Newsroom

De haalbaarheid van weerbaarheid

GDPR draait volgens mij om het stellen van prioriteiten en hoe men voor dag komt. Door simpelweg te beginnen met wat je wil beschermen, waarom en hoe je denkt dit te gaan doen.

Cybersecurity is voor veel organisaties vandaag de dag een onderwerp waar wel over na gedacht moét worden. Je hoort er tegenwoordig ook niet meer bij als je niet minstens naar één bijeenkomst per maand gaat over cybersecurity en cybercrime. Het is immers één van de grootste bedreigingen voor moderne en IT-afhankelijke organisaties. Ik spreek graag over dit onderwerp en zo luister ik ook naar vele presentaties en verdiep me elke dag weer in het onderwerp. En ik kan je vertellen, dat is geen pretje. Doemscenario’s, zeer geavanceerde aanvallen en wekelijkse nieuwsberichten over een grote organisatie die met een cyberaanval te maken heeft gehad komen dagelijks voorbij. Een populaire quote voor veel presentaties is dan ook:

“Er zijn twee soorten bedrijven in de wereld, diegene die gehackt zijn en die dit nog niet weten.” 

Zelf heb ik erg veel moeite met deze uitspraak en de huidige cultuur om bedrijven te ontmoedigen te investeren in cybersecurity. Het signaal wat namelijk vaak, bewust of onbewust, wordt gegeven: wat je ook doet, het is nooit genoeg. Ze komen toch wel binnen. En veel MKB- ondernemingen kiezen hierdoor om maar helemaal niet te investeren security. Simpelweg omdat het geen zin heeft of omdat ze niet weten waar ze moeten beginnen.

De aankomende GDPR (ingangsdatum 25 mei 2018) moet organisaties richting geven om persoonsgegevens beter te beschermen. Het tegendeel lijkt echter te gebeuren. Grotere organisaties raken in paniek, strooien met geld om te investeren in privacy impact assessments, beleidsplannen en technische maatregelen om zo snel mogelijk compliant te worden. De kleinere ondernemingen kiezen ervoor om niets te doen of weten simpelweg niet dat deze wetgeving enorm veel impact heeft op de digitale bedrijfsvoering. Welk bedrijf ik ook spreek, één ding valt me op: de visie omtrent security ligt vaak zover in de verte, dat de kleine onderneming maar niet begint en de grote onderneming het gevoel heeft nooit dichterbij te komen. En vaak hebben ze beiden gelijk. Toch denk ik niet dat cybersecurity en GDPR té grote uitdagingen zijn om te tackelen. Ook niet ondanks alle “geavanceerde” cyberaanvallen van vandaag de dag. Ik denk dat het te maken heeft met stellen van reële doelen en ernaar te streven om elke dag het een beetje beter te doen.

Maar wat is dan een reële doelstelling op het gebied van cybersecurity anno 2017? Mijn pleidooi is de volgende: Weerbaarheid.

Weerbaarheid? Dat klinkt helemaal niet ambitieus, zeker niet in een tijd waarin alles digitaal is en onze afhankelijkheid daarvan zo groot is geworden dat het voelt alsof we sneller stappen moeten zetten op het gebied van cybersecurity. Toch zie ik dat de meeste organisaties nog niet weerbaar zijn tegen de meest basale cyberdreigingen. Sterker nog, elke geavanceerde cyberaanval van vandaag de dag begint vaak door het gebruik van de meest simpele aanvalsmethode. Denk hierbij aan een phishing e-mail of het uitbuiten van een niet up-to-date software pakket. En diezelfde weerbaarheid die bescherming biedt tegen dreigingen als ransomware, geautomatiseerde cyberaanvallen en phishing e-mails gaat zorgen voor bescherming tegen 99% van alle cyberaanvallen. Krijg je toch te maken met een zeer geavanceerde cyberaanval? Dan heb je een ander probleem en ben je waarschijnlijk niet het bedrijf wat deze column leest. Wat is dan een weerbare situatie? Voor elk bedrijf is mijn antwoord: “Bescherm je extern bereikbaar aanvalsvlak (website, clouddiensten, servers) en wees 100% gefocust op cybersecurity-hygiëne.”

Heel concreet betekent dit:

  • Het up-to-date houden van je website en uitvoeren van vulnerability assesments hierop (deze scans zijn er al vanaf een paar tientjes)
  • Inschakelen van twee-factor authenticatie op alle extern bereikbare (cloud)diensten.
  • Alle medewerkers een wachtwoordkluis aanbieden.
  • Wachtwoorden alleen toestaan van 12 karakters en langer (hoe langer hoe beter).
  • Blacklist van slechte wachtwoorden.
  • Bepaal voor je medewerkers welke rechten zij nodig hebben en bescherm ze tegen henzelf door minder rechten toe te kennen.
  • Bescherm persoonsgegevens door middel van encryptie.
  • Stel een patch-management beleid op.
  • Begin aan een cyber-incident response plan.

 

De haalbaarheid van bovenstaande maatregelen binnen een half jaar tijd is enorm groot. Toch zie ik bij minder dan 10% van de organisaties dat bovenstaande goed wordt geregeld en periodiek wordt getest. Diezelfde organisaties zijn vervolgens wel bezig met het implementeren van next-generation security tools en focussen volledig op GDPR compliancy. Ik denk dat je dan niet aan het bouwen bent aan compliancy, maar aan een kaartenhuis.

Toch hoor ik veel kritiek op bovenstaande maatregelen en hier maak ik me enorm zorgen om. Uitspraken als: “Ja maar twee-factor authenticatie kan je ook omzeilen”. “Al je wachtwoorden in één kluis, als je die kwijt bent dan ben je alles kwijt”. “Antivirus, dat is nooit 100%, dus waardeloos.”.

Dit soort uitspraken zijn schadelijk en ontmoedigend, zeker omdat zoveel “security professionals” elkaar daarmee tegenspreken met als doel meer spullen te verkopen. Als iets niet perfect is, dan is het niet meteen waardeloos. Hetzelfde geldt voor bovenstaande maatregelen. Nee ze zijn niet waterdicht maar vaak veel effectiever dan de huidige situatie. Dit soort ontmoediging draagt bij aan een onveiligere situatie dan noodzakelijk, helemaal omdat men nu juist progressie zou moeten maken, hoe klein de stappen ook zijn.

25 mei 2018 is niet de datum waarop alle organisaties in Nederland 100% compliant zullen zijn. 25 mei 2018 is hopelijk wel de datum dat Nederlandse bedrijven security als standpunt innemen. Uitspreken dat zij bescherming van persoonsgegevens belangrijk vinden. Aangeven dat ze nog niet zijn waar ze willen zijn, maar wel zijn begonnen. Het draait naar mijn idee niet om papierwerk of erop- of eronder compliancy. Het draait volgens mij om het stellen van prioriteiten en hoe men voor dag komt. Door simpelweg te beginnen met wat je wil beschermen. Waarom en hoe je denkt dit te gaan doen kan al de basis zijn van een solide beveiligingsplan. Het liefst uit het hart van de CEO of ondernemer zelf geschreven. Sterker nog, ik zou dit “manifest” ook op de website plaatsen en voor je het weet wordt security een unique selling point.

De helden van vandaag starten het maken van de wachtwoorden van morgen. Het instellen van twee-factor authenticatie, het implementeren van encryptie en het opstellen van een patch-management beleid. Het begin hoeft niet ingewikkeld te zijn en laat je nooit ontmoedigen op het moment dat je begonnen bent, nooit!

Over Dave Maasland

Dave Maasland (1990) is managing director bij ESET Nederland. Vanuit zijn vakgebied cybersecurity spreekt hij over de risico’s, maar vooral mogelijkheden die de digitale wereld biedt. Met zijn passie voor IT en technologie wil hij mensen enthousiasmeren en angst door onwetendheid wegnemen. Maasland: “Wij willen mensen en bedrijven verder helpen en Nederland op deze manier steeds veiliger maken.”