Goede cybersecurity vergt het zien van je eigen blinde vlekken
Ondernemers begrijpen steeds beter dat cybersecurity en weerbaarheid veel meer is dan een technische aangelegenheid: het is iets dat iedereen op alle lagen in een organisatie aan gaat. Zeker nu (gen) AI het cybercriminelen eenvoudiger maakt om aanvallen uit te voeren. Alleen als iedereen de eigen rol kent in het veilig houden van de organisatie – of in het herstellen van een incident – zit je goed. Regulering zoals NIS2 draagt bij aan het voelen van meer verantwoordelijkheid, ook op bestuurlijk niveau. Inzicht in je data – waar staat het, wat is de impact bij diefstal of op straat terecht komen ervan – is noodzakelijk. Security-aanbieders kunnen niet alleen op technisch niveau helpen, maar ook op organisatorisch niveau, bij het inschatten van risico’s. Zo kun je je richten op je core business, stelt MMOX-CTO Steven Ottenhoff.
Vrijwel elke security-aanbieder, wij niet uitgezonderd, heeft de afgelopen jaren de aandacht uitgebreid van preventie naar weerbaarheid. Voorkomen van een malware-aanval blijft belangrijk. Daar zetten wij een reeks instrumenten voor in. Maar de realiteit leert ons dat een hack niet altijd te voorkomen is. Soms heeft een hacker zich al weken of maanden in je netwerk genesteld, om pas in actie te komen wanneer dit nodig is.
Wij vinden dat security uit het technische domein gehaald moet worden. Security, veilig zijn, is niet een IT-probleem, het is een organisatieprobleem. Die aanvliegroute is de afgelopen jaren logischer geworden voor veel ondernemingen. Voorheen dacht men dat vooral aanvallen werden uitgevoerd waar veel geld te halen viel, zoals banken. Nu dringt het besef door dat iedereen slachtoffer kan worden. Aanvallen is makkelijker en goedkoper dan ooit. Iemand zonder enige kennis koopt dit ‘as a service’. Iedereen kan dus dat donkere digitale steegje inlopen.
Wat helpt, is dat de nieuwe wet NIS2-richtlijn – in Nederland nog toe te passen als Cyberbeveiligingswet - aansprakelijkheid neerlegt bij het management. Natuurlijk, security is niet je core business als ondernemer. Daarvoor moet je kunnen leunen op een security-aanbieder. Maar een organisatie heeft ook zijn eigen verantwoordelijkheden om systemen en data veilig te houden. Als bestuurder ben je straks aansprakelijk als je niet zorgvuldig omgaat met zaken als een meld- of zorgplicht.
Wat kost een hack jou écht?
Ook risicomanagement is belangrijk in een holistische aanpak van security en weerbaarheid. Omdat security geen IT-dingetje is en ook niet even geregeld is, gaan wij graag lange-termijnrelaties met organisaties aan. We doen veel aan bewustwording, proberen zoveel mogelijk mensen uit alle lagen van een organisatie te betrekken bij de vraag: wat zijn je risico’s, wat zijn je bedreigingen, hoeveel pijn gaat het doen? Ook dat kweekt begrip dat security, weerbaarheid iets is dat de hele organisatie betreft.
Je merkt dan soms dat de IT-manager bepaalde ideeën heeft over wat de business belangrijk vindt, terwijl blijkt dat de business andere systemen als cruciaal beschouwt. Of IT veronderstelt dat iedereen de richtlijnen kent en volgt, maar de praktijk toch anders is. Je moet elkaars verwachtingen en blinde vlekken snappen - en die van jezelf – om tot een open dialoog te komen: een die hele organisatie meer bewust maakt van de dreiging van cybersecurity, maar ook van risicobeheer. Wat is vitaal, wat is minder vitaal? Zo kom je, samen met je security-aanbieder, geleidelijk tot een concreet plan: hier sta je als organisatie, daar zitten de grootste gevaren en afhankelijkheden, dit is je volwassenheid van je security en zo gaan we dat verbeteren.
Soms worden organisaties apathisch omdat ze zien dat er veel moet gebeuren, bijvoorbeeld als ze naar het NIST Cyber Security Framework kijken – een internationaal raamwerk op security-gebied. Maar iedere stap is een verbetering. Neem dus kleine stappen richting een hoger volwassenheidsniveau, je hoeft geen zevenmijlslaarzen aan te doen.
Belang van data en AI
Dan data: die zijn cruciaal nu de wereld sneller en verder digitaliseert. Er komt steeds meer data bij, mede door AI-toepassingen gegenereerd. Data kun je zien als het bloed in je lichaam. Het verbindt alles, het voedt alles: weefsel (netwerkperimeter), organen (systemen). Zonder data kun je bijna niets meer. Maar net als bloed, kan data besmet worden met een virus, net als bloed kun je data verliezen. Data moet je dus beschermen, maar ook gebruiken om die bescherming te verbeteren.
Data komt op verschillende manieren binnen. Ins ons geval via onze Cyber Sensoren, onze intel-partners, OSINT-analyses en overheidsinstanties als het NCSC. Ook krijgen we veel data van onze klanten, die we gebruiken om hun core business te begrijpen en te beschermen. Die data beschouwen we altijd als confidentieel, ook als het om bijvoorbeeld e-mails gaat. Risicomanagement is onze kerntaak, en met de data van klanten nemen we geen enkel risico.
Praktijkvoorbeeld
Laat ik een voorbeeld uit mijn praktijk geven over de inzet van data om organisaties beter te beveiligen. Wij zetten statische en dynamische data in om inzicht te krijgen in de dreigingen voor een bepaalde organisatie in een bepaalde sector. Statische data zijn onder meer: in welke sector is een bedrijf actief? Welke incidenten hebben er in die sector plaatsgevonden, op welk soort systemen. Zijn deze systemen kenmerkend voor de branche, dan is de kans groot dat een organisatie waar wij voor werken die ook gebruikt. In de Nederlandse transportsector zie je bijvoorbeeld dat bij TMS-systemen als FleetGO en bij softwarebedrijven veel kernprocessen in publieke cloud-omgevingen als AWS en Google Cloud draaien.
Dan dynamische data. Dat is onder meer onze kennis over nieuwe dreigingen, (zero day) kwetsbaarheden en actuele (geopolitieke) events. Die matchen we dan met de meer statische data om zo verbanden te kunnen maken en concrete risico’s in kaart te kunnen brengen voor die specifieke klant. Onze cyberriskspecialisten gaan op basis van onze bevindingen in gesprek met organisaties om te bepalen in welke systemen welk soort data zit, wat de waarde ervan is, wat de impact is als die data op straat komt te liggen. We gebruiken de statische en dynamische data om de klant te helpen welke preventieve maatregelen genomen kunnen worden en hoe je voorbereid kan zijn als er toch een incident plaatsvindt.
Zonder grip op data, geen grip op toekomst
De komende jaren wordt het steeds belangrijker om enerzijds data steeds beter kunnen structureren, labelen en categoriseren. Zo krijg je als organisatie meer grip op die data. Anderzijds is het nodig dat je security-aanbieder bij blijft met zijn kennis, nieuwe bronnen aanboort, bijvoorbeeld ongestructureerde data, om zo het blikveld te verbreden en beter verbanden te leggen.
AI is hierbij essentieel. Met AI kun je op nieuwe manieren snel complexe verbanden leggen, dus dat biedt nieuwe mogelijkheden. Zo kun je er risicomodellen mee maken die risico’s zichtbaar maken die menselijke analisten misschien missen. Mens en AI vullen elkaar zo aan. Verder kun je met AI meer automatiseren, zodat bijvoorbeeld data over een gevonden kwetsbaarheid sneller gekoppeld wordt aan data over sectoren, systemen en specifieke organisaties.
Conclusie
Steeds meer ondernemers beseffen dat security en weerbaarheid geen technisch probleem is, maar de hele organisatie aangaat. Het is een gezamenlijke verantwoordelijkheid, wat regulering zoals NIS2 benadrukt. Nu organisaties over steeds meer data beschikken, is het belangrijk om die enerzijds te beschermen, anderzijds juist in te zetten om die bescherming te verbeteren. AI gaat hier een fundamentele rol in spelen. Je mag van je security-aanbieder verwachten dat hij meer doet dan alleen technische ondersteuning: je moet samen de stappen naar een hogere security-volwassenheid en weerbaarheid zetten.
Steven Ottenhoff is CTO van MMOX.
Meer over Security
Over Martijn Kregting
