7min

Cyber resilience moet tegenwoordig op het netvlies van ieder bedrijf staan. Met de komst van de Cyber Resilience Act (CRA) van de Europese Unie moeten ook leveranciers aan normen voldoen. Security by design moet de norm zijn. PAM-leverancier Senhasegura is een groot voorstander van deze regelgeving, zo geeft CEO Marcus Scharra in gesprek met Techzine aan. “Met de CRA worden leveranciers meer verantwoordelijk voor een goede security en moeten hun klanten hiermee actief helpen.”

Het begrip cyber resilience staat tegenwoordig bij veel bedrijven hoog op de agenda. In eerste instantie richtten bedrijven zich vooral op het zich goed beveiligen -en voorkomen- van cyberaanvallen, maar tegenwoordig gaat het er ook om hoe zij zich na een cyberaanval zo goed mogelijk kunnen verzetten en herstellen. Kortom, hoe kunnen zij zonder al te veel problemen een cyberaanval overleven.

Volgens CEO Marcus Scharra van Privileged Access Management (PAM)-leverancier Senhasegura is de aandacht van bedrijven voor ‘cyber resilience’ een evolutionair proces geweest. “Bedrijven hebben sinds 2017 een mentaliteitsverandering doorgemaakt. In eerste instantie kochten zij alleen een (security)oplossing voor compliance-doeleinden. Of zij dit gebruikten, deed er niet echt toe. Alleen implementatie was vaak de meest gewone use case.”

“Iets later met de eerste ransomware-aanvallen en de verdere toename van malware, gingen bedrijven zich steeds meer zorgen maken over hoe zij zich hiertegen konden beschermen. Hun securityoplossingen moesten niet alleen meer de compliance regelen, maar ook echt beschermen tegen aanvallen.”

Met de pandemie namen bedrijven uiteindelijk de laatste stap in dit evolutieproces. “Zij stapten sneller naar de cloud over. Security moest hiermee meegaan en dus niet alleen het bedrijf zelf beschermen, maar ook het hele digitale transitieproces. Leidraad hierbij werd steeds meer niet alleen te voorkomen dat je wordt gehackt, maar ook hoe je een aanval kan overleven. Bedrijven gaan ervan uit dat zij worden gehackt, maar zij moeten ook ‘resilient’ zijn. Denk daarbij hoe zij hun personeel hiervoor trainen, hoe zij zichzelf organiseren voor een reactie op een cyberaanval en welke communicatie zijn naar klanten voeren.”

EU Cyber Resilience Act (CRA)

Cyber resilience wordt niet alleen belangrijk voor bedrijven, ook wetgevende instanties pakken het op. De Europese Commissie (EC) gaat hierbij het verst met het recent indienen van het wetsvoorstel Cyber Resilience Act (CRA). Dit wetsvoorstel moet ervoor zorgen dat (hardware)fabrikanten hun producten met zo weinig mogelijk kwetsbaarheden ontwerpen en op de markt brengen. Dit betekent ook dat de (meegeleverde) software hieraan moet voldoen. Security by design staat hierbij voorop.

Zij moeten er ook voor zorgen dat de security gedurende de hele levenscyclus wordt gegarandeerd. Denk aan het bieden van security updates voor deze periode en het melden van beveiligingslekken en andere problemen bij bedrijven en consumenten binnen 24 uur bij ENISA, het EU-agentschap voor cyberveiligheid.

Daarnaast wil het wetsvoorstel regelen dat bedrijven en consumenten inzicht krijgen hoe de security van het betreffende product is geregeld. Leveranciers van hard- en software moeten hierover transparant zijn, duidelijk aangeven welke veiligheidsrisico’s hun producten hebben. Dit moet bedrijven en consumenten stimuleren zelf meer hun security onder de loep te nemen en te regelen.

Verder dwingt de CRA af dat leveranciers hun inspanningen op het gebied van cybersecurity certificeren. Voor leveranciers van kritieke producten en oplossingen, zoals die van chips, industriële firewalls en besturingssystemen, moet dit door een onafhankelijke instantie gebeuren. Producenten en leveranciers van minder kritieke producten, zoals slimme speakers of hard disks, kunnen deze certificatie zelf regelen.

Leveranciers onder druk zetten

Scharra van Senhasegura is heel enthousiast over dit Europese wetsvoorstel voor ‘verplichte’ cyber resilience voor IT-leveranciers. “De EU is echt vooruitstrevend wat dit betreft. Net zoals zij dat met de introductie van de GDPR voor privacy waren. De EU vraagt leveranciers nu extreem voorzichtig te zijn met hoe zij hun producten ontwerpen door security by design op te leggen. Ook moeten zij nu (zakelijke) afnemers helpen met hoe zij de beste security krijgen wanneer zij deze producten gebruiken.”

“Leveranciers worden hierdoor directer betrokken bij cybersecurity. Niet alleen door afnemers te garanderen dat hun producten veilig zijn, maar ook hen te helpen zelf ook security toe te passen en daar meer toegevoegde waarde uit te halen. Dit laatste beantwoordt ook direct aan de tendens dat klantensucces voor leveranciers de afgelopen jaren veel belangrijker is geworden”, aldus Scharra.

“Door meer cyber resilience te -moeten- integreren, gaan leveranciers vanzelf hun klanten hiervoor beter ondersteunen. Voor de leveranciers betekent dit dat zij meer verantwoordelijkheid moeten nemen als het om de kwaliteit en de security van hun producten gaat. We staan daarom op een kruispunt in de geschiedenis van cybersecurity. Leveranciers moeten nu echt een commitment met de eindgebruikers aangaan”, stelt Scharra.

Naast dat leveranciers nu echt verantwoordelijkheid moeten nemen, vindt Scharra ook dat het huidige dreigingslandschap hen geen andere keus laat. “Het probleem van cybersecurity is zo kritisch en zo belangrijk voor de maatschappij, dat echt met boetes moet worden gedreigd als leveranciers hier geen aandacht aan gaan geven. De CRA gaat echt helpen leveranciers onder druk te zetten.”

Tip: Senhasegura: “Ons platform helpt bij een betere cyber resilience”

Wat doet Senhasegura zelf?

Als PAM-leverancier moet Senhasegura natuurlijk ook zelf voldoen aan de regelgeving die de CRA straks voorschrijft. Scharra: “Vanaf het begin denken we bewust na over hoe wij onze producten ontwerpen, hoe we garanderen dat dit ontwerp de juiste security heeft en dat onze producten veilig zijn.”

“Hoe wij straks aan de CRA gaan beantwoorden, is nog niet duidelijk. We bestuderen het wetsvoorstel over hoe we onze processen moeten veranderen, zodat we kunnen garanderen dat veel veiliger zijn dan vandaag de dag. Dit betekent dat we niet alleen meer naar onze software development cyclus kijken, maar bijvoorbeeld ook naar hoe wij onze processen rondom software en technologie ontwikkelen en deze toepassen”, aldus Scharra. ”Ook nemen we onze testprocessen en alle andere vereisten onder de loep. We moeten hier wel naar kijken als we de garantie geven dat wij compliant zijn met dit wetsvoorstel. Helemaal als we de Europese markt willen laten zien dat we een CRA-compliant product hebben.”

Kortetermijnoplossingen voor bedrijven

Hoewel de CRA als wetsvoorstel veelbelovend is en dit voor eindgebruikers van hard- en software meer veiligheid en transparantie moet brengen, is er nog een lange weg te gaan. Het wetsvoorstel moet eerst door het Europees Parlement worden aangenomen en vervolgens door alle 27 lidstaten worden geratificeerd.

Bedrijven zullen in de tussentijd nog wel zelf de nodige veiligheidsmaatregelen moeten treffen om zichzelf veilig te houden. Scharra geeft daarvoor enkele adviezen. “Belangrijk is dat zij de Common Vulnerabilties & Exposures (CVE’s) goed bijhouden. Hiermee kunnen zij hun infrastructuur en software goed up-to-date houden.”

Scharra voegt hieraan toe dat bedrijven hun infrastructuur en software ook goed moeten blijven patchen. Updates moeten te allen tijde worden doorgevoerd zodra ze beschikbaar zijn. “Zo niet, dat moet je je leverancier flink onder druk zetten”, zegt Scharra.

Zelf zorgt de PAM-leverancier voor een duidelijk transparant beleid rondom kwetsbaarheden. Hiervoor is het onlangs CNA-gecertificeerd door het bekende Mitre Institute. “Dit betekent dat we aan een aantal minimumvereisten voldoen over hoe wij omgaan met kwetsbaarheden en hoe snel we daarop reageren.”

PAM kan helpen bij cyber resilience

Vanzelfsprekend is de PAM-oplossing van Senhasegura ook geschikt voor een betere cyber resilience. “Voor het voorkomen dat hard- en software wordt misbruikt, is het belangrijk dat ze geen toegang krijgen tot het internet of dat er geen niet-geautoriseerde toegang plaatsvindt. Onze PAM-oplossing creëert een extra beveiligingslaag voor toegang. Heeft een device of bepaalde applicatie een kwetsbaarheid, dan kan er vervolgens geen toegang tot worden verkregen voor verdere uitbuiting. Alle toegang vindt plaats via eerder vastgelegde regels en een beveiligd kanaal. De toegangspogingen worden daarbij vastgelegd en zijn daardoor later beschikbaar voor forensisch onderzoek. Zo wordt malware voorkomen”, legt Scharra uit.

Daarnaast kunnen bedrijven de PAM-oplossing ook gebruiken voor herstelmogelijkheden na een aanval. “De geprivilegieerde toegangsrechten en -gegevens kunnen op een externe locatie in een soort digitale kluis worden geplaatst en daaruit worden opgevraagd. Dit helpt bedrijven sneller met hun herstelmogelijkheden”, stelt Scharra.

Verantwoording afleggen

Scharra van Senhasegura vindt uiteindelijk dat bedrijven leveranciers veel meer ter verantwoording moeten roepen als het over de garantie gaat dat hun producten echt veilig zijn. “Security teams, maar ook de andere IT-beheerders moeten echt vaker bij hun leveranciers de veiligheid van de producten aankaarten. Hoe gaan ze straks met de eisen van de CRA om? Gaan ze sneller nieuwe versies uitbrengen? Hoe gaan zij over de security van hun producten communiceren en zetten zij hiervoor een kanaal op richting de klanten? Klanten hebben zo meer melk in te brokkelen en zij moeten leren deze macht te gebruiken.”

“Daarnaast moeten bedrijven samen met hun leveranciers processen inrichten voor het reviewen van updates van producten en hoe de communicatie hierover verloopt. Wanneer de CRA actief wordt, moeten zij hun leveranciers vragen welke veranderingen zij hiervoor doorvoeren, hoe zij dit communiceren en wat zij precies gaan veranderen. Min of meer moeten bedrijven de leveranciers naar hun roadmaps voor security vragen. Het is alsof je in een restaurant bent en vraagt of je even de keuken mag zien”, legt de CEO uit.

Aan Senhasegura zelf zal het in ieder geval niet liggen dat klanten straks, na de implementatie van de CRA, een goed inzicht krijgen hoe de Braziliaanse securityleverancier zijn producten veilig maakt, veilig houdt en klanten de meeste toegevoegde waarde eruit laat halen. De PAM-leverancier heeft hiervoor een eigen ontwikkelproces dat is gericht op security by design. Blue- en red team testing zorgt ook voor het verder veilig maken van de software.

Extern testen heel belangrijk

“Ten slotte zorgt een externe consultantfirma ervoor dat alle producten nogmaals worden getest. Deze testen worden zelfs tot tien keer per jaar herhaald”, aldus Scharra. “Het testen van (security)producten door een externe partij is iets dat ik ten zeerste aanraad. De CRA adviseert ook externe audits, maar ik laat de discussie open of deze specifieke audits moeten worden verplicht. Ik denk dat het voor hard- en softwareleveranciers gewoon belangrijk en handig is, omdat het betere garanties afgeeft dat de producten daadwerkelijk veilig zijn”, zo besluit de CEO van Senhasegura.

Tip: Nieuwe en onvoorspelbare cyberdreigingen vereisen meer voorbereiding dan preventie