Inleiding

Jaarlijks wordt door de Nationaal Coördinator Terrorismebestrijding en Veiligheid het Cybersecuritybeeld Nederland (CSBN) vastgesteld. Het CSBN biedt inzicht in de digitale dreiging en de belangen die daardoor kunnen worden aangetast. Op 28 juni 2021 is het CSBN 2021 uitgebracht en willen wij enkele punten voor ondernemend Nederland onder de aandacht brengen. Enerzijds om mee te werken aan bewustwording dat de weerbaarheid van organisaties tegen cybercrime niet voldoende is en anderzijds dat verbetering noodzakelijk is.
 

Alhoewel het Nationaal Cyber Security Centrum (NCSC) positieve ontwikkelingen signaleert zoals toename van het gebruik van multi-factor authenticatie, het uitfaseren van een aantal onveilige technologieën, een verbetering van detectie en respons en een breed scala aan concrete initiatieven om de weerbaarheid van organisaties te verbeteren blijkt op basis van incidenten dat nog steeds niet of onvoldoende basismaatregelen zijn getroffen.

 

Bovenstaande ligt in lijn met wat wij als IT-auditors in de praktijk signaleren: we zien positieve ontwikkelingen op het gebied van beveiliging bij organisaties als gevolg van toename van bewustwording. Tegelijkertijd stellen wij ook vast dat organisaties nog een (soms flinke) verbetering moeten doorvoeren.
 

Wij vinden dat IT-auditors een belangrijke rol spelen in het verbeteren van de bewustwording van ondernemend Nederland om de digitale weerbaarheid te verbeteren. Aan de hand van deze korte samenvatting willen wij hieraan een bijdrage leveren binnen onze relaties en klanten. Wij hebben de aandachtspunten opgenomen waarvan wij denken dat deze van belang zouden kunnen zijn voor organisaties in ons netwerk en waar van toepassing citeren wij teksten uit het CSBN 2021.

 

Cybersecuritybeeld 2021

 

Stand van zaken – aandachtspunten

CSBN 2021 stelt dat de digitale en de fysieke wereld sterker verweven zijn geraakt en steeds minder goed van elkaar zijn te onderscheiden.  Er zijn amper nog processen zonder digitale component.

“Een cyberincident raakt digitale processen en wanneer die niet naar behoren werken, heeft dat effect op het functioneren van organisaties: digitale veiligheid blijft onlosmakelijk verbonden met de nationale veiligheid en kan leiden tot maatschappelijke ontwrichting.”

Zowel de digitale dreiging als de weerbaarheid blijft in ontwikkeling en governance /risicomanagement moeten zorgen voor een voldoende balans tussen digitale dreiging en weerbaarheid.
 

CSBN 2021 geeft aan dat als gevolg van COVID-19 de maatschappij verder is gedigitaliseerd waardoor commerciële, educatieve en sociale activiteiten dankzij ICT toch (deels) konden doorgaan met als gevolg dat de digitale ruimte belangrijker is geworden voor het functioneren van de maatschappij.

Het gevolg hiervan is dat het dreigingsbeeld is verschoven waarbij cybercriminelen gretig gebruik maken van het wereldwijde actuele thema COVID-19 om via dit thema onder andere gerichte phishing-mails te verzenden.
 

Bij cybercriminelen draait het om geld. Een aantal cybercriminele groepen beschikt over capaciteiten die niet onder doen voor het niveau van statelijke actoren. Zo is ransomware geïdentificeerd als een verschijnsel dat grote maatschappelijke impact kan hebben. Het kent bovendien een solide verdien-model en is onderdeel van een omvangrijke, volwassen geworden cybercriminele economie.

Ransomware is onderdeel van een breder proces waarbij verschillende stappen worden onderscheiden:

Cybercriminelen nemen de tijd om netwerken van slachtoffers binnen te komen, uit te zoeken op welke wijze ze maximale ontwrichting van processen kunnen bereiken en wat een “geschikt” (want reëel) bedrag aan te eisen losgeld is. Ze brengen vaak langere tijd ongezien in een netwerk door. Door ook back-ups van systemen onbruikbaar te maken, vergroten ze de impact van de aanval en kunnen ze meer losgeld eisen.

De slachtoffers van deze veelal ongerichte aanvallen zijn over het algemeen kleine tot middelgrote bedrijven en in toenemende mate publieke instellingen. Dit zijn slachtoffers met doorgaans een lage tot beperkte weerbaarheid, waarin relatief weinig tijd en moeite hoeft te worden gestoken door de aanvaller. In het uiterste geval is de schade aan systemen zo ernstig, dat herstel niet mogelijk is. Dan rest alleen nog het opnieuw opbouwen van systemen en soms zelf het vergaren van verloren data!

Uit de incidenten van afgelopen jaar blijkt dat basismaatregelen nog te vaak of onvoldoende getroffen worden. Cybercriminelen maken snel misbruik van kwetsbaarheden in hard- en software en doen dat gedurende lange tijd. Hierbij wordt aanhoudend succesvol misbruik gemaakt van bekende kwetsbaarheden.

Verschillende incidenten zijn illustratief voor de structurele kloof tussen bekendwording van kritieke kwetsbaarheden en het (later) uitvoeren van beveiligingsupdates.

De rol van culturele instellingen en het MKB

Culturele instellingen en organisaties in het Midden- en Kleinbedrijf (MKB) beschikken veelal niet over de expertise en de middelen om de weerbaarheid naar een hoger plan te tillen. Toch kunnen ook deze organisaties het doelwit zijn van geavanceerde actoren. Daarnaast kunnen kwetsbare organisaties deel uitmaken van de leveranciersketens van vitale processen. Tegelijkertijd neemt de afhankelijkheid van ICT-dienstverleners toe terwijl zij de basisbeveiliging niet altijd voldoende op orde hebben en het vaak niet duidelijk is wie verantwoordelijk is voor bijvoorbeeld updates en back-ups. Daardoor zijn digitale processen kwetsbaar voor allerlei vormen van misbruik en vrezen exports dat de verschillen in het niveau van weerbaarheid de komende jaren verder zullen toenemen.

Culturele instellingen en het MKB zijn een essentieel onderdeel van ondernemend Nederland en daarom is het van vitaal belang om de basisbeveiliging te verbeteren.
 

Risicomanagement instrumenteel voor verhogen weerbaarheid

Uit het CSBN blijkt dat organisaties die basisbeveiliging op orde hebben en die er beter voor lijken te staan zich ook hebben gericht op een risicogebaseerde manier van werken. Hiervoor is een aantal breed toepasbare basisprincipes beschikbaar die ook door kleinere organisaties toegepast kunnen worden.

Het CSBN verwijst voor een overzicht van basismaatregelen naar de “Handreiking Cybersecurity-maatregelen” van het NCSC. Deze zijn wel belangrijk maar niet afdoende. Zij zorgen voor een minimum-niveau maar dienen aangevuld te worden om te anticiperen op geavanceerdere aanvallers en complexere problemen. Hiervoor is het toepassen van risicomanagement essentieel. Het CSBN geeft hierbij aan dat elke onderneming vrij is een eigen aanpak voor risicomanagement vorm te geven maar adviseert de volgende fundamentele principes te volgen:

 

• Weerbaarheid is een teamprestatie (en niet een aangelegenheid voor de ICT-afdeling).
• Scenario’s maken risico’s abstract. In hoofdstuk 8 van het CSBN zijn dreigingsscenario’s opgenomen.
• Geld en uptime zijn universele maatstaven: deze interpretaties vereenvoudigen het vergelijken van scenario’s.
• Testen legt problemen bloot: papier is mooi maar werkt het ook?
• Er kan van elkaar geleerd worden, ga in overleg met andere organisaties en deel ervaringen.

Bestuurders dienen te sturen op beheersing van risico’s om te zorgen voor een adequate weerbaarheid tegen cybercriminelen.
 

Cyberweerbaarheid en de rol van de IT-auditor
 

IT-auditors vervullen een belangrijke rol om de bewustwording van een adequate beveiliging tegen cybercrime bij ondernemend Nederland te verbeteren. Zij kunnen dienen als een belangrijke partner voor de ondernemer door bijvoorbeeld vanuit een onafhankelijke rol de beveiliging door te lichten en ondernemers bewust te maken van het belang van een goede beveiliging: zowel voor hun zelf maar ook voor de maatschappij.

 

De IT-auditors van Soll-IT kunnen u uiteraard hierin ondersteunen door:

• de spreekwoordelijke thermometer in uw onderneming te steken en vast te stellen welke  risico’s aanwezig zijn en welke acties vereist en/of gewenst zijn;
• aan de hand van onze rapportage handvatten geven voor u om acties uit te gaan zetten en de beveiliging te verbeteren; en
• na verbetering periodiek onze IT-auditor inzetten om te waarborgen dat uw beveiliging onder de aandacht is én blijft!

 

Vragen / hulp nodig?

Neemt u dan contact op met ons.

 

Dit artikel is uitgebracht in samenwerking met de IT-auditors van Soll-IT, onze partner op het gebied van IT-auditing.