Organisaties moeten niet meer, maar slimmer investeren om het risico op cyberaanvallen te beperken. Dit betoogt Sander Zeijlemaker, managing director van het Disem Institute. Hij promoveerde in maart op dit onderwerp aan de Radboud Universiteit. “Organisaties moeten snappen dat het inrichten van cyber security een dynamisch proces is.”
Lees verder
Organisaties die getroffen worden door cybercrime: het onderwerp is aan de orde van de dag. Miljarden euro’s schade worden er jaarlijks geleden. Het is een wereld waarin de aanvaller continu zijn aanpak evolueert en innoveert, maar organisaties doen dat nog te weinig. “Cyber security is een vraagstuk waarbij je vandaag een besluit neemt om morgen veilig te zijn”, zegt Zeijlemaker. “Bestuurders die hierin keuzes moeten maken, worden ondersteund door allerlei standaarden, raamwerken en vergelijkingen met andere organisaties. Na elk incident, bij jezelf of bij andere organisaties, worden er nieuwe maatregelen opgesteld om het in de toekomst te voorkomen. Veel organisaties baseren hun investeringen in cyber security op basis van problemen uit het verleden. Maar dat is een vrij statische aanpak. Je moet juist naar de toekomst kijken.”
In zijn onderzoek, waarvoor al in 2015 de eerste piketpaaltjes werden geslagen, keek Zeijlemaker naar een aanpak gebaseerd op systeemdynamica. “Op het gebied van cyber security wordt die aanpak nog nauwelijks gebruikt. Het is een aanpak waarbij je eerst alle factoren inclusief hun samenhang in kaart brengt die meespelen bij het nemen van strategische besluiten op het gebied van cyber security. Daarbij moet je denken aan de ontwikkeling van de aanvaller, het gedrag van medewerkers en de doeltreffendheid van maatregelen. Deze informatie met alle relevante data wordt gebruikt voor het maken van computergestuurde simulatiemodellen.”
Er zijn volgens Zeijlemaker grote verschillen tussen organisaties in hoever zij zijn met cyber security. “Sommige organisaties zijn vrij ver met het inschatten van risico’s, maar ik durf wel te zeggen dat het merendeel bijna niet vooruitkijkt en de betreffende stappen neemt. Er zijn ook nog organisaties die überhaupt nog geen goede securitystrategie hebben geïmplementeerd. De gevaren liegen er niet om. Als je als MKB-organisatie getroffen wordt door een zware cyberaanval, is de kans zestig procent dat je de volgende zes maanden niet overleeft[1].”
“Organisaties moeten snappen dat het inrichten van cyber security een dynamisch proces is”, vervolgt Zeijlemaker. “Als je denkt dat je klaar bent na het installeren van detectiesoftware op je reguliere software, heb je het mis. Een organisatie verandert continu. Iedere keer als je nieuwe laptops hebt, moet je de software opnieuw installeren. Als je nieuwe servers hebt of het netwerk wijzigt, moet je opnieuw de stappen doorlopen. Securitymaatregelen moeten zich aanpassen aan de verandering van de organisatie en de aanvaller. Dat besef moet groeien.” “Organisaties snappen wel dat als er een nieuwe medewerker aan de slag gaat, hij of zij een inlog met rechten nodig heeft om te kunnen werken. Maar wat ik al veel minder zie is dat als de medewerker carrière maakt in een organisatie en hij of zij nieuwe rechten krijgt, de oude rechten worden afgenomen. Die medewerker kan dan heel veel, ook dingen die niet meer bij de functie horen. Als een aanvaller controle krijgt over dat account, heeft hij ook toegang tot die bestanden.”
De managing director van het Disem Institute vindt dat cyber security een standaardonderdeel moet worden van de bedrijfsvoering. “Ik herinner me een organisatie waar ze hun medewerkers bewust wilden maken dat tussen de e-mail die zij krijgen, ook mail van aanvallers zit. Ze hadden een helpdesk opgetuigd en die zeiden: als je een e-mail hebt waar je aan twijfelt of het echt is, open de mail niet en stuur het door. Die helpdesk had de middelen om te controleren of de mail echt was of niet. Zij maakten de medewerkers onderdeel van hun securitybeleid. Als je dan terugkoppelt wat voor zaken je opvallen in die e-mails, begint het te leven. Je creëert betrokkenheid.”
Het feit dat het geld kost om cyber security op te tuigen, is volgens Zeijlemaker geen argument om het niet te doen. “Natuurlijk kost het geld als je het op moet tuigen, maar als je het niet doet, kan het ook behoorlijk wat kosten. Bij een ransomware-aanval eist de aanvaller vaak een paar procent van je omzet. Als je daadwerkelijk geraakt bent door deze aanval ben je vervolgens ook vaak een maand bezig om het op te lossen. In die maand heb je problemen om je klanten te bedienen, die vervolgens misschien weglopen. Als gevolg daarvan krijg je schadeclaims omdat je niet kunt voldoen aan lopende contracten. Ook maken aanvallers een kopie van kritische data, die ze vervolgens lekken. Het kost geld, maar het is ook cost of doing business. In een digitale wereld heb je er veel voordelen van als je snel je werk kunt doen, maar het moet wel veilig zijn.”
Het spel tussen de aanvaller en de organisatie is oneindig. “Het verraderlijke is dat de aanvaller soms even weg is. Dat kan een vals gevoel van veiligheid geven. Dat heet ook wel een detection trap. Als je iets niet ziet, is het er niet en hoef je er niet op te acteren. Maar dat is een misverstand. Je loopt als organisatie altijd het gevaar dat de aanvaller terugkomt.”
Het is volgens Zeijlemaker ook een illusie om te denken dat je als organisatie nooit getroffen gaat worden door bijvoorbeeld een cyber- of ransomware-aanval. “Wij gaan als maatschappij steeds verder digitaliseren en de aanvaller doet dat dus ook. Vroeger had de dief een breekijzer, nu een laptop. Je kunt systemen voor honderd procent veilig maken, maar dan is zakendoen bijna uitgesloten. Dan is samenwerken ook niet te doen.”
Er valt nog een hele wereld te winnen op het gebied van cyber security bij organisaties. “De bereidheid om te investeren in cyber security hangt samen met de bereidheid om het te begrijpen. De eerste stappen daartoe hoeven niet moeilijk te zijn. Stel jezelf als bestuurder een aantal vragen. Weten we als organisatie wat onze digitale footprint is? Weet je wat je moet beschermen? Als je dat niet weet kun je wel heel veel maatregelen implementeren, maar als je een paar computers vergeet die bij je organisatie horen, heb je al een opstappunt voor een aanvaller.”
Voetnoot 1. Ponsard, C., Grandclaudon, J. and Dallons, G. Towards a Cyber Security Label for SMEs: A European Perspective. DOI: 10.5220/0006657604260431 In Proceedings of the 4th International Conference on Information Systems Security and Privacy (ICISSP 2018), pages 426-431. Geraadpleegd van: https://www.scitepress.org/Papers/2018/66576/66576.pdf]