Volop interactie bij goed bezocht Claranet Cyber Security Event over NIS2

De twaalfde verdieping van het nieuwe Valk Exclusief-hotel in Best, bij Eindhoven, bleek een prima locatie voor het vijfde cybersecurity-event van Claranet Benelux. Het leverde een prachtig uitzicht over de omgeving op. De Benelux-tak van Claranet is gevestigd in Eindhoven en werkt veel samen in de Brainport-regio, zo vertelde commercieel directeur Bart Jacobs.

Henk Liebeek, productmanager bij Claranet en presentator van het event, zei tijdens zijn inleiding dat het thema NIS2 voor de hand lag. Bart Jacobs zei even daarvoor ook dat het een heel belangrijk onderwerp is. “Er is nog een jaar te gaan, dus bedrijven moeten in actie komen. We geven ze vandaag uitleg over waar ze allemaal rekening mee moeten houden.”

Geen afvinklijstje

Dat ‘uitleg geven’ gebeurde heel nadrukkelijk tijdens de eerste presentatie van Petra Oldengarm van Cyberveilig Nederland. Ze legde eerst uit wat de verschillen zijn tussen de bestaande NIS-richtlijn, die in Nederland is vertaald in de wet Wbni, en wat NIS2 voorschrijft. Allereerst zijn er tien keer zoveel bedrijven die onder NIS2 vallen. NIS2 geeft bedrijven daarnaast meer rechten, want de overheid moet nadrukkelijker steun bieden bij incidenten, maar er zijn ook veel meer plichten. Die zijn onder meer vertaald in tien maatregelen, die breed uiteenlopen. Ook wordt er in NIS2 gesproken over het instellen van ‘afschrikwekkende sancties’.

Oldengarm gaf aan dat ze in die maatregelen vooral het onderdeel detectie mist. “Een goede aanpak richt zich op het voorkomen van incidenten, het detecteren ervan, het reageren erop en de overkoepelende governance. Uit detectie en respons moet je lessen trekken. De detectie ontbreekt in de maatregelen.” Ze geeft bedrijven daarom als tip om NIS2 niet als een afvinklijstje te beschouwen. “Stel incidenten centraal in je aanpak. Probeer je organisatie gewoon zo goed mogelijk te beveiligen.”

Of de NIS2 ook echt in oktober 2024 is omgezet in nationale wetgeving, vraagt ze zich overigens sterk af, want stappen zoals de internetconsultatie vinden later plaats dan gepland en er moet nog veel gebeuren. Toch raadt ze bedrijven wel aan om te mikken op oktober 2024.

Na haar presentatie regende het vragen uit de zaal. Dat was zeker niet omdat haar verhaal onduidelijk was, maar omdat het onderwerp leeft en de bezoekers graag gebruik maakten van de expertise van Oldengarm. De vragen gingen onder meer over andere toekomstige richtlijnen zoals DORA en de Cyber Resilience Act, over de overlap met de AVG, over eventueel verplicht auditen en over kleinere bedrijven die niet onder NIS2 vallen, terwijl ze voor cybercriminelen een steeds interessanter doelwit worden.

Databeveiliging

De tweede presentatie kwam van Ellen van Meurs, Data Security Specialist van Microsoft, en ging volledig over het thema databeveiliging. Ook haar verhaal sprak bij de zaal tot de verbeelding. Ze sprak over de zwakke plekken die ontstaan door Bring Your Own Device, over het spanningsveld bij organisaties tussen productiviteit en beveiliging en over de extreme toename van het aantal wachtwoordaanvallen. Ze gaf bedrijven vooral als tip mee om niet naar perfectie te streven, maar om gewoon te beginnen met het zetten van de eerste stappen.

Die eerste stap is volgens haar het kennen van je data. Daarna zet je de bescherming neer. Vervolgens zoek je naar mogelijkheden om dataverlies te beperken. Daaronder valt ook het opleggen van beperkingen voor medewerkers en het onder controle krijgen van de shadow IT. Het beheren van de data is een belangrijke laatste stap. Het verwijderen van overbodige of verouderde data is daarbij iets dat vaak over het hoofd wordt gezien, zo zei Van Meurs. Na een vraag uit de zaal benadrukte ze dat data die voor een organisatie niet meer belangrijk is, voor cybercriminelen toch heel interessant kan zijn.

“De mentaliteit moet veranderen”, zei ze tot slot. “We moeten anders omgaan met het verwerken van data en de verantwoordelijkheid niet altijd bij anderen leggen.” Dat datasecurity bij organisaties vaak verdeeld is over heel veel verschillende functies, is daarbij een grote uitdaging, zei ze ook.

Onderhandeling

Na de pauze volgde een presentatie die de bezoekers zeker zal bijblijven. Tim Geschwindt, een Zuid-Afrikaanse specialist van het bedrijf S-RM, onderhandelt regelmatig namens bedrijven met grote groeperingen achter ransomware-aanvallen. Hij vertelde over de onderhandelingen die hij voerde met het Russische Clop dat na een aanval een bedrag van 12 miljoen dollar eiste. Nadat de getroffen organisatie besloot te willen betalen, gingen de onderhandelingen van start en werd er uiteindelijk een bedrag van ongeveer 6 miljoen dollar afgesproken. In dat hele traject, waar altijd ook verzekeraars en crypto-brokers bij betrokken zijn, gebeurde nog van alles, met onder andere een nieuwe afpersing door Clop. Maar uiteindelijk kreeg het slachtoffer voor het afgesproken bedrag de gegevens terug.

Geschwindt legde vervolgens de argumenten uit om wel of niet te betalen. Die zijn uiteraard in elke situatie anders. “Het is gewoon een businesscase die je maakt.” De sessie werd daarna interactief doordat hij de zaal meenam in een fictieve aanval van een andere groepering: LockBit. Met behulp van een online quiz legde hij iedereen op verschillende momenten van de onderhandeling de vraag voor wat ze vervolgens zouden doen. Betrek je de politie er al meteen bij? Hoe snel reageer je op de vragen? Welke argumenten gebruik je om minder te betalen? Hoe kun je er zeker van zijn dat je inderdaad terugkrijgt wat je mist? Hij zei onder andere dat de criminelen hun afspraken na een betaling meestal nakomen, omdat merkreputatie voor hen misschien wel nóg belangrijker is dan voor reguliere organisaties.

Ook deze presentatie leverde, niet verrassend, volop vragen en reacties uit de zaal op. Geschwindt gaf onder andere aan dat hij vooral voldoening haalt uit de cases waarbij betalen uiteindelijk niet nodig is. Dat komt steeds vaker voor, zo zei hij ook, onder meer omdat bedrijven hun backup beter op orde hebben.

Discussie

Daarna volgde nog een korte paneldiscussie met de sprekers Petra Oldengarm en Ellen van Meurs en met Gideon Teerenstra van S-RM en Bart Jacobs van Claranet. Ook veel mensen in de zaal mengden zich in het gesprek. Het ging onder meer over de vraag of NIS2 oude wijn in nieuwe zakken is. Daarop kwamen vooral genuanceerde antwoorden. Ook werd er gespeculeerd over de vraag of wachtwoorden in de toekomst gaan verdwijnen. Dat zou een goede ontwikkeling zijn, vonden de meeste deelnemers en mensen uit de zaal, maar op korte termijn gaat dat niet gebeuren.

Met die discussie werd een erg boeiend evenement afgesloten. Er komt een vervolg, liet Henk Liebeek in zijn slotwoord weten. In april organiseert Claranet een nieuw event, weer over NIS2. De titel laat zich reden: ‘NIS2: nog een half jaar te gaan!’

Bekijk ook ons videoverslag van dit event!