IT-dienstverlener Claranet sloot ‘Cybersecuritymaand Oktober’ af met een seminar over een onderwerp waarmee veel services providers te maken krijgen: de invoering van NIS2.
Henk Liebeek, Product Manager bij Claranet Benelux Cyber Security trad zoals vaker op als dagvoorzitter. Hij trapte af met een korte inleiding over het onderwerp. “Er zijn organisaties die de invoering van NIS2 als een last beschouwen, als weer een extra verplichting. De bedoeling is echter bedrijven en de samenleving als geheel veiliger te maken.” Liebeek wees op een aantal trends die duidelijk maken dat goede beveiliging belangrijker is dan ooit. “Vroeger moest je als hacker een soort supertechneut zijn, tegenwoordig gebruiken ze tooltjes van het web.”
Artificial Intelligence helpt daarbij nog eens. “Voorheen zaten phishingmailtjes vol taal- en spelfouten. Nu herken je ze aan het feit dat de teksten foutloos zijn.” NIS2 is volgens de Product Manager noodzakelijk omdat, zoals hij het uitdrukt, “cybercriminelen professioneler zijn op het gebied van malware dan 80% van de organisaties.” Zo is een ransomware-aanval niet alleen als dienst af te nemen, maar maakt een service desk onderdeel uit van de dienstverlening, zodat het uitvoeren van een aanval heel eenvoudig wordt.
Menselijke factor
De kwetsbaarheid van ondernemingen en consumenten is toegenomen door het massale gebruik van SaaS-applicaties, weet Liebeek. “On-premise applicaties hebben elk hun eigen specifieke structuur en code. Bij SaaS is de architectuur van een applicatie veel meer gestandaardiseerd, waardoor het cybercriminelen eenvoudiger is gemaakt met één stuk malware veel omgevingen binnen te dringen.”
Liebeek sloot zijn betoog af met de constatering dat 80% van de incidenten uiteindelijk het gevolg zijn van onoplettendheid van de gebruiker, terwijl de cybersecurity-industrie zich richt op de technische, niet menselijke factoren.” NIS2 besteedt veel aandacht aan de menselijke factor.
NIS2 kent rechten en plichten
Dat bleek ook uit de presentatie van Petra Oldengarm, Directeur van Cyberveilig Nederland. Zij ging in op de aanstaande invoering van NIS2. “De regelgeving komt met rechten en plichten,” maakte Oldengarm duidelijk. “Zo hebben ondernemingen recht op ondersteuning bij een incident. Daarnaast wordt uitgebreid informatie met bedrijven gedeeld om de bewustwording binnen de organisaties te vergroten.”
Er zijn ook plichten, vooral op het gebied van security-beleid. “De NIS2 is de opvolger van de NIS, waarin gesteld wordt dat ondernemingen passende maatregelen moeten nemen op het gebied van cybersecurity.” Dit echter zonder te definiëren waaruit die maatregelen dan moeten bestaan. NIS2 gaat gepaard met een lijst van maatregelen die bedrijven moeten nemen,” legde Oldengarm uit. “En voor een deel wordt dat proactief getoetst door de toezichthouder.”
Detectie wordt vergeten
Oldengarm onderscheidde in een security-strategie vier onderdelen. Het begint met ‘preventie’, daar zijn we allemaal al langer mee bezig. We weten dat de firewall niet meer afdoende is en daarom is nu een scala aan mogelijkheden op de markt die aanvallen helpen voorkomen. De volgende fase is detectie: hoe sneller een attack opgemerkt wordt, des te kleiner is de schade. “Aanvallers zijn vaak langere tijd actief in het netwerk van het slachtoffer voordat ze alles platleggen. Probeer dat te voorkomen door goede monitoring.”
Is een crimineel eenmaal geslaagd in zijn aanval, dan is het belangrijk over een goed responsstrategie te beschikken. “Over al deze lagen heen gaat het echter bij NIS2 ook over governance. Hoe heeft de directie van een onderneming zijn zaken strategisch ingericht.” Het opvallende nu, stelde Oldengarm, is dat NIS2 aan alle facetten aandacht geeft, behalve aan detectie. “Vergeet dat dus vooral niet,” is haar advies.
Impact van een incident
Databescherming gaan verder dan het beschermen van de eigen gegevens. “Het gaat er ook om andermans data te beschermen,” stelde Ellen van Meurs, Datasecurity Specialist bij Microsoft (foto). “We zijn via tal van communicatiekanalen met elkaar verbonden, privé en zakelijk. Het is van belang secuur met al die data om te gaan.” Security gaat daarbij volgens Van Meurs om de vraag: welke impact laat jij een incident maken?”
Want dat incident komt vroeg of laat, blijkt uit cijfers. Zo vinden er 11.000 wachtwoordaanvallen per seconde plaats. En waren er vorig jaar in Nederland 21151 meldingen van een datalek in ons land. “En bij een datalek gaat niet meestal niet om één mailadres of bankrekeningnummer, maar vaak om honderden of duizenden accounts.”
Zoals Oldengarm detectie als onderbelichte schakel zag, zo geeft Van Meurs aan dat 69% van de data in organisaties irrelevant is. “Die gegevens zijn overbodig of verouderd, maar bevatten vaak nog wel genoeg informatie om criminelen een stap verder te helpen in hun aanvalsproces.” Haar advies is dasarom: “voorkom het hamsteren van data. Gooi vooral ook zaken weg. Leeg mailbox en prullenbak, en kijk ook eens kritisch naar al die appjes die eindeloos bewaard worden.”
