Zelf regie over Cyber Security
U leest het tegenwoordig bijna dagelijks. De toename van het aantal cyberaanvallen. En dat is begrijpelijk. Want uit een recente publicatie van de Autoriteit Persoonsgegevens blijkt dat het aantal gemelde’ hacks’ in 2020 met maar liefst 30 procent is toegenomen.
Nog een voorbeeld is het Hafnium lek binnen Microsoft Exchange dat veel schade heeft aangericht bij Nederlandse bedrijven. Zo’n hack wilt u uiteraard niet in uw organisatie, maar wat als u weinig tot geen verstand heeft van cyber-security? Dan is het een uitdaging om de juiste preventieve maatregelen te treffen en correct te handelen als een aanval heeft plaatsgevonden. In deze blog leg ik uit waarom het belangrijk is dat u zelf de regie neemt, wanneer we praten over veiligheid van uw IT omgeving en welke stappen u kunt zetten, ook als u geen verstand van cyber security heeft. Misschien helpt het als ik dit uitleg aan de hand van een voorbeeld.
Wanneer er in uw huis is ingebroken worden er verschillende handelingen van u verwacht. Nadat u de inbraak heeft ontdekt belt u de politie en geeft de schade door aan uw verzekeringsmaatschappij. Dit is eigenlijk hetzelfde bij een cyber-aanval. Waar ik regelmatig op zo’n ‘moment van paniek’ gebeld word, is het belangrijk om te weten wie u eigenlijk moet bellen. Want bij een woninginbraak belt u ook niet eerst de aannemer die het huis heeft gebouwd, of de slotenmaker. Dat u contact opneemt met uw IT leverancier is logisch, maar belangrijker is dat u zelf regie heeft over de veiligheid van uw IT omgeving.
Eerst neemt u na een cyber-aanval contact op met de politie (afdeling cyber-crime) en u kunt forensisch onderzoek laten uitvoeren. Mogelijk kunt u vanuit uw verzekering gebruik maken van een cyber-crime taskforce die direct actie onderneemt. Indien er bij de cyber-aanval persoonsgegevens zijn gelekt, dient u dit datalek binnen 72 uur te melden bij de Autoriteit Persoonsgegevens. Zoals u ziet zijn er meerdere partijen waarmee u contact moet opnemen. Daarom is het belangrijk dat u de regie neemt over de situatie en daarvoor een proces beschrijft. Daar kan ik u verder mee helpen. In deze blog start ik met 5 basisstappen.
Aan de hand van een introductie en voorbeeld heb ik geprobeerd uit te leggen wat u kunt of misschien wel moet doen, nadat een cyber-aanval heeft plaatsgevonden. Maar, net als bij de beveiliging van uw huis, is preventie belangrijk om het risico van een inbraak, of cyber-aanval, zoveel als mogelijk te beperken. Samen met uw IT leverancier kunt u een inventarisatieplan maken om de veiligheid op het hoogste niveau te krijgen, zodat u beschermd bent tegen cyber-criminelen.
Het is noodzakelijk dat u een inventarisatie maakt, want op veel plekken kan een cyber-aanval ontstaan. Denk hierbij intern aan een medewerker die een verkeerde bijlage opent, of bij uw verschillende SaaS-leveranciers of IT-dienstverleners. Hoe wordt er op deze online locaties ontdekt dat er een aanval heeft plaatsgevonden en hoe bereikt deze informatie u?
Ik merk in de praktijk dat er maatregelen uit paniek worden genomen om een gevoel van veiligheid te creëren. Een voorbeeld daarvan is het (te ver) aanscherpen van IT-beleid. Zo worden er vaak strenge beperkingen doorgevoerd voor eindgebruikers, zodat er geen cyber-incidenten meer plaatsvinden. Maar deze tactiek creëert naast schijnveiligheid, bovenal frustratie en is tevens een bron voor ‘schaduw IT’. Dit wil zeggen dat medewerkers via omwegen op zoek gaan naar eenvoudigere en gebruiksvriendelijkere alternatieven.
Mijn advies hierin; Neem juist de tijd om te ontdekken welke maatregelen bij uw organisaties passen én worden vereist en geadviseerd door uw verzekeraar, in uw sector op basis van huidige wetgeving. Neem medewerkers mee in deze transitie, zij vervullen immers een sleutelrol in de uitvoering van veiligheid en rust.
Indien u of uw beveiligingsadviseurs zwakheden ontdekken, dan is het zaak maatregelen te nemen, die de zwakheden wegnemen of beveiligen. Zoek de juiste beveiliging adviseurs die u kunnen helpen de zwakheden te ontdekken en laat dit op regelmatige basis opnieuw uitvoeren. Wat vandaag veilig is kan morgen onveilig zijn.
Een stap die onderbelicht is en aandacht nodig heeft. Neem regelmatig de bestaande maatregelen onder de loep. Wordt er logging toegepast? Want dan weet u waar een cyber-crimineel is geweest. Eigenlijk is dit te vergelijken met camerabeelden in en om uw huis. Werkt de antivirus software nog wel optimaal? Werkt de back-up nog naar behoren? Is het disaster recovery plan nog van toepassing? Is er een incident respons plan? Zijn alle software en besturingssystemen up-to-date? Werkt iedereen met two-factor authenticatie en sterke wachtwoorden? Is er een bewustwordingsprogramma voor medewerkers, wordt dit herhaaldelijk toegepast en de uitkomst daarvan gemeten? U heeft mogelijk niets aan de maatregelen als zij niet werken en dit niet gecontroleerd wordt.
Ongeacht of u gebruik maakt van een SaaS-oplossing (een zgn. all-in overeenkomst) en/of uw IT-omgeving volledig uitbesteedt, raad ik u aan om een cyber-security verzekering af te sluiten. En wel zo spoedig mogelijk. Het aantal cyber-aanvallen stijgt fors en dat zal de prijs van deze verzekering ook gaan doen. Andere partijen kunnen zich niet (in alle gevallen) verzekeren voor de door u geleden schade uit een cyberaanval. Neem bijvoorbeeld de situatie waarin de aanval is veroorzaakt binnen uw organisatie door een onoplettende medewerker. Zijn er sporen achtergelaten bij de aanval om überhaupt nog te achterhalen hoe de schade is ontstaan? In de rechtspraak wordt er weinig tot geen antwoord gegeven over dit onderwerp.
Een recente uitspraak waar vaak naar wordt verwezen is de ‘O’Cliance zaak’. Alleen is het een misvatting dat in algemene zin kan worden gesteld dat de IT-dienstverlener verantwoordelijk is voor schade na een cyberaanval. Kort gezegd ging het in deze zaak om ransomware (versleuteling van bestanden) en waren er tussen partijen weinig tot geen afspraken gemaakt. De IT-dienstverlener nam het standpunt in dat er offertes met security-maatregelen waren aangeboden, waarvan klant (O’Cliance) geen gebruik had gemaakt. Waren de offertes geaccepteerd, dan was de aanval mogelijk afgeweerd, aldus de IT-dienstverlener. De Rechtbank Amsterdam ging niet mee in dit verweer, omdat de IT-dienstverlener een ‘totaalpakket’ had aangeboden en verondersteld mocht worden dat security was inbegrepen. Ik acht niet dat deze uitspraak (eenvoudig) analoog kan worden toegepast, omdat het begrip ‘totaalpakket’ sterk casuïstisch is en ongebruikelijk in IT. Normaliter worden diensten uitgeschreven. Is het niet in de overeenkomst, dan wel in de Service Level Agreement.
De onduidelijkheid voor nu biedt des te meer redenen om niet af te wachten, maar zelf te beginnen met een inventarisatie van uw cyber-security, een cyber-security verzekering af te sluiten en met uw IT-dienstverlener te praten over preventieve maatregelen.
Na het lezen van deze blog wil je misschien meer weten over IT-security en helpen onderstaande links je verder:
Waar kan ik je mee helpen?
Wil je een vraag stellen, offerte aanvragen of een afspraak maken met één van onze specialisten? Vul dan het formulier in op deze pagina en wij nemen zo spoedig mogelijk contact met je op.