Als de basis al niet op orde is, hoeveel kans maakt Nederland dan tegen gevanceerde digitale dreigingen?

De eerste stap om de weerbaarheid te verhogen is je eigen kwetsbaarheid onder ogen zien. Als we denken aan en praten over cybersecurity, en hoe we ons tegen cyberrisico's kunnen wapenen, dan gaat het gesprek al snel over techniek. Met firewalls en andere maatregelen kan in no-time een muur rond een organisatie worden opgetrokken - en dan denkt men voldoende beschermd te zijn. Dat is op zich geen gekke gedachte, als je ervan uitgaat dat de dreiging van buiten komt.

Mensen en processen

Helaas blijkt uit steeds meer onderzoeken dat een groeiend aantal incidenten (tot 50% en meer, afhankelijk van het onderzoek dat je leest) is terug te voeren op fouten binnen de eigen organisatie. Dan hebben we het niet alleen over kwaadwillende medewerkers (waarvan iedereen wil geloven dat ze die niet hebben), maar vooral ook over onachtzaam of onverschillig gedrag, manipulatie (social engineering), slecht geconfigureerde hard- en software, en onduidelijke, onvolledige of zelfs ontbrekende processen.

Je kunt peperdure sloten op je deuren laten zetten, maar als je vervolgens domweg je raam open laat staan, heeft dat niet zo gek veel zin. Zelfs de beste cybersecurity kan weinig uitrichten tegen medewerkers die eenvoudig de poort uitlopen met je bedrijfsgegevens. Goedkope en eenvoudige trucs zoals phishing of smishing (phishing via text messaging) en pure bluf blijken vaak voldoende om de gegevens te bemachtigen die nodig zijn om hele bedrijfsrekeningen leeg te plunderen. Staar je dus niet blind op technologie, maar zorg dat je je mensen en processen op orde hebt.

Inzicht in wat je hebt

Het eerste wat organisaties helpt om hun weerbaarheid te verhogen, is de basis van de organisatie beheersbaar maken. Als je niet weet dat je een kelderraam hebt, kun je ook niet controleren of het gesloten is. Zorg daarom zo snel mogelijk voor volledig en actueel inzicht in de middelen, de gebruikers en het netwerkverkeer van je totale infrastructuur. Dat helpt je de gevolgen van mogelijke incidenten in te schatten, en dus ook beter te bepalen waar je kwetsbaar bent en waar je mogelijk aanvullende maatregelen zou moeten nemen. Bovendien is dergelijk inzicht een voorwaarde om incidenten tijdig te ontdekken (nog steeds komen organisaties er pas na maanden achter dat er een security incident heeft plaatsgevonden - en dan nog vaak doordat anderen het ze komen vertellen).

Bekende kwetbaarheden aanpakken

Het tweede waar je voor moet zorgen is dat je minimaal de maatregelen neemt die iedereen genomen zou moeten hebben. Als je weet dat er insluipers in de buurt actief zijn, en jij laat gewoon je ramen open staan, dan kun je ervan op aan dat je vroeg of laat ongewenst bezoek krijgt. Vulnerability management zorgt ervoor dat bekende kwetsbaarheden snel worden aangepakt, bijvoorbeeld door de nieuwste patches en updates te installeren en mogelijke configuratieconflicten direct op te lossen. Bij Solvinity en bij onze klanten is dat een proces waar we voortdurend mee bezig zijn.

Dat klinkt zo vanzelfsprekend, maar de lijst bekende kwetsbaarheden is bijzonder groot, en actief controleren of al die potentiële problemen fatsoenlijk zijn opgelost is een hele klus. Tegelijkertijd kun je ervan uitgaan dat die kwetsbaarheden ook bekend zijn bij de booswichten. Die lopen simpelweg de lijst langs om te zien wie zijn zaken niet op orde heeft. Zorg dus dat je vulnerability management beheerst. Het laatste wat je wilt is achteraf aan je klanten uitleggen dat je security-probleem eenvoudig voorkomen had kunnen worden (je wilt niet weten hoe vaak dit nog voorkomt).

Iedereen is verantwoordelijk

En tot slot: maak security een verantwoordelijkheid voor iedereen in je organisatie. De schade door phishing is, zo publiceerde de Volkskrant in maart van dit jaar, in een jaar tijd verviervoudigd. Dit komt niet alleen doordat fraudeurs geraffineerder te werk gaan, maar ook doordat mensen de risico's onvoldoende herkennen en erkennen. De mens als zwakste schakel dus.

Bewustwording is hier het 'toverwoord'. Maak je mensen bewust van de risico's. Wijzelf testen onze eigen medewerkers zeer regelmatig met social engineering pogingen van verschillende kwaliteit en geraffineerdheid. Door er een onderlinge competitie van te maken en de resultaten met elkaar te delen, compleet met puntentelling en leaderboards, wordt het hele team veel alerter op bijvoorbeeld phishing, verdachte links en andere pogingen om mensen te verleiden data af te geven of handelingen uit te voeren die het bedrijf kwetsbaar maken.

Organisatie onder controle

Er zijn hele goede en dure oplossingen op de markt om jezelf te beschermen tegen geavanceerde bedreigingen van buitenaf. Maar het heeft pas zin daarnaar te kijken als je je eigen organisatie onder controle hebt. Inzicht in je eigen kwetsbaarheid, bekende kwetsbaarheden direct verhelpen, en medewerkers die zich verantwoordelijk voelen: dat zijn de drie basisregels voor een weerbare organisatie.

Bas Demmink is Chief Technology Officer bij Solvinity