De vraag die elke ondernemer en organisatie zich moet stellen, luidt: hoe afhankelijk ben ik van mijn digitale systemen? “Ik denk dat veel ondernemers zich díe vraag nog onvoldoende stellen. Hoe lang kan ik doorgaan zonder mijn data? Is dat een dag, een maand? Maar als dat een uur is, moet je een andere investering doen in je veiligheid,” waarschuwt Petra Oldengarm van Cyberveilig Nederland.
De Nederlandse samenleving is zich onvoldoende bewust van de digitale afhankelijkheid, meent Oldengarm. “We zijn er door corona nog afhankelijker van geworden. De complexiteit van het type risico vinden mensen lastig en dat schuiven ze dan maar terzijde in plaats van dat je denkt ‘hier moet ik meer over weten’. Het begint met logisch nadenken. Het begint met simpele vragen over businesscontinuïteit. Dan ga je er vanzelf druk over maken. Alleen, dat bewustzijn, en dat roepen we al jarenlang, is nog steeds niet groot genoeg.”
Afhankelijkheid
Als voorbeeld gebruikt Oldengarm een recente ervaring op een postkantoor om de digitale kwetsbaarheid te illustreren. “Er was een pakketje uit de VS voor mij binnengekomen. Het digitale systeem lag eruit. Ik kreeg de zending niet mee omdat de medewerker niet in staat was om te registreren dat ik het pakje had aangenomen. Dan zie je dat er geen back-upplan is bedacht voor als je systemen het niet doen. Uiteindelijk heb ik een week op mijn pakketje moeten wachten.” Haar boodschap: je moet nadenken over die afhankelijkheid. Daar is ook een goede reden voor. “We hebben in grote mate te maken met allerlei aanvallen, inbraken en spionageachtige zaken. De recente ophef over het lek in de Microsoft Exchange server laat zien dat we ons moeten voorbereiden op nieuwe aanvallen in de komende jaren. Dat betekent dat weerbaarheid net zo belangrijk, zo niet belangrijker is dan het al was.”
De vraag is wat voor type crisis nodig is, voordat cybersecurity echt een probleem is, stelt Oldengarm. “Wij roepen vanaf de sector al jarenlang vanaf de zijlijn: ga aan de slag!” Ze maakt de vergelijking met de coronapandemie: “We kunnen leren van de aanpak van de coronacrisis. Wat als het een digitaal virus zou zijn? We hebben de overheid geadviseerd om een OMT voor cybercrisissen in te richten, voor een groot incident. Daarbij kunnen we lessen trekken van wat bij Covid-19 wel en wat niet heeft gewerkt.”
Governance
In het verleden hebben we goed gekeken hoe we incidenten kunnen voorkomen. Natuurlijk blijft dat belangrijk. Tegelijkertijd moet je je ook aandacht verplaatsen naar de vraag: hoe zorg ik dat ik een incident zo snel mogelijk ontdek, om de schade te beperken? En ook: hoe los ik een incident zo snel mogelijk weer op, als ik het ontdek? Een aanval detecteren en een goede respons organiseren zijn ook twee belangrijke aandachtspunten geworden.
Organisaties moeten hun governance op orde hebben. Het is zaak dat je je op boardroom- en directieniveau druk maakt over digitale veiligheid en dat je daar mensen verantwoordelijk voor maakt. Cybersecurity moet je monitoren. Aan de dienstverleningskant binnen de cybersecuritysector groeit de vraag naar respons- en monitoringdiensten, vertelt Oldengarm. Ook voor kleinere mkb-bedrijven komen steeds meer van dit soort diensten op de markt. In het privédomein spelen internetproviders een belangrijke rol. “Ik zie steeds meer werkgevers die hun werknemers voor thuis gratis de virussoftware aanbieden die ook zakelijk wordt gebruikt. Dat is steeds meer nodig omdat mensen privéapparaten zakelijk gebruiken.”
Openheid
De cyberinbraak bij de gemeente Hof van Twente – waarbij hackers binnendrongen via het simpele wachtwoord Welkom2020 – benadrukt het belang van veilige wachtwoorden, maar vooral ook van oplossingen waardoor je minder wachtwoorden nodig hebt, meent Oldengarm. “We moeten aan de preventieve kant blijven investeren. Gelukkig zie je steeds meer dingen als tweefactor-authenticatie.” Ze benadrukt het toenemende belang van informatiedeling, zoals bij de cyberaanval op de Universiteit van Maastricht. “Het is nog steeds zo dat organisaties en bedrijven die slachtoffer worden van een cyberincident aan de schandpaal gaan.” Een recent voorbeeld is het datalek bij de GGD. “Het is terecht dat je je afvraagt of zo’n overheidsorganisatie voldoende maatregelen heeft getroffen. Die vraag moet je sowieso blijven stellen. Aan de andere kant is het zo dat je, als je met de vinger blijft wijzen, organisaties schuw maakt om naar buiten te treden na een cyberaanval of diefstal van gevoelige data. Ik denk dat we juist toe moeten naar een situatie waarbij het publiceren en bekendmaken van cyberincidenten juist wordt gezien als een kracht. En dat het stilhouden daarvan reputatieschade moet opleveren. Zover zijn we nog niet. De Universiteit Maastricht heeft daar het goede voorbeeld in gegeven. Tussen de universiteiten onderling is informatie gedeeld, waardoor ze zich nu gezamenlijk beter kunnen beschermen tegen wat in Maastricht is gebeurd.”
Oldengarm is blij met die openheid. “Het is belangrijk om informatie met elkaar te delen. Dat gebeurt gelukkig op steeds grotere schaal.” Ze vergelijkt het met de klassieke, fysieke inbraak. “Als ik weet dat bij mijn buurman de deur is opengebroken met een kerntrekmethode, dan laat ik daarna zo snel mogelijk een anti-kerntrekslot op mijn deur monteren. Zo werkt het in het cyberdomein ook. Als je weet hoe aanvallers te werk gaan, kan je je preventie-, detectie- en responsmaatregelen verbeteren en adequater optreden als er iets misgaat.”
AVG-wetgeving
De invoering van de AVG (Algemene Ordering Gegevensbescherming) heeft een zuiverende werking qua cybersecurity. “Je ziet dat kleinere organisaties de noodzaak voelen om maatregelen te treffen. Dat wil niet zeggen dat alles in een wet moet worden vastgelegd, waarbij je iemand bestraft die het niet goed doet. Ik weet niet of dat de beste methodiek is.” De wetgeving verplicht met name digitale providers en vitale organisaties om een minimumset aan beveiligingsmaatregelen te nemen. Het Digital Trust Center van de overheid is juist bedoeld om kleinere ondernemingen te helpen bij hun cyberveiligheid. “Er is al informatie voorhanden, ik denk alleen dat het nog niet zo goed gevonden wordt.” Cyberveilig Nederland heeft samen met andere brancheorganisaties een risicoclassificatie ontwikkeld waarmee kleinere ondernemingen met een elftal vragen heel snel kunnen inschatten hoeveel risico ze lopen en welke beveiligingsmaatregelen ze op grond van hun classificatie moeten nemen. “Dat is een concrete tool die bedrijven kunnen gebruiken.”
De aanvallen worden geavanceerder, waarschuwt Oldengarm. “Vroeger was het een schot hagel. Tegenwoordig zie je dat een digitale inbraak aan de gijzeling voorafgaat en ze op zoek gaan naar welke systemen ze moeten versleutelen. Als je pech hebt, is dat inclusief al je back-ups. Zeker bij kleinere bedrijven kan de impact groot zijn. Als je al je technische tekeningen daarin hebt staan, je klantgegevens en ga zo maar door, loop je het risico dat klanten naar een ander stappen. Plus ook de psychische impact van de aanval voor de ondernemer zelf. Het lijkt simpel, zo’n aanval, maar waaiert uit naar zoveel meer qua impact.
Het is zaak om er zo snel mogelijk achter te komen dat een aanvaller in je systeem zit, benadrukt Oldengarm. Ze verwijst naar een rapport van IBM, dat een datalek gemiddeld pas na 60 dagen wordt ontdekt. “Moet je nagaan. Dan ben je twee maanden verder.” Gemiddeld zitten hackers drie tot zes maanden in een systeem voordat de daadwerkelijke aanval plaatsvindt. “Dat betekent dat je als organisatie al maandenlang slachtoffer bent, zonder dat je het doorhebt.” Ze maakt een vergelijking met het fysieke domein: “Beveiliging is bedoeld om te voorkomen dat iemand binnenkomt. Je kunt een slot op je deur zetten, maar je kunt ook een beveiligingscamera of bewaking neerzetten om te controleren wie binnenloopt en of er misschien iemand binnenloopt die daar niet hoort. Dat geldt ook voor het digitale domein: als een hacker toch is binnengedrongen, is het belangrijk dat je zo snel mogelijk doorhebt, dat iemand in het systeem zit. Dat betekent dat je de detectie op orde moet brengen.”
