Als organisatie moet je áltijd voorbereid zijn op een inbraak in je systemen. Dat het gaat gebeuren is een zekerheid, waarschuwt directeur Matthijs van Amelsfort van het Nationaal Cyber Security Centrum (NCSC).
‘Het is belangrijk dat je een bedrijfscontinuïteitsplan hebt’
Met de aanstaande Cyberbeveiligingswet, de implementatie van de NIS2-richtlijn, krijgen zo’n 8 à 10 duizend organisaties te maken met een registratie-, meld- en zorgplicht. De zorgplicht omvat onder andere een risicoanalyse om de maatregelen en vervolgstappen in kaart te brengen om (de risico’s op en gevolgen van) een cyberincident tot een minimum te beperken. De reikwijdte van de wet is groter, doordat de verplichting ook de leveranciersketen raakt. Waardoor je als mkb-onderneming tóch onder de scope van de wet kan vallen.
Laaghangend fruit
De Cyberbeveiligingswet moet de digitale weerbaarheid van Nederland versterken. Ook wanneer je, als mkb-ondernemer, niet direct of indirect onder de paraplu van de wet valt, heb je te maken met het risico van een cyberaanval. ‘Het is gewoon een kwestie van tijd. Het is niet de vraag of, maar wanneer je een keer slachtoffer wordt van een cyberaanval. Iedereen kan én gaat hiermee te maken krijgen,’ waarschuwt Van Amelsfort. Dat kan gaan van de exploitatie van je gestolen klantgegevens tot het op slot zetten van je systemen door een ransomware aanval. Hij ziet een toename van opportunistische cybercriminelen die gebruikmaken van ‘laaghangend fruit’, zoals systemen waar softwarepatches niet zijn geïnstalleerd en wachtwoorden die een keer zijn gelekt en toch nog worden gebruikt. Een nieuwe ontwikkeling is de snelheid waarmee een lek wordt misbruikt, vertelt hij. ‘Door de komst van AI kunnen hackers sneller een script ontwikkelen. Door de geopolitieke spanningen zie je ook dat statelijke actoren actief op zoek zijn naar die kwetsbaarheden.’
Basisprincipes van digitale veiligheid
Bij het vergroten van de weerbaarheid gaat het om twee facetten, doceert Van Amelsfort. ‘Je probeert te voorkomen dat je slachtoffer wordt. En het tweede facet is de vraag hoe weerbaar je bent als je slachtoffer bent van cybercriminelen. Wat is dan je bedrijfscontinuïteitsplan? Heb je daar al goed over nagedacht? Het is heel belangrijk dat je die vraag voor jezelf stelt. Welke afspraken heb je met jouw IT-leverancier? Snapt deze wat jouw te beschermen belangen zijn?’ Soms gaat het om kleine dingen.’ Bijvoorbeeld dat je bij de contactgegevens van de IT-leverancier kunt als het IT-systeem op slot staat. ‘Wat ga je doen? Daarover nadenken en een plan hebben en het voorbereid zijn en trainen en oefenen is echt de kern.’ NCSC onderscheidt vijf basisprincipes voor digitale weerbaarheid waarmee elke organisatie zijn weerbaarheid kan vergroten: 1. Breng de risico’s in kaart. 2. Bevorder veilig gedrag. 3. Bescherm je systemen, apparaten en applicaties. 4. Beheer de toegang. 5. Bereid je voor op incidenten. ‘Het gaat erom dat je nadenkt over wat jou kan gebeuren en wat je hebt te beschermen.’ Ook via derden, zoals cloud- of softwareproviders, kun je kwetsbaar zijn, benadrukt Van Amelsfort. ‘Je moet helder hebben welke risico’s je daarin wil nemen. Ik denk dat het bijvoorbeeld verstandig is om na te denken over een exitstrategie of de risico’s spreidt door niet alles bij één provider onder te brengen.’ De set van maatregelen is voor iedereen anders, maar ook als zzp’er moet je opletten en zorgen dat je je systemen en applicaties up-to-date houdt en patches vrijwel meteen installeert. En als je een apparaat hebt waarvan de besturing niet meer wordt ge-update, moet je niet te lang wachten om dat te vervangen. Want dat is een groot veiligheidsrisico.’
