‘Maak iedere dag een beetje cyberveiliger dan gisteren’

Stay tuned, abonneer!

ESET wil dat organisaties in hoog tempo de basis voor een goede cybersecurity op orde krijgen. Hiervoor moeten de organisaties en leveranciers zich aanpassen aan een nieuwe ‘infinite’ gedachtegang en daarbij leiderschap tonen. We spraken hierover onlangs met CEO ESET Nederland Dave Maasland.

Cybersecurity is een spel waarbij er geen vastgestelde regels en er geen begin of eind bestaan. Ook ontbreekt het vaak aan duidelijke tegenstanders. Dit maakt van cybersecurity een zogeheten ‘infinite game’, hield Maasland zijn publiek voor tijdens het Nederlandse ESET Security Days 2019-evenement. Bedrijven, organisaties, security-leveranciers en andere stakeholders als de overheid moeten zich beseffen dat ze zich aan de nieuwe spelregels moeten aanpassen. Regels waarbij iets dat vandaag goed is, morgen weer slecht kan zijn of andersom.

Hoop op goede toekomst houden

Het aanpassen aan deze nieuwe gedachtegang vereist ook dat alle partijen een compleet nieuwe gedachtegang aanmeten. Deze gedachtegang vormt de kern van ’infinite-leiderschap’. Iets wat alle belanghebbenden moeten gaan tonen. Zogeheten infinite-leiders op cybersecuritygebied moeten beseffen dat zij nooit de wapenwedloop rondom cybersecurity gaan winnen. Wel moeten zij hoop houden dat zij uiteindelijk voor zichzelf, of in het geval van de cybersecurity-specialisten voor hun klanten, een betere en dus veiligere toekomst kunnen realiseren.

Beter doen dan vandaag

Hoop op een betere cybersecurity komt ook door het herdefiniëren van de definitie ‘cybersecurity-doelstellingen’. Veel security-specialisten binnen bedrijven en security-leveranciers hebben het volgens de CEO ESET Nederland vaak over security-doelstellingen. Dit zijn vaak hun eigen doelstellingen en niet die van de bedrijven waarbij ze werken of adviseren. Volgens Maasland moeten die doelstellingen juist die van de betreffende bedrijven zijn. Hoe vervullen zij hun ‘missie’?  De doelstellingen moeten dus betrekking hebben op het ‘waarom’ bedrijven zijn opgericht. De cybersecurity-specialisten moeten ervoor zorgen dat bedrijven dit kunnen doen.

Het stellen van cybersecuritydoelstellingen, zoals het constant willen meten welke acties medewerkers uitvoeren of het hebben van roadmaps, helpt daar niet bij. De regels van het spel zijn immers -zoals reeds genoemd- onbekend en kunnen steeds veranderen. De infinite-gedachtegang om leiderschap te kunnen tonen, is dus niet wat je ver in de toekomst gaat doen, maar is er om ervoor te zorgen dat je het vandaag net iets beter doet dan gisteren. En dat elke dag. Dit geeft dan ‘hoop’ op een betere toekomst.

Sturen op vertrouwen

Naast hoop moeten infinite-leiders ook het vertrouwen hebben dat het uiteindelijk goed komt. Opvallend geeft Maasland hierbij aan dat hierbij het streven naar ‘perfectie’ niet de goede weg is. In een infinite-landschap is perfectie onmogelijk. Je kan nog alle systemen op orde hebben of de duurste security-oplossingen en -toepassingen hebben, maar door de constant veranderende spelregels kan je juist nooit de ultieme perfectie bereiken. Bedrijven moeten daarom een balans zien te vinden tussen echt alles dichttimmeren of in ieder geval datgene te beschermen wat ze echt belangrijk vinden. Focus is dus belangrijk, zo laat Maasland ons weten. Vertrouw er ook op dat het goed komt.

Kweken van vertrouwen

Ook het kweken van vertrouwen is belangrijk. Security-specialisten die infinite-leiderschap tonen, zijn constant bezig met het creëren van vertrouwen en het kijken of vooruitgang wordt geboekt. Specialisten zien bijvoorbeeld ransomware niet alleen als een concrete bedreiging waarnaar moet worden gehandeld. Volgens hen is ransomware ook een framework dat helpt om juist zwaktes bloot te leggen. Door hierop flexibel in te spelen, kan worden gekeken wat er aan de beveiliging kan worden veranderd. Doe wat nu nodig is, zodat je jezelf weer verbetert.

Veilig laten voelen

Dit geldt bijvoorbeeld ook voor hoe medewerkers binnen bedrijven kunnen worden meegekregen om inderdaad vandaag iets beter te zijn dan gisteren. Volgens Maasland worden medewerkers geheel onterecht nog de ‘zwakste schakel’ in de cybersecurity-keten genoemd. Alsof zij allemaal verantwoordelijk moeten zijn voor de staat en de uitvoer van het cybersecurity-beleid.

Goed infinite-leiderschap is medewerkers zich op dit gebied veilig te laten voelen. Medewerkers zijn de ‘first line of defense’. Leiderschap is dan ook het vertrouwen geven dat zij best in staat zijn hierbij een rol te spelen. Dit kan door het vergroten van ‘awareness’, maar ook bijvoorbeeld door het ontzorgen van medewerkers op cybersecurity-gebied. Denk bijvoorbeeld aan het instellen van een soort gespecialiseerde bedrijfshulpverleners (bhv’ers) of ‘cyberhulpverleners (chv’ers)’ die EHBO kunnen leveren bij mogelijke security-incidenten.

Rolmodelfunctie

Tegenover medewerkers moeten bedrijven en security-leveranciers zich dus met meer empathie opstellen en hen ‘vertrouwen’ geven. Security-specialisten moeten hierbij echt een ‘rolmodel’ zijn en zich onbelemmerd voor inzetten. Hierdoor kan dan weer de ‘hoop’ worden gecreëerd dat het iedere dag weer een beetje beter gaat dan gisteren.

Begin van ‘fixen van de basis’

Gelukkig wordt op dit moment het infinite-denken steeds populairder. Maasland constateert dat dit langzamerhand begint door te sijpelen en dat de industrie beseft dat zij echt mensen moeten gaan helpen. Alle grote cyberaanvallen van de afgelopen jaren hebben aangetoond dat het nu het moment is om actie te ondernemen. Het gaat daarbij niet alleen meer om technologie, cybersecurity is iets van de hele maatschappij geworden. We staan daarom op het punt de basisvoorwaarden te gaan ‘fixen’, geeft de CEO van ESET Nederland aan. Deze basisvoorwaarden zijn een begin om sneller het ontvreemden van data te kunnen bestrijden, aanvallers sneller te detecteren en ook sneller te kunnen reageren.

Netwerksegmentatie

Concreet bestaat dit ‘fixen van de basisvoorwaarden’ onder meer uit bedrijven en organisaties die steeds meer strategisch nadenken over hun security. Afgezien van basiszaken als goed wachtwoordbeleid en patchmanagement, komt er meer aandacht voor de voordelen van bijvoorbeeld netwerksegmentatie, geeft Maasland aan.

De uitbraak van WannaCry heeft laten zien dat de infectie van één kantoor ertoe kan leiden dat kantoren over de hele wereld met dezelfde gevolgen te maken kregen. Daarom gaan bedrijven nu nadenken over netwerksegmentatie. Of ze dit ook daadwerkelijk echt gaan doorzetten, laat de CEO van ESET Nederland tegenover ons in het midden.

Nieuwe opbouw van IT-omgevingen

Een andere basisvoorwaarde die bedrijven steeds vaker oppakken, is dat zij ‘om veiliger te zijn’ anders gaan nadenken over de opbouw van hun IT-omgevingen. Was deze opbouw vroeger vooral gericht op beschikbaarheid, gebruiksvriendelijkheid en stabiliteit, gaat het tegenwoordig ook om security en privacy by design. Goed van tevoren indenken hoe security en privacy kunnen worden ingebouwd is gelukkig belangrijk geworden.

Te meer vanwege de voortdurende migratie naar allerlei smaken en soorten cloudomgevingen. Rondom deze migratie zijn nog steeds veel security-zaken niet standaard geregeld. Hierbij ligt volgens ESET een grote verantwoordelijkheid bij het Nederlandse IT-bedrijfsleven. Het kan niet zo zijn dat klanten zelf moeten uitzoeken hoe zij dit moeten regelen. In hun digitale transitieproces moeten zij op dit terrein goed worden begeleid. Het is een strategische keuze.

Van tevoren nadenken over security en privacy by design is dus essentieel. Het uitdragen hiervan wordt voor het Nederlandse IT-landschap dan ook echt een zorgplicht, vindt Maasland.

Meer samenwerking

Verder gaan de diverse stakeholders rondom cybersecurity, zoals bedrijven, security-leveranciers en de overheid, steeds nauwer met elkaar samenwerken. Dit kan volgens Maasland wel nog een tandje scherper. Er wordt nog te weinig onderling overlegd, zo geeft hij aan.

Op het gebied van data-uitwisseling ligt dit anders. Alle stakeholders delen voldoende gegevens met elkaar. Zo is er een open source kennisplatform, MITRE ATT&CK-platform, waarbij informatie over de strategieën van hackers en de door hen gebruikte technieken wordt gedeeld. De informatie uit dit kennisplatform wordt vervolgens weer gebruikt om diverse beveiligings- en risicomodellen en -methodes te ontwikkelen.

Nog wel werk aan de winkel

We zijn dus op de goede weg om aan de basisvoorwaarden voor een goede cybersecurity te voldoen, stelt Maasland. Maar er is ook nog veel werk aan de winkel, zoals het daadwerkelijk kweken van meer vertrouwen. Bijvoorbeeld tegenover medewerkers. Daarnaast kan ook het onderlinge overleg tussen alle stakeholders nog wel een impuls gebruiken.

Wanneer alle stakeholders op het gebied van cybersecurity de hoop en het vertrouwen blijven houden dat iedere dag het weer een stukje beter gaat, moet Nederland op cybersecurity-gebied op de goede weg zijn. We zijn benieuwd hoe dit zich de komende jaren in ons land verder gaat ontwikkelen.