KPN IS VERANTWOORDELIJK VOOR DE INHOUD VAN DIT ARTIKEL

Waarom beveiligen Nederlandse organisaties hun netwerk en data onvoldoende?

Bijna twee derde van de Nederlandse bedrijven is al eens slachtoffer geweest van cybercrime. Security-experts waarschuwen dat het niet de vraag is óf een organisatie wordt getroffen, maar wannéér. Toch gaan veel bedrijven er vanuit dat de kwetsbaarheid van de eigen organisatie voor cybercrime wel meevalt. Ten onrechte dus. Hoe zorgen we ervoor dat organisaties cybersecurity de aandacht geven die het verdient, zodat hun netwerk en data wel optimaal beschermd zijn?

KPN is verantwoordelijk voor de inhoud van dit artikel

Dit artikel is tot stand gekomen in samenwerking met de commerciële afdeling FD Mediagroep Effect. De redactie van Het Financieele Dagblad draagt voor de inhoud van deze pagina geen verantwoordelijkheid.

1. De uitdaging

Digitalisering maakt onze samenleving en economie kwetsbaar. Dat hebben we de afgelopen jaren kunnen zien door incidenten met Citrix-producten, de digitale storing waardoor het noodnummer 112 tijdelijk onbereikbaar was en ransomware-aanvallen zoals op de Universiteit Maastricht.

Vrijwel iedere organisatie is in grote mate afhankelijk van digitale processen en analoge alternatieven zijn vaak niet meer voorhanden. Uit verschillende onderzoeken blijkt dat het slecht gesteld is met de cybersecurity bij Nederlandse bedrijven. Het domein van digitale veiligheid is dan ook een complex geheel waarbij de ketting zo sterk is als de zwakste schakel. En die securityketting kan vrij lang zijn. Niet voor niets zeggen experts dat security bestaat uit technologie, processen en mensen.

Zakelijk Nederland beschermt zich onvoldoende tegen digitale dreigingen. Cybercriminelen zitten niet stil en zetten steeds geavanceerdere middelen in om binnen te komen bij organisaties. En wanneer ze toeslaan, kan dat grote gevolgen hebben voor een organisatie. Tijd dus om wakker te worden en je af te vragen:

Hoe geef ik cybersecurity de aandacht die mijn bedrijf of organisatie verdient?

2. De noodzaak

Vrijwel de helft van de Nederlandse IT-beslissers maakt zich zorgen over de cybersecurity van hun werkgever. Bijna twee derde van hen meent dat een cyberaanval op dit moment niet te voorkomen is. Als voornaamste zorgen worden het gebrek aan kennis binnen de organisatie, onzorgvuldigheid van medewerkers en onvoldoende focus op security genoemd. De grootste dreigingen vormen datalekken, DDoS-aanvallen en ransomware. Driekwart van de bedrijven met minimaal 250 medewerkers is al eens getroffen door een digitale aanval.

Trainen

Hoewel veel IT’ers zich wel zorgen maken over mogelijke gevolgen van cyberaanvallen en de schade die dat oplevert voor de organisatie, denken de meesten dat zij hun securityzaken binnen de eigen organisatie goed op orde hebben. Opvallend genoeg zijn er ook bedrijven die geen idee hebben of hun bedrijf al eens getroffen is door een digitale aanval. Door het niet of onvoldoende testen van de beveiliging maken bedrijven zich kwetsbaar voor activiteiten van cybercriminelen. Niet alleen technologische maatregelen moeten worden getest, maar ook is het trainen van werknemers onontbeerlijk. Cybersecurity is namelijk een continu proces en dus verdient het ook van werknemers continu de aandacht.

Kwetsbare schakels

Uit het Cybersecuritybeeld Nederland 2020 van de Nationaal Coördinator Terrorismebestrijding en Veiligheid blijkt dat de voortschrijdende digitalisering de noodzaak voor digitale weerbaarheid vergroot. De modi operandi en ingezette middelen door cybercriminelen zijn grotendeels gelijk gebleven, bleek uit het rapport. Maar opvallend zijn de inzet van ransomware door criminele afpersers en het feit dat cybercriminelen actief zoeken naar kwetsbare schakels in de keten als opstap naar interessante doelwitten.

De cijfers laten zien dat Nederlandse organisaties hun kop niet langer in het zand kunnen steken maar dat cybersecurity pure noodzaak is voor het voortbestaan en succes van een bedrijf.

Cybercrime slachtoffers


Cybersecurity

Kosten van een cyberaanval

Bronnen:

· Cybersecurity Onderzoek 2019 Centraal Beheer
· Nationaal Cybersecurity Bewustzijnsonderzoek 2019
· Het Global State of the Channel Ransomware-rapport 2019 van Datto
· Hiscox Cyber Readiness Report 2020
· Onderzoek Panelwizard, in opdracht van InSpark

KPN Digital Heroes: de podcastserie

In de podcastserie KPN Digital Heroes gaat John van Schagen in gesprek met de digitale koplopers van zakelijk Nederland. In aflevering 10: Oscar Koeroo, security-specialist van KPN, en Wesley Noorhoof van Imbema. Bij dat bedrijf hebben ze de seciruty zo goed voor elkaar dat Noorhof moeite heeft om zogenaamde spam-mailtjes te versturen die het bewustzijn van medewerkers moet vergroten.

3. De oplossing

Dat Nederlandse bedrijven en organisaties zich onvoldoende weten te beschermen tegen cyberaanvallen is duidelijk. Maar hoe komt dat dan? En vooral: wat kunnen ze verbeteren? Drie 'digital heroes' op het gebied van cybersecurity vertellen waar het vaak misgaat en hoe je je daar tegen kunt wapenen. 'Goede cybersecurity vergt vaak een complete omvorming van bestaande systemen.'

Oscar Koeroo

Themaleider Overheid en Externe Relaties voor de CISO bij KPN

Medeverantwoordelijk voor businesscontinuïteit en security voor heel KPN

Deelt zijn kennis met overheid en andere partijen om te zorgen voor een veilig Nederland

Gina Doekhie

Cybercrime Specialist bij Politie Nederland

Houdt zich bezig met digitaal forensisch onderzoek

Ingeschreven in het Nederlands Register Gerechtelijke Deskundigen voor het strafrecht

Allard Kernkamp

Programmamanager Cybersecurity bij TNO

Coördineert diverse cybersecurity onderzoeksprojecten met publieke en private partners

Combineert in zijn onderzoeksprogramma diverse facetten van cybersecurity

Oscar Koeroo

‘Een aanvaller heeft maar één gat nodig’

‘Het verbaast me dat security nog steeds zo onderschat wordt door Nederlandse organisaties en instellingen. Het nieuwe normaal is dat cyberdreigingen er zijn en dat je er vroeg of laat mee te maken krijgt. Ik vergelijk het met slechte sloten op de huisdeur. Het duurt misschien even voordat een inbreker door heeft dat jij je huis zo slecht hebt beveiligd, maar dan kun je er zeker van zijn dat hij daar zijn voordeel mee doet en langs blijft komen totdat jij zorgt voor betere sloten.’

Bescherm je kroonjuwelen

‘Door je te verplaatsen in de aanvaller, kun je hopelijk al wat paden afsnijden. De balans tussen aanvallers en verdedigers is natuurlijk per definitie ongelijk. Een aanvaller heeft maar één gat nodig, terwijl jij moet zorgen dat je alle mogelijke kwetsbaarheden verdedigt. Maar door met een aantal mensen binnen je bedrijf te brainstormen over hoe een cyberaanval op jouw bedrijf eruit zou kunnen zien, kun je beter bepalen wat jouw kroonjuwelen zijn en hoe je die moet beschermen. Veel ondernemers zijn vooral bezig met ondernemen en in een crisis vaak ook met overleven. Maar wanneer je de tijd neemt om na te denken over dit soort scenario’s, kun je vervolgens terug redeneren en de beveiliging van je bedrijf in behapbare stukken hakken. Maak het simpel voor jezelf, anders raak je overweldigd en doe je wellicht niets aan je beveiliging en dat is funest. Door steeds eenvoudige vragen te stellen kun je stappen zetten. Je kunt het altijd nog complex maken.’

Nu tijd voor security

‘Niet voor ieder bedrijf was thuiswerken nieuw, maar wel de schaal waarop dat begin dit jaar noodzakelijk was. Zeker de snelheid waarmee organisaties het thuiswerken mogelijk moesten maken, heeft geleid tot het overslaan van stappen in het regelen van de security. Daarom is het nu cruciaal als organisatie om je blik op security te richten. Heeft iedere medewerker een device van de zaak en is die ingericht en bestuurbaar op afstand door de IT-afdeling? Tot welke systemen en data moeten medewerkers vanaf huis toegang hebben? Mogen ze printen? Het is belangrijk om hierover na te denken en dit te regelen. Maar realiseer je ook dat wanneer je zaken te veel dichttimmert, mensen alternatieven gaan zoeken om toch te kunnen doen wat ze willen. Dat brengt het risico van schaduw-IT met zich mee. Het gevolg is dat je als bedrijf geen controle meer hebt.’

Technologie, mensen en processen

‘Goede security bestaat uit technologie, mensen en processen. Het is bovendien een continu proces waarin je ook weer strategische vragen aan jezelf moet stellen. Wat heb ik gedaan, wat heeft het me opgeleverd, is dat de gewenste uitkomt en wat kan er beter? Zoek een betrouwbare partner die je helpt om alle aspecten van security te integreren, zodat jouw wereld eenvoudig blijft. Elke dag kan uw securitylandschap er namelijk weer anders uit zien. Daarom is het belangrijk om de aanpak van security voor uw organisatie ook niet te zien als een lineair pad van onderzoeken, een passende oplossing vinden en implementeren, maar als een continu ontwikkelende, levende situatie. Daarom hanteert KPN bij de implementatie vijf fases.’

Stappenplan

‘Allereerst bepalen we samen met uw business- en technologiestakeholders wat uw doelen zijn. Aan de hand van deze doelen bekijken we wat een hierbij passend niveau van cybersecurity is. In de volgende fase doorlopen we een aantal security assessments. Deze helpen u en ons om te bepalen waar u het meeste risico loopt. Nadat we uw huidige omgeving in kaart hebben gebracht, ontdekken we waar verbeteringen haalbaar of zelfs nodig zijn. Dit doen we met een zogenaamde ‘gap-analyse’. Nu we weten waar we verbeteringen kunnen en willen uitvoeren, is het tijd om over passende oplossingen na te denken. In de vierde fase ontwikkelen we dan ook een cybersecurity roadmap. We kiezen de oplossingen en aanbieders die het beste bij uw situatie en uw wensen passen en starten de projectinitiaties per bouwblok. Uiteindelijk worden de gekozen oplossingen worden geïmplementeerd, vinden er trainingen plaats en wordt de acceptatie van de oplossing ingericht.’

Financiële risico’s

‘Breng ook het financiële risico van cyberdreigingen voor je bedrijf in kaart. Dat is ontzettend lastig, maar door om je heen te kijken, bij concurrenten, collega’s en in de media, kun je inzichtelijk krijgen hoeveel schade bijvoorbeeld een ransomware-aanval in totaal oplevert. Niet alleen de losgeldsom, maar ook het herstellen van alle systemen en de bijbehorende manuren behoren daartoe. De schade bij een heftig event ligt gemiddeld tussen de 100.000 en 500.000 euro. Vervolgens kun je uitrekenen en verantwoorden waarom je bepaalde maatregelen nodig hebt. Het uiteindelijke doel is om met die maatregelen de risico’s zo klein mogelijk te maken en wanneer het toch mis gaat, zo snel mogelijk weer in business te zijn.’

Gina Doekhie

‘Veel mensen kijken naïef naar de bedreigingen van cybercrime’

‘Veel bedrijven, en met name mkb-bedrijven, hebben moeite om cybersecurity goed op te zetten. Het vergt vaak een complete omvorming van bestaande systemen, omdat organisaties niet altijd de mogelijkheid hebben gehad om security by design toe te passen. Dat betekent dat een ondernemer nu tijd, mensen en geld moet investeren en daar gevoelsmatig niet direct iets voor terugkrijgt. Dat maakt dat security niet de aandacht krijgt die het verdient binnen bedrijven.’

CEO-fraude

‘Als cybercrimespecialist in de eenheid Den Haag bij de dienst Regionale Recherche help ik bij het onderzoeken van cybercrimezaken. Ons cybercrimeteam draait zijn eigen zaken en ondersteunt daar waar nodig andere politieafdelingen. We richten ons niet op gedigitaliseerde criminaliteit zoals vriend-in-noodfraude (ook bekend als whatsappfraude), maar op complexe(re) cybercrimezaken als ransomware of business e-mail compromise (BEC)-fraude, beter bekend als CEO-fraude. Ook doen we fenomeenonderzoek naar BEC, zodat we beter weten hoe we dit kunnen voorkomen of ontregelen. Hoe kunnen we een fenomeen zo verstoren dat de crimineel zijn werk niet meer kan doen? Zo hebben we met verschillende partijen nomoreransom.org opgezet om ransomware te bestrijden. Hier worden decryptie-sleutels van verschillende ransomware gedeeld. Zo proberen we het verdienmodel van criminelen onderuit te halen.’

Specialist noodzakelijk

‘Ik merk dat veel mensen ietwat nonchalant of naïef naar de bedreigingen en gevolgen van cybercrime kijken. Men denkt al snel dat het hen niet overkomt, terwijl er toch steeds meer verhalen in de media komen van getroffen organisaties, tot aan faillissementen aan toe. We roepen het in de securitybranche al heel lang: het is geen kwestie meer van óf je gehackt wordt, maar van wanneer. Dat betekent dat je maar beter voorbereid kunt zijn. Ik vind dat je als ondernemer een specialist moet inhuren om eens kritisch naar jouw systemen, data en security te kijken. Vaak zie je dat security iets is dat ‘erbij’ moet worden gedaan door bijvoorbeeld een systeembeheerder, maar het opzetten en beheren – want het is iets dat continu aandacht behoeft – van een gedegen beveiliging is geen baan voor ernaast. Het is een volwaardige functie.’

Deel ervaringen

‘Vaak heerst het besef van risico’s en security wel bij de IT-afdeling van een organisatie, bijvoorbeeld bij een CISO, maar wordt er op bestuursniveau te weinig prioriteit en budget aan toegekend. Hoewel ik wel een verschuiving zie. Directies beginnen in te zien dat ze cybercrime en security niet langer onderaan de agenda kunnen laten bungelen. Want je moet echt voorbereid zijn. Niet alleen technisch, maar ook qua communicatie. Kijk naar de universiteit Maastricht, die lag helemaal plat na een ransomware-aanval. Dat kun je niet onder het tapijt schuiven, daar moet je over communiceren. Deel, eventueel in een vertrouwde omgeving, goede, maar ook zeker de negatieve ervaringen. Daar kunnen andere organisaties weer van leren.’

Detectie is cruciaal

‘Bedrijven zouden goed moeten inventariseren wat hun kroonjuwelen zijn, waar ze die hebben opgeslagen en waar er een goed werkende back-up van die belangrijke data staat. Door de AVG is de beveiliging van persoonsgegevens bij organisaties nu beter geregeld, maar bedrijven kunnen ook nog andere kritische data hebben. Een risicoanalyse laten uitvoeren kan dan ook geen kwaad. Bovendien is detectie een cruciaal onderdeel van je beveiliging. Want de vraag is niet of je wordt gehackt maar wanneer. Hoe snel je in staat bent te reageren, is van invloed op de uiteindelijke omvang van de schade. Wanneer je niet in de gaten hebt dat je gehackt bent, kunnen criminelen maandenlang op je systemen rondhangen zonder dat je dat weet. Vervolgens kunnen ze in een keer een aanval inzetten waardoor je alles kwijtraakt.’

Oefen een hack

‘De schade die je dan oploopt is veel groter dan alleen de losgeldsom die wordt gevraagd. Bedenk dat je de gegijzelde systemen weer up and running moet krijgen, maar ook maatregelen moet treffen om een volgende aanval te voorkomen. De totale schade kan een veelvoud zijn van de losgeldeis. Ik adviseer bedrijven om te oefenen met een hack. Hoe ga je daarmee om? Wat moet je regelen? Maar ook, hoe gaan externe leveranciers hiermee om, wanneer je zaken hebt uitbesteed? Kunnen zij binnen een bepaalde tijd de benodigde loggegevens verstrekken? Door te oefenen en afspraken te maken met leveranciers en cybersecuritybedrijven kunnen organisaties steeds effectiever worden in het voorkomen van cybercrime. Mocht een organisatie toch slachtoffer worden van cybercrime, dan kan de politie in samenwerking met cybersecuritybedrijven strafrechtelijk onderzoek doen.’

Allard Kernkamp

‘We hebben niet meer security awareness nodig, maar meer human awareness’

‘Voor organisaties is cybercrime niet de enige dreiging en niet zelden is er slechts beperkt budget. Dus waar geef je dan je geld aan uit? Bij de techneuten in een bedrijf is vaak wel het bewustzijn van de risico’s en gevaren, maar voor hen is het soms lastig om de vertaalslag naar de directie te maken. Een directie moet in haar eigen taal duidelijk krijgen hoe een cybersecurityrisico zich verhoudt tot andere bedrijfsrisico’s en dat men er met louter een security awarenesscampagne niet is. Er komt zoveel meer kijken bij een gedegen securitybeleid.’

Tools, kennis en motivatie

‘Er zijn minimaal drie zaken onontbeerlijk op dit gebied: tools, kennis en motivatie. Je kunt allerlei technologie implementeren, maar wanneer werknemers niet de kennis hebben hoe en waarom ze dat moeten gebruiken, helpt het nog niet. Bovendien moeten het gebruiksvriendelijke tools zijn, want wanneer een medewerker veel extra tijd en handelingen kwijt is om bijvoorbeeld een versleuteld document aan een e-mail te hangen, is de kans groot dat hij voor een snellere weg kiest. Helemaal als hij doorheeft dat het management deze werkwijze ook niet volgt en voorbeeldgedrag ontbreekt.’

Twintig wachtwoorden

‘Het gekke is eigenlijk dat we steeds onze gebruikers zo goed mogelijk willen leren omgaan met de technologie, terwijl wij als gebruikers per definitie niet geschikt zijn om bijvoorbeeld twintig wachtwoorden te onthouden. Eigenlijk moet je als organisatie uitgaan van je gebruiker en daar de rest van je processen en technologie op aanpassen. Hoe kun je je gebruiker het beste in staat stellen om zo goed en veilig mogelijk zijn of haar werk te doen? Vanuit de technologie ontwikkelen we security die niet goed aansluit op hoe mensen denken en werken. En daar gaat het mis. We hebben niet meer security awareness nodig bij mensen, maar meer human awareness bij ontwikkelaars.’

Onbewust bekwaam

‘Organisaties moeten zorgen dat hun medewerkers van onbewust onbekwaam via bewust bekwaam naar onbewust bekwaam gaan. Het veilig handelen moet gewoonte worden. Maar daarvoor moet je als organisatie ook steeds communiceren over nieuwe risico’s die er op ons afkomen en hoe gebruikers daarmee om moeten gaan. Breng je mensen kennis bij. Bovendien helpt het enorm wanneer je als directie voorbeeldgedrag laat zien en wanneer er mensen binnen de organisatie worden ingezet die vragen bij gebruikers kunnen beantwoorden of tips kunnen geven over veilig werken. Dat is een makkelijke en toegankelijke manier om kleine vragen met hoge impact te ondervangen. Bovendien wil je alles wat je doet op securitygebied meten. Want alleen wanneer je meet wat het effect is van de maatregelen die je treft, weet je of je op de goede weg bent of niet.’

Eerst een kalf verdrinken

‘Wat ook opvallend is, is dat er al ontzettend veel wordt gezegd en geschreven over cybersecurity. Er zijn talloze bronnen beschikbaar met tips en adviezen over hoe je als bedrijf veiliger kunt werken. Niet alleen van commerciële bedrijven, maar ook bij onafhankelijke onderzoeksinstituten en de overheid. Toch haalt slechts een klein deel van de Nederlandse bedrijven deze kennis actief op of deelt deze kennis met andere bedrijven in hun netwerk. Bij het overige deel moet er, vrees ik, toch eerst een kalf verdrinken, voordat security op de agenda komt. En dan moeten we elkaar helpen om dit onderwerp op de agenda te behouden, onderling kennis en ervaringen te delen om zo onszelf én onze organisatie weerbaarder te maken.’

Van de werkvloer: ‘Het bewustzijn van medewerkers staat nog in de kinderschoenen’

Wesley Noorhoff is IT-manager bij dienstverlener Imbema. ‘Mijn grootste uitdaging als IT-manager op het gebied van cybersecurity is de gebruiker. We hebben inmiddels een behoorlijk aantal systemen ingericht waardoor we een hoge mate van security hebben. Zo zijn we bezig met een awareness campagne richting gebruikers, waarbij we mailtjes willen sturen met foute links, maar we hebben zelf moeite om deze mails door onze systemen te krijgen. Hoewel het aantal gevallen waarin medewerkers onbewust inloggegevens verstrekken aan niet geautoriseerde derden beperkt is tot één à twee gevallen per jaar. Toch staat het bewustzijn van medewerkers nog redelijk in de kinderschoenen. Vooral omdat we ervoor gekozen hebben om eerst alle systemen up-to-date te brengen.

We hebben de afgelopen jaren de overstap gemaakt van on-premise systemen naar de cloud en eigenlijk heerste de gedachte dat we in de cloud de systemen van een ander gebruiken en we ons dus geen zorgen meer hoeven maken over security, maar niets blijkt minder waar. Dat is een goed advies voor andere organisaties die overstappen naar de cloud. De cloud creëert een bepaalde openheid, waarbij de systemen overal beschikbaar zijn in plaats van alleen vanuit je eigen kantoorpand. Dat geeft je een grote verantwoordelijkheid om security goed te regelen, en de cloudprovider doet dat niet standaard. Vraag daar vooral naar, zodat je niet voor verrassingen komt te staan.’

4. De bewijsvoering

Bij dienstverlener Imbema hebben ze cybersecurity dus hoog op de agenda staan. Zo goed zelfs dat het Wesley Noorhoff moeite kost om zogenaamde spam-mailtjes te sturen die de bewustzijn van medewerkers moet vergroten.

In aflevering 10 van de podcastserie Digital Heroes gaat John van Schagen in gesprek met Oscar Koeroo, security-specialist van KPN, en Wesley Noorhoff van Imbema. Het bedrijf helpt organisaties bij het creëren van een veilige, efficiënte werkomgeving en schuift steeds meer op naar de rol van dienstverlener. Dat is een transitie die veel impact heeft op het eigen netwerk, met security als één van de belangrijkste uitdagingen.

Luister deze podcastaflevering hieronder of luister meer afleveringen uit de hele serie.

Onderwerpen