Met de komst van de Cyberbeveiligingswet (CBW)zijn duizenden organisaties wettelijk verplicht om hun cyberweerbaarheid op orde te hebben. ’Compliance op papier is echter iets anders dan weerbaarheid in de praktijk,’ waarschuwt Invictus Incident Response-CEO Korstiaan Stam.
‘Een NIS2-readiness assessment vóóraf is veel goedkoper dan een crisis achteraf’
Onder de CBW – de vertaling van de NIS2- richtlijn in Nederlandse wetgeving – zijn bestuurders persoonlijk aansprakelijk. Voor significante incidenten moet binnen 24 uur een eerste melding worden gedaan, en boetes kunnen oplopen tot 10 miljoen euro of 2% van de wereldwijde omzet. De boodschap van Stam aan bestuurders is kort en helder: ’Weerbaarheid is een bestuursverantwoordelijkheid en die test je niet pas tijdens een ransomware-aanval om 03:00 uur ’s nachts in het weekend.’
NIS2-readiness assessment
Invictus Incident Response ziet als gespecialiseerd Digital Forensics & Incident Response-team in de praktijk hoe vaak organisaties denken de beveiliging op orde te hebben, waarna het toch misgaat. ’Pas wanneer een aanvaller daadwerkelijk binnen is, blijkt of detectie werkt, of de meldketen draait, en of het bestuur weet wat het moet beslissen in de eerste 24 uur,’ aldus Stam. Hij geeft een voorbeeld uit de praktijk, een industrieel bedrijf waar de productielijn 18 uur stillag na een ransomware-aanval. ’De back-ups bleken al weken niet meer te werken. Niet uit onwil. Niemand had er sinds de implementatie nog naar gekeken, pas tijdens het herstel kwam dat aan het licht.’ De aandacht gaat nog te veel naar het hangen-sluitwerk, in plaats van een assessment van wat er voor cybercriminelen te halen is, ziet Stam. ’Dat is vaak veel en ook heel makkelijk te krijgen.’ Bestuurders en organisaties moeten daarom hun focus verbreden. En beginnen met de vraag: wat kunnen de inbrekers meenemen? En hoe kun je snel en adequaat reageren bij een incident? ’Compliance is niet hetzelfde als weerbaarheid,’ waarschuwt hij. ’In veel organisaties zijn veel regels rondom multi-factor authenticatie, wat super belangrijk is. Alleen zijn er nog genoeg andere manieren voor om binnen te komen. Denk aan applicaties en agents en phishing.’ Het risico kan van onverwachte kanten komen. ’Managed Service Providers worden fanatiek getarged door aanvallers. Als het hen lukt om binnen te komen, hebben ze in één keer toegang tot 20, 30, 40 klanten. Een NIS2-readiness assessment vóóraf is veel goedkoper dan een crisis achteraf. Gelukkig zien we steeds meer organisaties dat besef krijgen. Want tijdens een incident is het te laat om dat alsnog te regelen.’ Stam geeft een praktisch voorbeeld. ’Stel dat ik toegang heb tot jouw Microsoft-account waarmee je ook in Teams zit, et cetera. Daarmee kan ik in één keer met een heel simpel scriptje al jouw files van SharePoint halen en al jouw e-mails uit Exchange halen. Of misschien zelfs naar systemen die jij in je Azure- of AWS-omgeving hebt draaien.’ Het brengt hem bij het volgende dilemma: ’Als je niet de juiste (audit)logging hebt aanstaan tijdens een incident, kun je allerlei belangrijke vragen niet beantwoorden. Zoals, welke en hoeveel gegevens zijn gestolen? Als je erop let, hoor je dat terug in veel van de meldingen van bedrijven die zijn gehackt. Als ze zeggen: we hebben geen indicatie dat er bestanden zijn ontvreemd of dat er geen klantdata is gestolen, klopt dat. Omdat ze het niet kunnen onderzoeken.
En dat is één onderdeeltje van het readinessvraagstuk.’ Stam onderscheidt drie assen: mensen, processen en technische maatregelen. ’Soms gaat om simpele vragen als: pakt jouw leverancier de telefoon op als er zaterdagmiddag een incident is? Je hebt geen invloed op een cyberattack. Maar je hebt wel invloed op de voorbereiding. En er is geen beter moment om daarmee te beginnen dan vandaag. Want als je niet weet waar de aanvaller is geweest, wordt het een stuk moeilijker om de schade te adresseren en te herstellen.
