Mijn Leeromgeving

Outvie zomeractie: Kies uit een Winkelcheque of een Bol.com cadeaubon t.w.v. €50,-* Bekijk de actie.

Cyberweerbaarheid begint bij de basis – en daar gaat het vaak al mis

Foto van Godfried Boshuizen, OT & IT Cyber security principal bij CC Security

Godfried Boshuizen, OT & IT Cyber security principal bij CC Security

Phishingmails die nauwelijks nog van echt te onderscheiden zijn, Russische schepen die onze vitale infrastructuur op zee in kaart brengen en ransomware die zich razendsnel verspreidt onder duizenden kleine bedrijven tegelijk. De dreiging in cyberspace is urgenter dan ooit. Toch laat de basisbeveiliging in veel organisaties nog altijd te wensen over. Volgens ervaren cybersecurityexpert Godfried Boshuizen – docent van de nieuwe opleiding Cyber Risk & Compliance Management – zijn het juist de eenvoudige maatregelen die organisaties keer op keer over het hoofd zien. “Cyberweerbaarheid begint bij de basis – en daar gaat het vaak al mis.

IT én OT: De vergeten helft van cyberbeveiliging

 

Boshuizen heeft bijna dertig jaar ervaring in IT en cybersecurity. Hij begon als network engineer en werkte zich op tot consultant en CISO bij diverse grote organisaties in de industriële sector. Momenteel is hij werkzaam bij netbeheerder Stedin, waar hij zich bezighoudt met het weerbaarder maken van het stroomnet.

 

“Veel mensen denken bij cyberaanvallen alleen aan IT – aan kantoorautomatisering, e-mail of bestandsservers. Maar operationele technologie (OT), waarmee fysieke processen worden aangestuurd, is minstens zo kwetsbaar. Denk aan fabrieken, bruggen, sluizen en zelfs het elektriciteitsnet. Dat wordt vaak vergeten.”

 

Dat de dreiging reëel is, bleek recent nog uit aanvallen door Rusland op Oekraïense infrastructuur. In eerste instantie werden er cyberaanvallen uitgevoerd op het stroomnet, maar toen dat niet meer werkte, volgden fysieke aanvallen met bommen. Zo’n hybride oorlogsvoering komt steeds dichterbij. Ook in Nederland worden we gewaarschuwd voor sabotageacties, zoals toen Russische schepen onderzeese kabelinfrastructuur in kaart brachten.

De grootste blinde vlekken: “Zelfs ik trap soms bijna in een phishingmail”

 
Ondanks al deze signalen gaat het in de praktijk vaak mis op de meest basale punten. Volgens Boshuizen zijn er vier grote blinde vlekken waar hij organisaties op betrapt:
 
  1. Basishygiëne: Systeemupdates en patches worden te vaak uitgesteld. Terwijl dit de meest effectieve manier is om cybercriminelen buiten de deur te houden.
  2. Zero-day: Dit verwijst naar gaten die nog niet ontdekt zijn, waardoor cybercriminelen makkelijk binnen kunnen komen. Software is de laatste jaren wel veiliger geworden, maar toch worden er nog dagelijks nieuwe kwetsbaarheden ontdekt. Een gelaagde infrastructuur kan hiertegen beschermen. 
  3. Menselijke factor: Awareness-trainingen zijn belangrijk, maar mensen blijven een zwakke schakel. “Door AI worden phishingmails steeds overtuigender – zelfs ik vind ze soms moeilijk te herkennen.”
  4. Onderschatting van de risico’s: Veel organisaties denken dat ze te klein of oninteressant zijn om slachtoffer te worden. Maar ransomware is geautomatiseerd. Voor aanvallers is het net zo lucratief om duizend kleine bedrijven aan te vallen als één grote.

 

Waarom essentiële beveiligingsmaatregelen tóch vaak worden overgeslagen

 
Er is geen gebrek aan kennis over wat werkt – eerder een gebrek aan implementatie.
Boshuizen noemt een paar essentiële beveiligingsmaatregelen die iedere organisatie zou moeten toepassen:
 
  • Updaten en patchen: Dat is de basis. Met goede updates kun je al 90-95% van de aanvallen afvangen.
  • Zero tolerance-beleid: Van een ‘alles mag tenzij’ naar ‘niets mag tenzij’-beleid. Dat vraagt om een flinke verbouwing van je IT-landschap, maar zorgt wel voor een weerbaar IT-landschap.
  • Assume breach: Ga er niet van uit dat je veilig bent, maar dat je al bent aangevallen. Beveilig je IT-landschap zodat een indringer niet zomaar overal bij kan.
  • Actief omgaan met beveiliging: Cybersecurity moet geen ‘project’ zijn, maar een continu proces. De dreiging staat nooit stil.

Wat je als cyber professional wilt weten

 

Als Boshuizen ergens als CISO begint, stelt hij steevast drie fundamentele vragen: Wie zit er op het netwerk? Wat wordt er gemonitord? En hoe zit het met de back-ups? “Daar wordt vaak om gelachen, maar deze drie vragen geven wél aan dat je in control bent.”

 

Het klinkt simpel, maar veel organisaties hebben geen goed overzicht van wie er op hun netwerk zit. Vergelijk het met een huis: daarvan wil je ook weten wie de sleutel van je voordeur heeft. En als er geprobeerd wordt om in te breken, gaat het slot vroeg of laat toch een keer open. Dan helpt het wel als je al vastgesteld hebt dat er een beschadiging op het slot zit. En veilig opgeborgen waardevolle spullen zijn vergelijkbaar met goede back-ups: je bent niet meteen alles kwijt. Het zijn simpele, maar krachtige uitgangspunten. En het laat zien dat cyberweerbaarheid niet per sé ingewikkeld hoeft te zijn – als je maar weet waar je moet beginnen.

 

De urgentie groeit – nú is het moment om te handelen

Methodes worden geavanceerder en geopolitieke spanningen brengen een nieuwe dynamiek in het speelveld van cybercrime en digitale sabotage. Het recente datalek bij Clinical Diagnostics laat zien dat het steeds meer common practice bij bendes is om data te stelen en organisaties vervolgens te chanteren. Ook daar had een simpele basismaatregel al het verschil kunnen maken: Zorg dat je privacygevoelige data zoals BSN-nummers niet als platte tekst, maar juist encrypted opslaat. Áls je het al moet opslaan.

 

Toch blijft de basisbeveiliging bij veel organisaties ondermaats. Boshuizen: “Gebrek aan budget, tijd of simpelweg aandacht. IT-beveiliging is technisch en vaak niet sexy. Toch moet het.” Met nieuwe wetgeving als NIS2 zijn bestuurders bovendien persoonlijk aansprakelijk als het misgaat. Bovendien zijn NIS2-toezichthouders enorm aan het opschalen.

 

Hoog tijd dus om de basis wél op orde te hebben. Boshuizen: “In de training Cyber Risk & Compliance Management krijg je les van doorgewinterde cyberexperts die op het juiste niveau met zaken bezig zijn. Het is een hele goede, maar wel toegankelijke training. Compliance is geen vinkjes zetten, maar investeren in basishygiëne.” Met deze training maakt je jouw organisatie – technisch én organisatorisch – klaar voor een digitale toekomst waarin de dreiging niet verdwijnt, maar juist groeit.

De driedaagse opleiding Cyber Risk & Compliance Management is speciaal ontwikkeld voor ICT-managers, Privacy officers/FG’s, Manager servicedesk, Compliance managers, IT adviseurs/ consultants, IT Auditors die zich bezighouden met cyber risk, cyberweerbaarheid en complice. Kijk voor meer informatie over het programma en tickets op de website.

Download de brochure

Share

Getagged
Outvie logo