Digitale weerbaarheid Hoe wapenen bedrijven zich tegen cybercriminaliteit? De afgelopen tien jaar zijn de IT-systemen van bedrijven totaal veranderd, net als de cyberveiligheid daarvan. Niet elke beveiliging is de moeite waard. „De vraag is welke risico’s je acceptabel vindt.”
Bedrijven en instellingen kunnen zich tegen cyberaanvallen beschermen met „5 basisprincipes van digitale weerbaarheid”, stelt het Nationaal Cyber Security Centrum (NCSC) op zijn website. „Vaak maak je met relatief eenvoudige stappen je organisatie een stuk digitaal weerbaarder”, aldus het NCSC.
Maar, waarschuwt Ronald van der Zon, coördinerend adviseur bij het NCSC: „Honderd procent beveiliging tegen cyberaanvallen is niet alleen onmogelijk, het is ook onwenselijk.”
Een jaar of twintig geleden, zegt Van der Zon, kon je het IT-landschap nog zien als een verzameling kastelen met een ophaalbrug. Bedrijven hadden hun eigen systeem voor beveiliging, de systeembeheerder stelde de grenzen ervan vast op basis van wat mogelijk was, en de rest van de onderneming bemoeide zich er weinig mee.
„In de huidige tijd is dat volledig anders: vanuit de hele organisatie worden er van alle kanten eisen gesteld aan de IT. De behoefte van de business staat nu centraal. In plaats van aan een kasteel doet het IT-systeem nu denken aan een winkelcentrum waar iedereen in- en uitloopt.” Dat vraagt om een nieuwe benadering van de cyberbeveiliging.”
„Het is niet meer te doen om van incident naar incident te racen en te zeggen: we gaan zorgen dat dit nóóit meer kan voorkomen”, vervolgt hij. „De discussie zou moeten gaan over de vraag tot welk niveau je met je beveiliging wilt gaan. Want beveiliging kost geld, veel geld, en heeft ook andere consequenties. Veiligheidsmaatregelen kunnen ertoe leiden dat samenwerken minder efficiënt wordt.
„Als wij als Nederland ondernemend willen zijn om te kunnen concurreren met de rest van de wereld, is het waarschijnlijk niet wenselijk om te streven naar honderd procent cyberveiligheid. Ondernemen gaat gepaard met risico’s, de vraag is welke risico’s je acceptabel vindt.”
Waar in het verleden het beleid rond cyberveiligheid werd bepaald door harde eisen te stellen, zoals het gebruik van sterke wachtwoorden, vraagt de complexe omgeving waarin IT zich tegenwoordig bevindt volgens Van der Zon om flexibel risicomanagement dat op de omstandigheden is afgestemd. „Je kunt wel zeggen: overal in de zorg moeten we, om de identiteit van de persoon die inlogt vast te stellen, alleen nog werken met tweefactor-authenticatie [waarbij naast een wachtwoord nog een tweede identificatiestap vereist is]. Maar op een eerstehulppost waar spoed soms vereist is, kan dat te omslachtig zijn en moet je iets anders verzinnen.”
Digitale weerbaarheid bestaat niet alleen uit het voorkomen van cyberaanvallen en datalekken, benadrukt Van der Zon. Drie andere zaken zijn zeker zo belangrijk: het ontdekken van inbreuken op het systeem, de juiste manier om erop te reageren en het herstellen van de opgelopen schade. „Als het niet gelukt is een aanval te voorkomen, dan is er altijd veel aandacht voor het eerste punt: waarom kon dit niet worden voorkomen. Maar die drie andere punten zouden we meer aandacht moeten geven. Als er een inbraak in je systeem is, maar je weet het probleem binnen enkele minuten op te lossen, dan help je in belangrijke mate mee om de risico’s te beperken.”
Naast het NCSC zijn er nog vier gespecialiseerde teams opgericht die hulp kunnen verlenen bij cyberincidenten: die voor gemeenten, waterschappen, onderwijs- en onderzoeksinstellingen en de zorg.
Z-CERT, het expertisecentrum voor cybersecurity in de zorg, heeft naar aanleiding van de recente ransomware-aanval op het lab van Clinical Diagnostics in Rijswijk zijn „tien tips tegen ransomeware” geactualiseerd. Deze tips overlappen deels die van het NCSC, maar gaan nog wat verder. Over back-ups van belangrijke gegevens staat er bijvoorbeeld: maak „drie kopieën van je data, op twee verschillende opslagmedia en een kopie offline”.
„Cyberweerbaarheid is voor de zorg niet per se anders dan voor andere sectoren”, zegt Z-CERT-directeur Wim Hafkamp. „Maar we hebben in Nederland een heel complexe infrastructuur waarin de ziekenhuizen en ander zorgorganisaties veel taken hebben uitbesteed. Bovendien is er de afgelopen jaren veel gedigitaliseerd. Dat kan leiden tot kwetsbaarheden. Omdat er ook gevoelige persoonlijke gegevens in het geding zijn, maakt dat de zorg tot een gewild doelwit van cybercriminelen. Bestuurders moeten zich dat realiseren.”
Z-CERT ziet dat niet alle zorginstellingen voldoende beveiligingsmaatregelen hebben genomen. Zo schort het volgens Hafkamp vaak aan de snelheid waarmee oplossingen voor kwetsbaarheden in de software worden ingevoerd. „Je systeem moet zo ingericht zijn dat het aanpassingen zeven dagen per week, en 24 uur per etmaal kan doorvoeren.”
Maatregelen om het personeel te trainen om niet op verdachte links in emails te klikken, vindt Hafkamp ook belangrijk. „Je moet continu blijven oefenen. Daardoor wordt de kans dat iemand in de val trapt steeds kleiner. Maar een crimineel heeft maar één iemand nodig die er wél in trapt. Daardoor sta je altijd een beetje op achterstand. Het blijft voor iedereen opletten, elke dag weer.”
Als grote cyberaanvallen bekend worden leidt dat vaak tot veel publiciteit – „en hopelijk werkt dat voor organisaties als een wake-upcall”, zegt Hafkamp. „Ik heb een achtergrond van informatiebeveiliging in de financiële sector, en daar zag je hetzelfde proces: de opkomst van fraude via internetbankieren leidde tot bewustwording en tot een strengere aanpak van de toezichthouder. Ik verwacht dat het met de cyberveiligheid binnen de zorg ook zo gaat.”
Hafkamp wil niet ingaan op de recente diefstal van medische gegevens van het lab van Clinical Diagnostics en de vraag of daar losgeld is betaald. Maar in het algemeen, zegt hij, „zijn we principieel tegen het betalen van losgeld. Want als criminelen er geld aan kunnen verdienen, dan houd je daarmee hun systeem in stand.”
Daar maakt Hafkamp wel een kanttekening bij: „Het kan ook echt een dilemma zijn. Bijvoorbeeld als er een grote maatschappelijke ontwrichting ontstaat doordat een instelling niet meer bij zijn data kan. Of wanneer er een gevaar voor patiënten ontstaat. In dat soort gevallen kan ik me voorstellen dat een organisatie toch losgeld betaalt.”
Particuliere bedrijven voor cybersecurity spelen een belangrijke rol bij zowel het versterken van de digitale weerbaarheid, als bij het reageren wanneer er onverhoopt iets misgaat. Stefan van den Braak, accountmanager van het bedrijf NFIR, ziet de afgelopen jaren een daling van het aantal cyberincidenten. Dat is volgens hem te danken aan zowel grotere bewustwording van de risico’s als aan sterkere beveiligingsmaatregelen. Maar er is nog een wereld te winnen.
„Van alle incidenten is 65 tot 70 procent veroorzaakt door een menselijke fout, een zwak wachtwoord – zoiets als ‘welkom2025’ – of iemand die op een phishingmail heeft geklikt. Het is belangrijk te oefenen met je hele team om dat te voorkomen.
„Door de grote affaires die af en toe in de publiciteit komen krijg je incidenteel meer bewustwording, maar dat moet structureel worden. Je zou bijvoorbeeld iedere maand vijftien minuten met je medewerkers moeten nadenken over cyberveiligheid. We hebben meegemaakt dat medewerkers van bedrijven niet eens weten waar ze een phishingmail moeten melden. Of ze zijn huiverig om dat te doen. Je moet zorgen dat die drempels verdwijnen.”
Bij de dienstverlening van cybersecuritybedrijven als NFIR hoort ook de inzet van zogenoemde ‘ethische hackers’, die preventief op zoek gaan naar de kwetsbaarheden in digitale systemen van opdrachtgevers. „Soms krijgen we toegang tot het account van één gebruiker en kijken we bijvoorbeeld of we van daaruit bij alle data kunnen komen.” Als dat zo blijkt te zijn, heeft de opdrachtgever waarschijnlijk een onnodig risico genomen. Zoiets is dan makkelijk te beperken door de toegang tot het systeem van zulke accounts in te perken.
Breng je risico’s in kaart, zoals bijvoorbeeld het bestaan van een oude server die nog steeds toegankelijk is via internet maar al lang geen updates meer heeft gehad. Een risicoanalyse helpt een organisatie te beseffen welke risico’s intern de grootste bedreiging vormen, en wat de ‘kroonjuwelen’ zijn die bovenal beschermd moeten worden. „Het is niet mogelijk om 100 procent digitaal weerbaar te zijn. Goed inzicht in je risico’s maakt dat je een afgewogen keuze kunt maken in welke maatregelen nodig zijn om je risico’s te mitigeren.”
Bevorder veilig gedrag. Vaak gaat het mis bij de menselijke schakel, bijvoorbeeld doordat een medewerker op een zogeheten phishingmail klikt, of een onveilig usb-stick gebruikt, waardoor kwaadwillenden het systeem van de organisatie kunnen binnendringen. Organisaties kunnen hun personeel trainen hoe ze moeten omgaan met gevaarlijke mails, en zorgen voor een cultuur waarin mensen niet bang zijn om te melden als ze ergens zijn ingetrapt.
Bescherm systemen, applicaties en apparaten. Laat niet de standaardinstellingen van de apparatuur staan, als die meer functionaliteiten biedt dan voor je organisatie nodig is. Dicht kwetsbaarheden zo snel mogelijk, door updates en ‘patches’ (oplossingen voor fouten in de software) onverwijld uit te voeren.
Beheer toegang tot data en diensten. Zorg dat medewerkers en mensen van buiten de organisatie alleen de mate van toegang hebben die noodzakelijk is voor hun werkzaamheden en alleen voor de periode die voor hun werk nodig is.
Bereid je voor op incidenten. „Lang niet alle incidenten zijn te voorkomen”, schrijft het NCSC. „Als het dan toch misgaat, komt het op de digitale weerbaarheid van organisaties aan om zo snel als mogelijk terug te keren naar business as usual.” Daarbij kan het oefenen van noodscenario’s helpen en ook het regelmatig testen van back-ups.
Een overzicht van de verhalen die de economieredactie vandaag heeft gemaakt
Source: NRC