtoffers van ransomware, data van klanten die online komt te staan, noem maar op. Het lijkt alsof we niet leren van de fouten die anderen maken en we adviezen van experts massaal in de wind slaan. Het is tijd dat organisaties serieus werk gaan maken van de beveiliging van hun netwerken, endpoints en hun data, de meest belangrijkste company assets vandaag de dag.
Serieus werk maken van cybersecurity gaat over drie assen: people, processes & technology. Deze zijn alle drie even belangrijk en moeten daarom de aandacht krijgen die ze verdienen en die de organisaties en zijn stakeholders verdienen om veilig zaken te doen.
Onderzoek toont aan dat bijna alle cio’s en ciso’s belangrijke afwegingen hebben gemaakt tussen het beschermen van de organisatie tegen disruptie en het garanderen van continue operations. Om te weten waar de pijn zit, is het echter belangrijk om inzicht te krijgen in de huidige stand van zaken binnen de organisatie. Wanneer dit niet het geval is, bestaat de kans dat er onvoldoende accurate informatie over de gezondheid van de it-omgeving beschikbaar is waardoor middelen mogelijk verkeerd verdeeld worden. Zonder inzicht in jouw it-ecosysteem heb je gewoonweg geen inzicht in de bedreigingen waaraan dat ecosysteem onderhevig is.
Dat inzicht begint bij het inventariseren van wat je hebt, waar deze assets zich bevinden en wat de status daarvan is. Organisaties die over die kennis beschikken, komen meestal tot het inzicht dat er werk aan de winkel is, bijvoorbeeld op het gebied van patches en updates of dat er veel meer devices – inclusief virtual machines – binnen het netwerk actief zijn dan gedacht, met alle kosten die dat met zich meebrengt.
Door inzicht in endpoints kun je de gevaarlijke en onnodige overweging tussen security en it-operations op basis van onvolledige informatie voorkomen en vertrouwen op jouw people, processes & technology om snel en adequaat te reageren op cyberaanvallen. Want dat daar werk van gemaakt moet worden, maakt ook deze kwestie bij het NCSC weer duidelijk. Of je nu bij het NCSC op de lijst met vitale organisaties staat of niet, zegt uiteindelijk niets over de vitaliteit van je it-omgeving en hoe goed deze in staat is dreigingen van buiten en vanbinnen af te weren. Maar vitaliteit kost energie en vraagt om actie. En de eerste actie zou moeten zijn: zorg dat je weet wat je hebt, want dan kan je planmatig aan de slag om de vitaliteit van jouw organisatie (weer) naar topniveau te krijgen. .
Heerlijk zo’n zin dat de overheid voor je klaar staat, niet om je te helpen maar om te kijken of ze je nog een boete kunnen geven. En ook de stemmingmakerij over NCSC is zo herkenbaar want nog altijd worden de adviezen van experts massaal in de wind geslagen met achteraf de gebruikelijk krokodillentranen. Zo las ik recentelijk in een rechtbankverslag dat toegegeven werd dat alle adviezen van experts genegeerd waren maar dat de schuld voor een hack uiteindelijk toch echt bij deze experts lag. Gebruikelijke workflow aangaande people, processes & technology gaat steeds vaker om een jurdische vlucht voorwaarts door het beschuldigen van anderen want er zijn nogal wat bedrijven die blijven vissen met de lekke ‘Hoop op Zegen’ op basis van een risicoafweging. De eerste actie daarin is trouwens niet uitzoeken wat je hebt maar wat je kunt missen want het gaat namelijk om het beschermen van de vitale belangen.