Wat is het Cyber Security Beleid?
Wij vroegen jullie afgelopen week in onze LinkedIn post hoe Cyber Security volgens jullie geregeld moest worden. Dit was naar aanleiding van het nieuws over een recente data lek bij Microsoft. Een data lek kan natuurlijk enorme gevolgen hebben, voor zowel bedrijven als personen. We gaven jullie hierin de volgende opties:
Bij Bart Vink en Partners denken wij dat het goed is dat iedereen in deze kwestie zijn verantwoordelijkheid omtrent Cyber Security neemt. Organisaties, overheden, maar ook private personen moeten de kennis in huis hebben om zichzelf te kunnen weren tegen Cyberaanvallen. In dit artikel willen wij hier dieper op in gaan, over hoe dat nu in zijn werk gaat en wat eventueel plannen zijn voor in de toekomst.
Europees beleid van Cyber Security
De Europese Unie werkt op meerdere fronten aan Cyber Security. Zo heeft de Europese Commissie in 2013 een Europese Strategie voor Cybersecurity ontwikkeld en in 2015 de Europese Veiligheidsagenda vastgesteld voor de periode 2015-2020. De EU focust zich op de volgende punten:
- Vergroten van cyberveerkracht;
- Bestrijden van cybercriminaliteit;
- Intensiveren van cyberdiplomatie;
- Versterken van cyberdefensie;
- Stimuleren van onderzoek en innovatie;
- Beschermen van cruciale infrastructuur.
De EU is continue bezig met het werken naar een veilig digitaal Europa. Zo willen ze de cyberveerkracht bevorderen door de gemaakte EU-cyberbeveiligingsstrategie. Dit houdt in dat je zowel weerbaarder bent tegen cyberaanvallen, alsmede je snel herstelt na een cyberaanval. Met de cyberbeveiligingsvordering zorgt de EU er verder voor dat er één certificeringskader geldt voor de hele EU, die hoge cyberbeveiligingsnormen garanderen voor ICT-producten, -diensten en -processen. In 2016 werd de richtlijn netwerk- en informatiesystemen (NIS-richtlijn) aangenomen, die in december 2020 herzien werd en NIS2 wordt genoemd. De NIS bevat beveiligingsverplichtingen en de stimulans om de informatie-uitwisseling en samenwerking uit te breiden.
Er zijn nog veel meer maatregelen die door de EU genomen worden om Europa een op digitaal gebied veiliger te maken. Zo heeft de EU in mei 2020 €49 miljoen toegezegd voor de bevordering van innovatie op het gebied van Cyber Security en privacy systemen. Wil je het volledige overzicht van de Europese aanpak van digitale dreigingen? Dan verwijzen we je graag door naar dit artikel van de Europese Raad.
Overheid over Cyber Security
De rijksoverheid wil dat mensen en organisaties veilig online zijn. Zo heeft de overheid Het Nationaal Cyber Security Centrum (NCSC) opgezet. Het NCSC geeft een waarschuwing en beveiligingsadvies af bij dreigingen of kwetsbaarheden. Daarnaast adviseert de organisatie ook de Rijksoverheid en andere vitale organisaties hoe zij zich kunnen beschermen tegen Cyberaanvallen. Zo zijn er vandaag al kwetsbaarheden verholpen in Google Chrome, Node.js en Python. Wil je daarvan de details? Die zijn te vinden op de website.
Verder kennen we ook de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV), zij vallen onder het Ministerie van Justitie en Veiligheid. Waar de NCSC de uitvoeringsorganisatie is, is de NCTV verantwoordelijk voor de coördinatie m.b.t. de nationale veiligheid. Hier valt dus ook Cybersecurity onder.
Om ernstige dreigingen in de toekomst af te weren bestaat de Nederlandse Cybersecurity Agenda (NCSA) die in 2018 is opgezet. Hierin staat uitgebreid beschreven hoe de NCTV een veilig digitaal Nederland wil creëren.
Om bij te houden wat er gebeurt en hoe het er voor staat is het Cybersecuritybeeld Nederland (CSBN) in het leven groepen. Zij bieden inzicht in dreigingen, belangen en weerbaarheid op het gebied van Cyber Security. Het verschil tussen het CSBN en het NSCS is dat waar NSCS je waarschuwt en advies geeft, het CSBN inzicht geeft over hoe vaak risico’s en cyberaanvallen voor zijn gekomen; hoe vaak dit goed is afgeweerd en hoe vaak het ook fout is gegaan.
Daarnaast vindt de overheid het belangrijk dat ondernemers veilig zaken kunnen doen. De overheid helpt daarin door het meehelpen opzetten van het Digital Trust Center (DTC). Hier werken ondernemers samen aan de digitale veiligheid. Ondernemers worden ook door het DTC geïnformeerd over dreigingen en maatregelen die genomen kunnen worden om veiliger te kunnen ondernemen in een snel veranderende, digitale wereld.
Microsoft
Op de website van Microsoft is er veel te vinden over Cyber Security. Wat je wellicht als eerste zal opvallen is dat Microsoft pronkt met zijn intelligente beveiliging en ingebouwde automatisering.
Wat Microsoft in haar policy verteld is dat ze overheden over de hele wereld ondersteunt in het risicomanagement en dat iedere natie een strategie moet uitstippelen om hun investeringen en verwachten kenbaar te maken in Cyber Security. Ze gebruiken hiervoor expliciet de woorden ‘support’ en ‘to frame its investments en desired outcomes’, wat erop wijst dat ze de richtlijnen van deze overheden volgen zolang ze uitgestippeld zijn.
Om dus bekend te zijn met Microsofts’ beveiligingspolicy moet je ten eerste weten wat de beveiligingspolicy van jouw regio -in dit geval Nederland- is. Nu heeft Microsoft wel zijn basis in Cyber Security, wat we ook eerder kenbaar maakte over de intelligente beveiliging. Zo heeft Microsoft ook beveiligingsproducten voor bedrijven in verschillende vormen en maten.
Al met al is Microsoft een organisatie die zichzelf weet af te schermen voor cyberdreigingen. Hackers groeien echter met iedere innovatie mee en daardoor zijn cyberattacks een blijvend element van de toekomst. Dat is ook de reden dat Microsoft je aanraadt zelf ook stappen te ondernemen om jouw online omgeving nóg veiliger te maken.
Cyber Security binnen jouw organisatie
Wat we al te weten zijn gekomen is hoe de Cyber Security zowel op nationaal als internationaal niveau geregeld wordt. Verder zagen we ook hoe Microsoft werkt aan een veilige digitale toekomst, alsmede de inhoud van hun policy m.b.t. Cyber Security. Voor ondernemers is er dus het Digital Trust Center opgericht waar je kan nagaan welke beveiligingsmaatregelen passen bij het risicoprofiel van jouw onderneming. Zo hebben ze ook 5 basisprincipes opgesteld, namelijk:
- Inventariseer kwetsbaarheden;
- Kies veilige instellingen;
- Voer updates uit;
- Beperk toegang;
- Voorkom virussen en andere malware.
Waar ligt nu precies de verantwoordelijkheid van jouw organisatie? En wat zijn de veelvoorkomende gebreken bij de meeste organisaties? Daar willen we nog even met je op inzoomen.
Waar ligt de verantwoordelijkheid?
Zo goed als ieder bedrijf werkt met internet en/of andere (lokale) systemen. Wist je dat cybercrime maar deels is meeverzekerd in de aansprakelijkheidsverzekering? Sterker nog, er kunnen meerdere aansprakelijkheidsverzekeringen nodig zijn om je onderneming te beschermen tegen aansprakelijkheid op dit gebied. Er is dus nog geen losstaande verzekering tegen cybercrime. Dit betekent dat je aansprakelijk bent voor gegevens die gelekt worden, of schade die anderen oplopen door de ‘slechte’ beveiliging.
Je medewerkers zijn, zolang dit niet de hackers zijn, niet aansprakelijk bij een cybercrime. Andersom is de kans juist groot dat personeelsgegevens van henzelf gelekt zijn, waardoor ze de ondernemer aansprakelijk kunnen stellen.
Het is dus belangrijk om duidelijk te krijgen waar de zwakke punten in de onderneming liggen op het gebied van Cyber Security en hoe je deze gaten eventueel kan dichten. Zowel met beveiliging als eventuele verzekeringen.
Wat gebeurt er binnen veel bedrijven?
We zien dat bedrijven op het gebied van Cyber Security nog veel kunnen winnen. We hebben een aantal veelvoorkomende gebreken op een rijtje gezet:
- Niet weten waar kritieke data zich bevindt;
Hierdoor weet men ook niet welke data ze veilig moeten stellen en hoe ze dat dus het beste kunnen doen. Sterker nog, soms is een onderneming beveiligd maar niet op de juiste manier zodat het de kritieke data juist niet beschermt.
- Te veel vertrouwen in antivirussoftware;
Je antivirussoftware beveiligt vaak uitsluitend de rand van het netwerk. Helaas worden hackers steeds slimmer en zelfs phishing mailtjes steeds moeilijker te onderscheiden. We zien ook dat er vaak toestemming wordt gegeven voor downloads die niet voldoende gecontroleerd zijn op de veiligheid. Daar beschermt niet alle antivirussoftware je tegen.
- Geen noodplan;
De meeste ondernemers gaan ervanuit dat zo’n Cyber aanval niet bij hun terecht komt, vooral omdat men dan denkt: “Hier valt niets te halen,”. Daar hebben ze het echter mis. Er valt heel veel te halen. Zoals personeelsgegevens en klantgegevens. Wees daarom alert op waar bepaalde gegevens staan en wat jouw noodplan is voor als het fout gaat.
- Staan jouw werknemers voldoende stil bij Cyber Security?
Men is niet snel bang voor cyberaanvallen. Wanneer ze in het nieuws komen gaat het meestal om grote namen. Hackers zijn echter overal actief. Daarom is het belangrijk om jouw personeel op de hoogte te brengen van dreigingen en hoe ze hier het beste mee kunnen omgaan.
Wat we onder medewerkers veel zien is het volgende:
- Het gebruik van korte wachtwoorden, of hetzelfde wachtwoord voor meerdere accounts;
- Het niet gebruiken van een twee-factor-authenticatie (2fa);
- Het gebruik van publieke WiFi zonder goede beveiliging zoals een VPN;
De kleinste veranderingen kunnen al een grote impact hebben op jullie Cyber Security. Wees je bewust van alle risico’s en kijk goed naar wat jij kan doen om jouw bedrijf een stuk veiliger te maken.
Tips om je Cyber Security beter te regelen
Natuurlijk willen wij je ook de nodige tips meegeven om zelf aan de slag te gaan met je informatie- en gegevensbeveiliging.
- Doe het samen; neem zowel binnen je bedrijf maatregelen als met je medewerkers;
- Inventariseer waar de risico’s zich bevinden en pak ze aan;
- Blijf up-to-date; van zowel het nieuws als updates voor systemen en servers;
- Haal de juiste kennis in huis; dit kan al d.m.v. nieuw personeel of een interimmer;
- Maak een noodplan voor als het fout gaat;
- Doe de investering.
Heb jij nog toevoegingen op onze tips? Laat het ons dan weten in de comments! En wil je meer weten over welke kennis nu nodig is om je als bedrijf te wapenen tegen cyberaanvallen en andere digitale dreigingen? Neem dan vrijblijvend contact op met één van onze consultants.
Wist je trouwens al dat wij voor één van onze opdrachtgevers op zoek zijn naar een Informatiebeveiliging & Privacy Manager in Amsterdam Zuidoost.