’Digitale weerbaarheid begint ermee dat je er bewust van bent dat in principe iedere organisatie een doelwit is,’ verklaart Anthonie Drenth, senior cybersecurity adviseur bij het Nationaal Cyber Security Centrum (NCSC).
‘Uiteindelijk vinden cybercriminelen altijd wel een manier om je zo te raken dat het pijn doet’
Je leest regelmatig over cyberincidenten in het nieuws. Zoals over de hack van het laboratorium dat het bevolkingsonderzoek uitvoert naar baarmoederhalskanker (Clinical Diagnostics), telecomprovider Odido en nog recenter onderwijssoftware Canvas. Het valt op dat hackers geïnteresseerd zijn in persoonsgegevens. ’Die incidenten springen in het oog door de grootte en de impact. Maar cybercriminelen gaan vooral heel opportunistisch te werk. Ze kijken eerst waar ze binnen kunnen komen. Als dat gelukt is, maken ze op basis van de informatie die ze tegenkomen een inschatting hoe belangrijk de gegevens voor de betreffende organisatie zijn,’ vertelt Drenth. Het officiële overheidsadvies is om geen losgeld te betalen in geval van ransomware. ’Je hebt geen garantie dat de betaling leidt tot teruggave van je gegevens, of dat je de gegevens ongewijzigd terugkrijgt. Daarnaast steun je de criminele activiteiten achter de ransomware en kun je op een later moment opnieuw door dezelfde ransomware getroffen worden.’
Raken waar het pijn doet
De ontwikkelingen met AI gaan snel en er worden al claims gemaakt dat AI nog sneller kwetsbaarheden kunnen vinden. Dit biedt overigens ook verdedigers de middelen om systemen veiliger te maken, maar het vergroot uiteindelijk ook de kans dat aanvallers nieuwe kwetsbaarheden vinden, verklaart hij. ’Dat kwaadwillenden zoeken naar kwetsbaarheden gebeurt allang, alleen groeit met AI de mogelijkheid om deze sneller te ontdekken.’ De beste verdediging ligt nog steeds in het investeren in basismaatregelen.
Hiermee bescherm je je bedrijf of organisatie met meerdere verdedigingslagen tegen een breed spectrum aan aanvallen. En ga ervan uit dat er een keer een incident plaats gaat vinden. ’Uiteindelijk vinden criminelen altijd wel een manier om je af te persen of je zo te raken dat het je pijn doet,’ waarschuwt Drenth. ’Als je weet dat het jou ook kan overkomen, helpt dat je om scherper te krijgen: wat heb ik te verliezen? Wat zijn mijn te beschermen belangen?’ Het NCSC heeft 5 basisprincipes opgesteld om bedrijven en organisaties te helpen met hun digitale weerbaarheid. ’Het is allereerst belangrijk dat je goed je risico’s in kaart brengt. Bepaal wat de belangrijkste gegevens, producten, diensten of bedrijfsgeheimen van jouw organisatie zijn. Als je daar een rangschikking in kunt maken, is dat je eerste uitgangspunt om te bepalen welke maatregelen je daar op moet nemen.’ Drenth: ’Je wil als bedrijf of organisatie ook kunnen blijven functioneren als je digitale middelen niet meer werken.’ Het tweede basisprincipe gaat over het bevorderen van veilig gedrag. Daarbij gaat het er niet alleen om dat mensen weten hoe ze phishing kunnen herkennen. ’Bij veel cyberincidenten speelt de mens namelijk een rol. En het is erg belangrijk dat je zorgt voor een cultuur waarin je niet elkaar de maat neemt als het misgaat, maar ervoor zorgt dat mensen snel handelen als ze denken dat er iets fout is gegaan.’ Houd rekening met menselijk falen en zorg ervoor dat het melden van incidenten wordt aangemoedigd. Daarnaast is het van belang om je systemen, apparaten en applicaties te beveiligen, na te gaan wie toegang heeft tot welke gegevens en ervoor te zorgen dat je voorbereid bent op incidenten. ’Als het dan misgaat, heb je al een plan klaar.
