De cyberdreiging die met de oorlog gepaard gaat, raakt direct of indirect ook organisaties in Nederland. De vraag is hoe bereid je je voor op het onbekende, zoals een toegenomen dreiging door een oorlog? Want weinigen zagen de oorlog in Oekraïne aankomen. Of in ieder geval niet van ver. De basismaatregelen voor cybersecurity op orde hebben en houden, is een belangrijk deel van het antwoord. Dat klinkt misschien weinig spectaculair als je het afzet tegen een oorlogs- en cyberdreiging, maar toch is dit, in combinatie met scenariogebaseerd werken, de meest effectieve voorbereiding gebleken. ‘Op gebied van cyberweerbaarheid blijft het toch vaak greppeltjes graven en onderhouden. Geavanceerde middelen zoals een autonoom luchtafweergeschut zijn kwetsbaar en minder effectief als de eerste verdedigingslinie niet goed functioneert’, aldus Ruud van der Velden, adviseur bij het NCSC.
‘We hebben de afgelopen jaren een aantal scenario’s realiteit zien worden, die we daarvoor misschien wel onvoorstelbaar achtten: de coronapandemie, de oorlog in Oekraïne. En naast externe ontwikkelingen moeten we er rekening mee houden dat onze systemen kwetsbaarheden kunnen bevatten. Dat een belangrijk stuk software of hardware waar we vandaag nog volop op vertrouwen, morgen al maanden kwetsbaar blijkt te zijn. Dat soort tegenslagen komen als donderslag bij heldere hemel. We hebben gezien dat organisaties die de basis op orde hebben en doorlopend risico’s afwegen, dit soort onverwachte klappen beter opvangen.’
No regrets
De basis op orde hebben is al jaren het advies maar dat betekent niet dat het voldoende is om al jaren hetzelfde te doen. ‘De basismaatregelen zijn in feite een set van no regret doelstellingen. Ze blijven redelijk gelijk, maar wat ze betekenen voor een organisatie en welke concrete maatregelen daarbij passen is altijd contextueel en work in progress. Netwerken zijn complexer geworden en de beveiliging daardoor ook. Vroeger moest je een goed fort bouwen met een slotgracht er omheen, zodat je binnen de organisatie veilig en vertrouwd met elkaar kon werken. Die organisatiestructuur bestaat niet meer. Mensen werken vanuit huis en er is een levendige communicatie met de buitenwereld. Flexibele schillen met mensen die voor een organisatie werken is bovendien groter: zzp’ers, consultants, leveranciers, en externe beheerders van IT of OT. Zij komen allemaal in bepaalde mate voor in de systemen van een organisatie. De muren van het fort moeten omlaag zonder dat dit ten koste gaat van de veiligheid. Dat kan, als je het maar goed organiseert.’
‘Geïntegreerd risicomanagement en zero trust principes zijn manieren om op verantwoorde wijze de fortmuren naar een passend niveau te brengen. Door de toepassing van deze principes hebben medewerkers en externen toegang tot documenten en systemen op een need to know basis: ze kunnen niet meer dan nodig is voor het uitvoeren van hun taak. Er wordt pas toegang gegeven aan medewerkers en externen als zij hun beveiliging op orde hebben. En er is constant controle op wie wat mag benaderen. Verkeer binnen netwerken wordt bovendien geregistreerd en opgeslagen. Op basis van deze loginformatie kun je een normbeeld opstellen en verdacht verkeer detecteren. Bij een incident kun je achterhalen wat er mis is en achteraf kun je er weer lessen uit halen voor de toekomst. Veilige netwerken zijn daarnaast gesegmenteerd. Wanneer er een inbreuk is op een deel van het netwerk kan dat deel geïsoleerd worden van de rest om zoveel mogelijk data en processen te beschermen. De kans dat de hele organisatie stil komt te liggen, is dan veel kleiner.’
Je hoeft geen doelwit te zijn om slachtoffer te worden
De basis op orde hebben klinkt misschien cliché, maar de NCSC blijft erop hameren omdat het nodig is, aldus Ruud: ‘Een denkfout die binnen organisaties vaak wordt gemaakt is dat de dreiging niet voor hen geldt. Ze denken dat hackers heel gericht te werk gaan, dat zij zelf niets met het conflict te maken hebben of dat er bij hen toch niet veel te halen valt. Maar, je hoeft geen doelwit te zijn om slachtoffer te worden. Hackers kunnen inderdaad heel gericht te werk gaan, maar er zijn meer hackers en hackersgroepen die dat niet doen. Zij gebruiken geautomatiseerde aanvalstechnieken en werken volgens het adagium: pakken wat je pakken kan.’
‘Hackers en hacktivisten schieten met hagel op allerlei systemen om te kijken waar ze binnen kunnen komen. Als ze dan een systeem tegenkomen dat ze kunnen gijzelen of waaruit ze data kunnen wegsluizen, is het bingo. Ze kunnen geld verdienen door losgeld te vragen of data te verkopen, soms ook met maatschappelijke onrust of zelfs ontwrichting tot gevolg. Zo kun je als streekziekenhuis, waterzuiveringsbedrijf of kapper met een rijk klantenbestand toch slachtoffer worden van een hacker die zich inzet voor Rusland en/of uit is op eigen gewin.’ In de digitale ruimte moeten we er ook rekening mee houden dat de gelegenheid de dief kan maken. Die digitale ruimte is minder gebonden aan tijd en plaats, waardoor de gelegenheid van een kwetsbaar systeem zich aan meer mensen voordoet. Rafelrandjes aan je beveiliging kan ook nieuwsgierige minderjarige of betrokken medewerker verleiden om te testen hoe ver ze kunnen gaan in plaats van de kwetsbaarheid te melden voordat ze de grens van onverantwoord gedrag overgaan.
Het is niets persoonlijks
Om tot het gewenste veiligheidsniveau te komen, moeten vaak bestaande werkwijzen aangepast worden. Het betekent bijvoorbeeld dat mensen toegang en privileges verliezen die ze niet nodig hebben om hun werk te kunnen doen. Dat kan door medewerkers of leveranciers opgevat worden als wantrouwen en weerstand oproepen. Toch zouden werkgevers en bestuurders niet huiverig moeten zijn om die stap te zeggen: ‘Beperken van toegang is geen wantrouwen, maar bescherming van je medewerkers en relaties.’
‘Elke organisatie heeft te maken met zogenaamde insider threat. Die kan het gevolg zijn van onbewust handelen van medewerkers, denk aan per ongeluk klikken op een malware link. Maar het kan ook het gevolg zijn van bewust handelen. Al dan niet onder druk, kan een medewerker, leverancier of ketenpartner, externen toegang verlenen tot systemen. Door de veiligheidsmaatregelen op orde te hebben en mensen niet meer toegang te geven dan ze nodig hebben voor het uitvoeren van hun taak, bescherm je ze tegen externe druk en tegen verdachtmakingen van misbruik. Het is dus in hun belang om niet te veel te kunnen en niets persoonlijks. Als je dat goed uitlegt, zijn mensen bereid dat te accepteren.’
De winkel moet openblijven
We moeten niet naïef zijn vindt Ruud: ‘Cyberweerbaarheid is altijd ondergeschikt en ondersteunend aan primaire processen van organisaties. De winkel moet openblijven. Tegelijkertijd is weerbaarheid ook essentieel om de winkel open te kunnen houden. Je moet eigenlijk continu een inschatting maken van de dreiging tegen het belang dat je wilt beschermen en maatregelen die daarvoor nodig zijn. Op basis daarvan bepaal je waar je in investeert en welke risico’s je kunt accepteren. Als jouw belangrijkste te beschermen belang bijvoorbeeld bereikbaarheid is, moet je niet je hele IT-budget investeren in het maken van back-ups. Het NCSC kan doelgroepen ondersteunen bij het maken van een goede risicoafweging.’
In dit artikel bespraken we een aantal van de geadviseerde basismaatregelen. Wil je ze alle acht eens rustig nalezen? Klik dan hier.
Op basis van ervaringen met een jaar oorlog in Oekraine stelde het NCSC vier cybersecuritylessen op.