De cyberwereld ziet er geen dag hetzelfde uit. Met een aanvalsfrequentie en geavanceerde aard die eerder toe lijken te nemen dan af te nemen, bereikt het gevecht tussen aanvallers en verdedigers nieuwe hoogtes. Het lijkt eenvoudigweg niet veel beter te gaan als je het nieuws volgt. In dat kader besteden we in cybersecuritymaand oktober net wat meer aandacht aan het onderwerp dan gebruikelijk.
Cybersecurity is uitgegroeid tot een end-to-endverhaal. Organisaties moeten hierbij over de hele breedte en diepte voorzien in bescherming en beveiliging. Vandaar dat we vanuit Techzine recent een rondetafel hebben georganiseerd, waar vertegenwoordigers uit meerdere deelgebieden van de industrie aanschoven. Het voornaamste doel is om duidelijk te krijgen hoe bestuurders, IT’ers, gebruikers en andere betrokken partijen naar de securitymarkt moeten kijken en hoe ze ermee om moeten gaan. Waar moeten de prioriteiten liggen, wat houdt het in om een risico-analyse te doen van je omgeving, en hoe implementeer en onderhoud je het geheel op een toekomstbestendige manier?
We gaan op zoek naar antwoorden met de bedrijven Barracuda Networks, Cohesity, Darktrace, Datto, Fortinet, Fox-IT, Okta, Rubrik, SentinelOne, Visma en VMware. Zij worden respectievelijk vertegenwoordig door Alain Luxembourg, Dave Stemerdink, Annabel Hazewinkel, Hans ten Hove, Harm Teerenstra, Willem Zeeman, Rachel Case, Jerry Rijnbeek, Sjoerd de Jong, Cindy Wubben en Jan-Willem Lammers.
Wat is nu hot?
We starten de discussie met een rondvraag van wat 2023 tekent op het gebied van cybersecurity. Een van de eerste topics die op basis van die rondvraag aan bod komt, is cyberweerbaarheid. Dit is eigenlijk altijd een belangrijk onderwerp, waar langzaam enige verbetering in optreedt, ziet Area Vice President Continental Europe Ten Hove van Datto. “Maar wat je ziet is dat mkb’ers vaak het risico dat ze iets kan overkomen onderschatten, en het vermogen dat ze ervan kunnen herstellen overschatten.” Stemerdink, Principal Sales Engineer bij Cohesity, ziet in cyberweerbaarheid een van de kernzaken van het moment. “We zien daarbij dat er een hele boel geïnvesteerd wordt, om bepaalde zaken te voorkomen. Gelukkig gaat het vaak goed, maar ook regelmatig niet.”
Lammers weet als Principal Technologist van VMware wel waar die fouten door komen. Volgens hem is de basis vaak niet op orde. “Denk aan zaken als cyberhygiëne, patching, least privilege, dat soort simpele dingen.” Zeeman ziet vanuit zijn incident response-achtergrond bij Fox-IT ook dat op dit terrein veel winst valt te behalen. “Wat ik wel zie is dat er een stukje awareness lijkt gekomen rond die basis hygiëne”, aldus Zeeman. Hij wijst hierbij op de gunstige ontwikkeling van het tegenkomen van meer Endpoint Detection and Response-tools in bedrijfsomgeving.
Bij Rubrik en Barracuda Networks zien ze echter dat technologie ook complexiteit veroorzaakt. Rijnbeek, Area VP Sales Engineering EMEA & APJ, schetst een beeld van wat dit aan de aanvals- en verdedigingszijde betekent. “Alle bedrijven bevinden zich in een transitie naar de cloud. Ze zijn er al of zijn halverwege. Maar tijdens die transitie verandert ook het aanvalspatroon. Je ziet de verschuiving naar de focus op data, dus niet zozeer meer het vergrendelen van die systemen. Het extracten van die data door middel van phishing is nu eigenlijk het zwaartepunt”, legt Rijnbeek uit.
Luxembourg, de Regional Vice President Benelux & Nordics van Barracuda Networks, merkt ook op dat de veranderende infrastructuur problemen kan veroorzaken. “Je ziet IT-managers van rol veranderen. Ze nemen dan bestaande producten die gebruikt worden over en willen een bepaald product dat ze kennen ook introduceren in de nieuwe omgeving. Ze gaan dan touwtjes knopen in de IT-infrastructuur. Je merkt dat het dan best wel rommelig wordt”, ziet Luxembourg.
De actualiteit
Wubben en Hazewinkel kijken vanuit hun rol als respectievelijk CISO voor de Benelux bij Visma en Cyber Technology Specialist bij Darktrace in 2023 ook met grote belangstelling naar de kant van de hackers. Wubben: “Voor ons was en blijft de oorlog in Oekraïne belangrijk. Wat speelt daar en wat heeft dat voor effect op onze organisatie? We zitten in 39 landen, daar spelen allemaal politieke belangen. Nederland levert bijvoorbeeld straaljagers, dan zie je cyberaanvallen opkomen specifiek gericht op Nederland.” Hazewinkel ziet daarnaast dat de cybercriminelen er nieuwe mogelijkheden bij krijgen door generatieve AI. Hackers kunnen de tools gebruiken om gerichte phishingcampagnes op te stellen. “Deze generatieve AI-tools zijn nu beschikbaar voor iedereen. Ze bieden ons nieuwe mogelijkheden, maar geven ook kansen aan de hackers”, schetst Hazewinkel.
Teerenstra van Fortinet komt in zijn werk veel in aanraking met compliance. Wat hem betreft staat 2023 in het teken van NIS2. “We hadden al kaders die enorm belangrijk waren, NIS2 komt eroverheen. Het legt steeds meer focus op compliance, je ziet ook dat overal CISO’s gevraagd worden.”
SentinelOne, vertegenwoordigd door Sales Engineer Sjoerd de Jong, en Okta, in de persoon van Director for Solution Engineering NEMEA Rachel Case, kunnen elkaar goed vinden in de problemen die ontstaan rond identiteiten. De Jong: “Er is veel werk te verzetten om naast endpoints ook identiteiten te beveiligen. Je ziet dat de hacker gewoon inlogt en zijn gang kan gaan, bijvoorbeeld, na social engineering bij de MGM-hack.” Case gaat daar verder op in, door te wijzen op het belang van Identity and Access Management. Ze ziet daarin wel een perceptie ontstaan over de capaciteiten van de technologie. Uiteraard zijn de tools goed, maar stelt Case: “Iedereen denkt dat technologie het antwoord is. Ik zie dat er aangenomen wordt dat je een tool hebt en het perfect is. Het zijn echter ook de processen, de awareness van je medewerkers en hoe je met je bedrijf werkt.”
Lees ook: Hoe navigeer je door de moderne gelaagde securitywereld? En met wie doe je dat?
Bewustwording creëren
Daarmee snijdt Case een punt aan waar een nieuwe discussie aan tafel over opgestart wordt. Binnen de markt is er een perceptie dat de mens een grote rol speelt in de cyberweerbaarheid van je organisatie. Zijn zij zich voldoende bewust van de risico’s van digitale handeling, dan gaan ze zich ook wenselijker gedragen, is de gedachte. Zeeman heeft daar wel een duidelijke mening over. “De awareness aan de voorkant, dus de eindgebruiker, is een van de eerste lagen. Als een hacker daar doorheen is, dan is die in je omgeving. Ook al train je iedereen er elke dag op – er is altijd een percentage dat klikt. Dus het gaat gebeuren, maar dan? Je hebt een klein vonkje, je moet voorkomen dat een veenbrand zich door je organisatie gaat verspreiden.”
In een ideale wereld wordt er dus aan beide aspecten gewerkt. Cyberbewustzijn kan zeker helpen, aangezien het het aantal kliks op schadelijke links beperkt en gebruikers meer bereid zijn beveiligingstools in te zetten. Maar hoe verhoog je dat bewustzijnsniveau? Het voortdurend hameren en vingertje wijzen is ook niet wenselijk, want dat werkt contraproductief richting de alledaagse werkzaamheden.
Luxembourg heeft wel ideeën over hoe je medewerkers, partners en klanten kunt meekrijgen. “Als ik tegen mijn zoontje zeg dat hij zijn kamer moet opruimen, wordt hij boos en doet hij het een keer. Maar je moet het omdraaien. Als een vriendje komt spelen en je kamer is een rotzooi, wat denk je dat ze daarvan vinden?” Daarmee zegt Luxembourg dat het een kwestie van noodzaak is. “Je moet het doen. Denk eens na wat het gevolg is als je het niet doet.”
Wees voorbereid
De uitspraak van Luxembourg sluit ook aan bij de algemene consensus aan tafel: wees voorbereid op een aanval. Omdat de kans groot is dat een bedrijf wordt aangevallen. In dat opzicht kun je maar beter voorbereid zijn op het ernstige scenario van een hack. De partijen die vanuit databescherming redeneren zien hierin een grote rol weggelegd voor een cybersecurityplan, om daar ook simulaties rondom heen te doen. Breng goed in kaart wat er allemaal komt kijken bij een succesvolle ransomware-aanval. Hoe pak je die situatie aan met je medewerkers? Wat is je persreactie? Ga je wel of niet betalen? Hoe verhoudt de met de minuut oplopende schade zich tot het gevraagde losgeld? Over dergelijke vragen kun je allemaal nadenken, om het ook eens te oefenen zoals bedrijven dat nu al doen met een brandoefening.
Stemerdink van Cohesity schets ook het gevaarlijke perspectief van een ontbrekend plan van aanpak. “Als je in de situatie van een hack zit en je hebt geen herstelplan, dan ben je te laat. Dan zijn er geen goede keuzes meer te maken.” Bestuurders gaan dan misschien uren discussiëren over hoe het aan te pakken en of ze wel of niet moeten betalen, maar die tijd is er simpelweg niet.
Verandering op komst met NIS2
In een ideale wereld gaat dat dus anders. Sommige gasten aan tafel zien ook zeker een lichtpuntje dat verandering zal gaan brengen. Met de EU-richtlijn NIS2, die eind 2024 in Nederland gaat gelden, kunnen bedrijven eigenlijk niet meer onvoorbereid zijn op een cyberincident. Het wordt min of meer verplicht om voorbereid te zijn op het incident, zoals De Jong van SentinelOne opmerkt. “Als je daar te weinig aandacht aan zou besteden, kan een bestuurder hoofdelijk aansprakelijk worden gesteld. Die is dan de spreekwoordelijke Sjaak.” De Jong ziet daarin een duidelijk verschil met hoe bestuurders voorheen handelden, die vaak te veel vertrouwden op na een hack alles rechtzetten met behulp van de verzekeringsmaatschappij en een incident response-team.
Wat betreft de cyberverzekering is de consensus aan tafel grotendeels dat deze momenteel niet helemaal correct functioneert. Lammers van VMware noemt de cyberverzekering zelfs ‘een grote grap’. “Hackers kijken eerst wie er klanten zijn van de verzekeraars. Dan gaan ze de verzekerde partijen aanvallen, omdat zij snel en meer betalen. Zij zijn de doelwitten geworden. Het model is wat dat betreft kapot.”
Fortinet vult hier bij monde van Teerenstra op aan dat bedrijven door verzekeringen wel op de feiten worden gedrukt en de verantwoordelijkheid moeten nemen. Teerenstra is echter vooral benieuwd wat de komst van NIS2 teweeg gaat brengen. “Je kan je huidige infrastructuur en scope van cybersecurity onder de loep nemen op basis van het NIST Cybersecurity Framework. Daarin zitten de stappen identify, prevent, detect, response en recover. Op basis daarvan kan je een profiel van je organisatie maken en een soort gap-analyse doen, om te bepalen waar je staat. Je kan dan een profiel maken op basis van je assessment. Dat is een heel mooi begin om naar NIS2 compliance te kijken, want NIS2 gaat al die stappen af.”
Het perspectief van de CISO
Aan tafel zit ook Cindy Wubben van Visma, aan wie we de uitspraken en inzichten over awareness en NIS2 direct kunnen voorleggen. “Onder Visma vallen veel bedrijven, met elk een managing director. Wij bieden ze een securityprogramma aan dat geadopteerd moet worden. Daar zit onder andere basishygiëne in, maar ook awareness voor de managing director. We inventariseren nu waar we staan met betrekking tot de compliance op NIS2-gebied, om een hapklaar programma klaar te zetten”, aldus Wubben.
Visma wil hierbij zoveel mogelijk een generiek programma aanbieden, om compliance aan te tonen. De softwareleverancier is momenteel aan het uitvogelen hoe dat precies te doen. Wubben noemt de NIS2-richtlijnen echter zeer logisch. Visma had er al focus op liggen, waardoor het voor het bedrijf niet hele grote veranderingen zal betekenen. “Alleen misschien het aantonen van compliance richting klanten, daar moeten we waarschijnlijk iets aanpassen.”
Lees ook ons achtergrondartikel waarin we dieper ingaan op de securityinspanningen van Visma.
Een grote rol voor AI en automation
In het begin van dit artikel werd ook al even de rol van AI in de cyberwereld benoemd. Daar wordt ook het nodige van verwacht, aan zowel de verdedigingslinie als de aanvalskant. Beide kampen kunnen hun technieken hiermee verbeteren. Zo geeft Case van Okta aan dat AI voor een andere dynamiek kan zorgen. “Een manager met bijvoorbeeld 50 mensen, moet die iedere keer een toegangsverzoek bekijken?” Ze haalt aan dat dat soort controles eerder bij wijze van spreken gebeurden door controles met Excel, maar dat het nu allemaal automatisch kan.
Ook Hazewinkel van Darktrace is groot voorstander van de mogelijkheden die automation teweeg kunnen brengen. “Als we uiteindelijk ervoor gezorgd hebben dat de awareness er is, hoe gaan we er dan voor zorgen dat bedrijven beveiligd zijn? Ik had een mkb’er aan de lijn die zei dat hij weer gewoon wil kunnen slapen ‘s nachts. Dat geeft de impact op zijn persoonlijke leven aan. Daarom moet je richting autonome systemen, zeker mkb’ers. Zij hebben niet 24×7 een security operations center draaien. Ze hebben de middelen niet; ze moeten de beschikbare resources effectief inzetten. Ga dan voor iets wat op de achtergrond loopt.”
Wat kunnen we nog doen?
Met de ideeën die zijn gepasseerd rondom awareness, NIS2 en technologie ligt er een aardige blauwdruk voor je organisatie wat je allemaal zou kunnen doen. Zijn er ook nog andere stappen waar we aan kunnen denken? Zijn er aan tafel nog bepaalde ideeën om de overheid of de cybersecurityindustrie meer te laten doen?
Volgens Ten Hove van Datto kan de overheid zeker meer investeren. Hij noemt de Nederlandse overheid volledig onzichtbaar op dit vlak. Volgens hem zorgelijk, want cyberaanvallen zijn een grote dreiging voor ons land en de economie. “De overheid gaat het niet doen. Dan is het aan ons, met een veelvoud aan activiteiten. In sommige gevallen is het goed om die activiteiten te bundelen. Dat doen we met de Dutch Cybersecurity Assembly. We vinden aan tafel allemaal hetzelfde. We roepen richting de achterban iets anders, maar eigenlijk is het dezelfde boodschap. We zouden het kunnen bundelen in een boodschap en doen met z’n allen een nationale campagne.”
Jerry Rijnbeek ziet ook nog extra mogelijkheden, door als overheid hogere boetes op te leggen. Hij vindt de regelgeving zoals die nu boetes voor kan schrijven veel te laag. En het moet strenger nageleefd worden, wat Rijnbeek betreft. “Als je het niet op orde hebt, krijg je een boete. Het kwijtraken van contactgegevens van 20.000 klanten is geen kleine zaak. Doe maar eens iets fout bij de belastingdienst, dan komen ze achter je aan.” Rijnbeek stelt ook dat hij het eigenlijk wel tijd vindt voor een verbod op losgeldbetalingen binnen de EU, zodat de criminaliteit op papier minder gevoed wordt en de hackers zich niet meer op Europa richten.
De wijzer springt op en neer tussen vijf voor én vijf na twaalf
In de securitywereld blijft de strijd tussen goed en kwaad zich ontwikkelen en intensiveren. De urgentie van het beschermen van organisaties tegen de groeiende dreiging is wat dat betreft hoog. Een belangrijke focus hierbij is cyberweerbaarheid en het belang van een brede beveiligingsaanpak. Organisaties moeten niet alleen investeren in preventieve maatregelen, maar ook de basis op orde hebben. Bewustwording onder de directie en medewerkers kan daarin een bijzonder rol innemen.
De discussie tijdens de rondetafel maakt duidelijk dat de urgentie varieert van ‘vijf voor twaalf’ tot ‘vijf na twaalf’. Een multidisciplinaire aanpak lijkt het gewenste antwoord op bekende en onbekende dreigingen. In theorie kan NIS2 een duw in de juiste richting zijn. Hoewel die voor volgend jaar gepland staat, kan je daar het best maar zo snel mogelijk klaar voor zijn. Uiteindelijk volg je zo niet alleen richtlijnen van de overheid, maar doe je je bedrijf ook een groot plezier.