Complexe digitale transformaties hebben impact op onze cyberweerbaarheid. Toch wordt security nog vaak als bijzaak gezien en dat maakt ons kwetsbaar. Je hoort weleens over een hack, een crypto-aanval of een bedrijf dat het slachtoffer is van ransomware en losgeld moet betalen. Maar wat veel bedrijven zich niet beseffen, is dat goed georganiseerde cyberaanvallers inspelen op onze digitale veranderingen. Vaak zelfs gesponsord door statelijke actoren als Iran, Rusland en China. Cybercriminologie is big business en het is iets waar we ons tegen moeten wapenen.
Tony Krijnen, Cloud Solutions Architect Security & Compliance bij Microsoft, vertelt in deze blog over hoe we ons effectief kunnen verdedigen tegen de steeds veranderende dreigingen in deze digitale wereld. Ook beschrijft hij welke rol NIS 2 hierbij speelt en wat deze nieuwe richtlijn betekent voor jouw organisatie.
We laten gaten vallen in onze processen
We kennen allemaal de driehoek van mens, proces en technologie. Drie belangrijke poten die allemaal nodig zijn voor een effectieve cybersecurity. Technologie bied je uitgebreide mogelijkheden om jezelf beter te beschermen tegen cyberdreigingen. Daarnaast is het essentieel om de mens centraal te stellen, aangezien we helaas vaak de zwakste schakel zijn in de beveiligingsketen. We zijn nieuwsgierig van aard en klikken op links en openen bijlagen zonder altijd de noodzakelijke voorzorgsmaatregelen te nemen.
Maar het allerbelangrijkste zijn toch de processen. Daar laten we vaak nog grote gaten vallen als het gaat om cybersecurity. Terwijl ieder bedrijf goed is voorbereid op een brand. Er hangen rookmelders en brandblussers, er is een bhv-team opgeleid, en iedereen weet welk nummer hij of zij moet bellen bij brand. Toch hebben maar weinig bedrijven een handboek klaarliggen over wat te doen in het geval van een ransomware-aanval. Maar wie moet je dan informeren, hoe ga je dat doen en welke oplossingen heb je daarvoor nodig? Want een telefoonnummer opzoeken, ook dat van je klanten, is onmogelijk als je computers op zwart staan.
Het wordt tijd dat we ons net zo goed voorbereiden op een cyberaanval als op een brand. De Nationaal Coördinator Terrorismebestrijding en Veiligheid waarschuwt niet voor niets in het Cybersecuritybeeld Nederland 2023 om het onverwachte te verwachten.
NIS 2: actief in oktober 2024
Omdat die processen zo achterblijven, heeft de Europese Unie (EU) onderzocht hoe ze de cyberweerbaarheid van alle EU-landen kunnen verbeteren. Daarvoor heeft de EU een wettelijke richtlijn in het leven geroepen: de NIS 2, waarbij NIS staat voor Network Information Security.
Sinds 2016 is er al een richtlijn actief, de NIS 1. Die is gericht op operators of essential services, zoals voorzieningen in infrastructuur, elektriciteit en water, en digital service providers. Welke bedrijven dit precies zijn kan ieder EU-land zelf bepalen. Naar aanleiding van de NIS 1 is sinds 2018 in Nederland de Wet Beveiliging Netwerk en Informatiesystemen (WBNI) van kracht.
Voor NIS 1 is goed gedocumenteerd wat je moet doen om een beveiligingsincident te rapporteren, aan wie je dat moet doen en welke maatregelen je moet nemen naar aanleiding van het incident. Maar wat ontbreekt is wat je moet doen om zo’n incident te voorkomen. Daarom is er behoefte aan een uitbreiding van deze richtlijn en wordt de NIS 2 actief in oktober 2024. Hierin is bijvoorbeeld wel vastgelegd wat operators of essential services en other critical services zijn, zodat duidelijk is welke maatregelen voor welk bedrijf gelden.
Is NIS 2 voor jou van toepassing?
Heb je minder dan 50 medewerkers en minder dan 10 miljoen euro omzet per jaar? Dan val je niet onder de NIS 2. Echter, was de European Electronic Communications Code (EECC) op jouw bedrijf van toepassing, dan geldt de NIS 2 wél voor jou.
Bovendien is een bedrijf dat onder de NIS 2 valt, verplicht om aandacht te besteden aan de beveiliging van de gehele toeleveringsketen. Dus het kan zo zijn dat de NIS 2 niet direct voor jou van toepassing is, maar wel indirect, omdat je levert aan of verbonden bent met een bedrijf dat wel moet voldoen aan NIS 2.
Met ‘verbonden zijn’ worden bijvoorbeeld API-koppelingen bedoeld of het beheer van een IT-omgeving op afstand. Het bedrijf is dan verplicht om te analyseren en te evalueren hoe de beveiliging bij elke betrokken leverancier is ingericht, zodat de integriteit en veiligheid van de gehele keten wordt gewaarborgd. Controleer dus goed of de NIS 2 wel of niet van toepassing is voor jouw organisatie.
NIS 2: dit zijn de verplichtingen voor bedrijven
Waar NIS 1 zich uitsluitend op incidenten richtte, omvat NIS 2 ook cyberdreigingen. Dit betekent dat je binnen 24 uur nadat je je bewust bent geworden van een incident of dreiging, dit door moet geven aan het computer security incident response team. We gaan ervanuit dat in Nederland dit het National Cyber Security Centre (NCSC) zal zijn. Na de eerste waarschuwing moet je binnen 72 uur een incidentmelding doen. Ook zul je op verzoek van deze organisatie (waarschijnlijk dus het NCSC) een tussenrapport moeten verstrekken.
Uiterlijk één maand na de melding, moet je een eindrapport opleveren. Dit eindrapport moet een volledig gedetailleerde beschrijving bevatten van het incident, inclusief de ernst, de impact, het type dreiging, wat de oorzaak was, en wat er is gedaan om te voorkomen dat dit in de toekomst weer gebeurt. Het kan dan zijn dat het NCSC besluit dat het incident relevant is voor meer organisaties. In dat geval wordt het rapport openbaar gemaakt. Zo kunnen anderen het inzien en maatregelen nemen om zich tegen soortgelijke dreigingen te wapenen.
De securitymaatregelen waaraan je moet voldoen
De maatregelen die je onder de NIS 2 moet treffen, zijn gelukkig niet erg ingewikkeld. Eigenlijk zouden de meeste vereisten al in de organisatie geïmplementeerd moeten zijn. Voldoe je aan de ISO 27001-norm? Dan zijn je securityprocessen omschreven en heb je waarschijnlijk het grootste deel van onderstaande maatregelen al ingericht.
Wat kun jij afvinken van deze lijst en wat niet? De maatregelen die nog ontbreken in je organisatie, daar moet je tijd en geld in investeren, zodat je volledig voldoet aan de NIS 2. Uiteindelijk gaat het niet om het voldoen aan deze richtlijn, maar om het verhogen van jouw cyberweerbaarheid. Je hebt dan niet per se het allerbeste en duurste slot nodig, maar je wilt wel dat jij een beter slot hebt dan je buurman. Zorg er dus voor dat je beveiligingsmaatregelen in orde zijn, zodat jij je minder risico loopt bij een cyberaanval.
Directie is aansprakelijk voor risicobeheer
Als het gaat om het risicobeheer voor cybersecurity, dan zijn de directie of bestuursleden eindverantwoordelijk. Zij moeten toezicht houden op de implementatie van de juiste maatregelen en ze zijn persoonlijk verantwoordelijk voor non-compliance. Daarom is het nodig om hen regelmatig te trainen op het gebied van cyberbeveiligingsrisico’s en beheerpraktijken.
De lidstaten zullen zelf verschillende maatregelen moeten nemen als het gaat om toezicht en handhaving van NIS 2. Denk aan audits, site-inspecties en securityscans. Dit is nodig om te kunnen waarborgen dat de vastgestelde regels en richtlijnen van NIS 2 strikt worden nageleefd.
Is dit niet het geval? Dan zijn de boetes aanzienlijk. Voor annex één bedrijven (essential services) is er een volledig toezichtregime van kracht met boetes van tenminste 10 miljoen euro of 2% van de totale wereldwijde jaaromzet. Voor annex twee bedrijven (other critical services) geldt een boete van 7 miljoen euro of 1,4% van de totale wereldwijde jaaromzet. Bovendien kunnen autoriteiten een directeur of bestuurder uit functie zetten, omdat ze vinden dat hij of zij niet geschikt is als directeur van bijvoorbeeld een waterbedrijf. De maatregelen bij het niet voldoen aan NIS 2 zijn dus niet mis.
Wil je jouw cyberweerbaarheid verhogen?
Weet je niet goed waar je moet beginnen met de maatregelen voor NIS 2? En wil je jouw cyberweerbaarheid verhogen? We denken graag met je mee!
Visie van Microsoft op cybersecurity: Zero Trust
Zero Trust is gebaseerd op het principe van een open IT-omgeving, waarbij de locatie van een laptop of smartphone niet langer relevant is. Of het apparaat zich nu wel of niet binnen het bedrijfsnetwerk bevindt, in dit model wordt het vertrouwen voortdurend gevalideerd. Medewerkers werken nu eenmaal vaak op afstand, daarom ga je er niet langer vanuit dat alles achter je firewall veilig is.
Dit zijn de drie uitgangspunten van Zero Trust:
- Ga uit van een inbreuk. Neem aan dat cyberaanvallen succesvol zullen zijn en richt je IT-omgeving hierop in. Ga na wat de impact zou zijn van een inbreuk.
- Geef gebruikers zo min mogelijk rechten. Stel dat een medewerker ooit is begonnen bij de afdeling logistiek, vervolgens is overgestapt naar marketing en nu werkt bij sales. Hij heeft nog alle rechten. Als zijn account gecompromitteerd zou worden, ontstaan er ernstige problemen voor alle drie de afdelingen. Daarom is het belangrijk om onnodige rechten in te trekken en alleen toegang te verlenen tot de relevante afdeling, in dit geval sales.
- Verifieer zorgvuldig. Hoe kun je het vertrouwen in gebruikers, apparaten en applicaties inzichtelijk maken en valideren met data en telemetrie? Je stelt vast wat normaal gedrag is en bepaalt wat er moet gebeuren bij afwijkingen. Als een gebruiker inlogt op Schiphol en een uur later in Taiwan, dan is dat onmogelijk. Hetzelfde geldt voor apparaten. Neemt het dataverbruik plots toe? Dan is dat verdacht. Je kunt dan automatisch de toegang blokkeren of een extra MFA-controle afdwingen.
De componenten van Zero Trust
Zero Trust richt zich op de volgende onderdelen van je IT-omgeving om deze te verdedigen tegen cyberaanvallen:
- Identiteiten
- Eindpunten
- Applicaties
- Data
- Infrastructuur
- Netwerk
Als je naar bovenstaande afbeelding kijkt, dan wil alles aan de linkerkant, toegang tot hetgeen aan de rechterkant. Wil je dit goed beveiligen, dan moet je alle componenten binnen je IT-omgeving meenemen. Door continu een (geautomatiseerde) risicobeoordeling uit te voeren, ben je alert op eventuele veranderingen. Bij afwijkingen van normaal gedrag kun je dan maatregelen toepassen. Hierbij is het cruciaal om gebruik te maken van threat intelligence en telemetrie. Deze tools helpen je om een helder beeld te krijgen van de situatie en je beveiliging verder te versterken.
Geen losse endpoint-oplossingen
In de praktijk is er vaak nog sprake van verschillende beveiligingsoplossingen. Zo is er een antiviruspakket voor de eindpunten, software voor identity-controle, en een tool voor het monitoren van phishing en spam. Je hebt dan te maken met drie losse oplossingen, oftewel point solutions, met ieder een eigen portaal voor meldingen en functies.
Wat ontbreekt is een totaaloverzicht. In het ene portaal zie je malwarewaarschuwingen, in het andere inlogpogingen, en in het derde phishing-mails. Het lijkt dan alsof je te maken hebt met losse incidenten, maar je mist het grotere plaatje. Wanneer je deze data namelijk samenbrengt met een SIEM-oplossing (Security Information and Event Management, zoals Microsoft Sentinel) wordt duidelijk dat deze activiteiten lijken op een aanval van de Nobelium-groep. Door middel van threat intelligence en telemetrie zijn tactieken van een hackergroep herkend. Dit overzicht stelt je in staat om gerichter te reageren en de aanval af te vangen.
Microsofts Zero Trust-oplossingen
Microsoft biedt diverse oplossingen die passen bij hun visie op Zero Trust. Deze visie draait om het volledig afdekken van de IT-omgeving, zodat er geen blinde vlekken zijn waarin aanvallers vrij kunnen bewegen.
Binnen deze strategie is aandacht voor verschillende aspecten van beveiliging. Zo is Microsoft Defender niet alleen een antivirus- en antimalware-oplossing, maar inventariseert het ook de software op verschillende apparaten. Vervolgens krijg je een exposure score, wat inzicht geeft in het risico dat aan deze apparaten is verbonden. Zo zorgt Microsoft Defender voor een compleet en samenhangend beveiligingsbeeld dat is gericht op het minimaliseren van risico’s en kwetsbaarheden. Dit is slechts een van de security-oplossingen binnen het Zero Trust-framework van Microsoft.
Bereid je nu al voor op NIS 2
NIS 2 wordt actief in oktober 2024. Dit lijkt misschien nog ver weg, maar als je nog moet beginnen met het in kaart brengen van je procedures, het maken van plannen, en het identificeren van de hele keten van afhankelijkheden – met name alle leveranciers en koppelingen – dan is deze datum dichterbij dan je denkt. Voor het implementeren van de maatregelen voor NIS 2 moet je budget vrijmaken en medewerkers moeten worden getraind. Kortom, het vraagt om een zorgvuldige planning en uitvoering om succesvol te kunnen voldoen aan de nieuwe richtlijn.
En dat is niet voor niets. Cybercriminaliteit is een professionele sector waar veel geld in omgaat. Het is belangrijk om je daartegen te wapenen om het risico op en de gevolgen van een cyberaanval voor je organisatie te beperken. Hierbij spelen mens en technologie een rol, maar dus ook alle bijbehorende processen en daarmee lopen veel organisaties nog achter.
Weet je niet goed waar je moet beginnen met de maatregelen voor NIS 2? En wil je jouw cyberweerbaarheid verhogen? We denken graag met je mee. Neem contact op met Jochem van Niel via jochem@adoptify.nl
Wil je jouw cyberweerbaarheid verhogen?
Weet je niet goed waar je moet beginnen met de maatregelen voor NIS 2? En wil je jouw cyberweerbaarheid verhogen? We denken graag met je mee!