Om de continuïteit van onze maatschappij te waarborgen is de bescherming tegen cyberaanvallen essentieel. Daarom heeft de Europese Unie de Network & Information Systems (NIS)-richtlijn in het leven geroepen. Deze richtlijn geeft een overzicht van maatregelen om organisaties beter te beschermen tegen cyberaanvallen, met name voor de organisaties die worden gezien als essentieel voor het functioneren van de maatschappij, de zogenaamde kritieke infrastructuren. Op 16 januari 2023 is de tweede versie van de richtlijn in werking getreden, de NIS2. Deze nieuwe richtlijn maakt risicomanagement een topprioriteit voor bedrijven. Dit komt mede doordat bestuurders van organisaties die onder deze wetgeving vallen nu persoonlijk verantwoordelijk zijn voor het identificeren, beoordelen en minimaliseren van cyberrisico’s.
Het is raadzaam dat bedrijven bepalen voor welke onderdelen zij onder de NIS2-richtlijn vallen en hun cyberbeveiligingsstrategie herzien en indien nodig aanpassen. Het implementeren van nieuwe beveiligingsstrategieën is immers een langetermijnproject. Aanbieders van beveiligingsdiensten kunnen hierbij helpen. Met de juiste strategie en expertise kan dit zonder problemen worden bereikt, maar het is wel zaak om daar zo snel mogelijk mee te beginnen. Maar eerst, wat houdt de nieuwe richtlijn precies in?
Risicomanagement en verantwoordelijkheid voor het management
In essentie schrijft de NIS2 vooral algemeen aanvaarde best practices voor veiligheidsmaatregelen voor. Elke exploitant van kritieke en andere belangrijke infrastructuren in de EU moet in de toekomst beschikken over noodplannen, systemen voor de detectie van dreigingen en beheer van de bedrijfscontinuïteit. Voor bedrijven die dergelijke maatregelen en strategieën al hebben geïmplementeerd, is NIS2 geen grote verandering. Wat wel nieuw is, is dat de EU zich richt op risicomanagement en de nadruk legt op de verantwoordelijkheid van het management.
Hiervoor zijn verschillende redenen. Cyberaanvallen behoren tot de meest bedreigende risico’s voor bedrijven. De economische schade kan al snel miljoenen bedragen. Bovendien kunnen cyberaanvallen op kritieke infrastructuren het welzijn van de samenleving als geheel schaden. Om deze redenen schrijft NIS2 cyberrisicobeheer voor exploitanten van kritieke infrastructuren voor en benadrukt het de verantwoordelijkheid van het management: bedrijfsleiders zijn vanaf nu persoonlijk verantwoordelijk voor het identificeren, beoordelen en verminderen van cyberrisico’s. Het niet naleven van de NIS2 kan boetes tot 10 miljoen euro of twee procent van de wereldwijde jaaromzet tot gevolg hebben. Effectief cyberrisicobeheer is dus essentieel.
Ontdek het digitale aanvalsoppervlak
Als start is het essentieel om te weten welke elementen binnen het gehele IT-ecosysteem gebruikt worden. Voorbeelden zijn werkplekken, servers, netwerken, cloudomgevingen, SaaS-applicaties, maar ook de IoT-omgevingen die aan het IT-domein worden gekoppeld. Al deze elementen vormen het digitale aanvalsoppervlak dat gebruikt kan worden om ongeautoriseerd toegang te krijgen.
Zodra dit digitale aanvalsoppervlak in kaart is gebracht, is het van belang te weten wat de status is van die componenten. Voldoen ze aan het beleid? Welke softwareversies zijn in gebruik? Zitten daar kwetsbaarheden in? En welke modules met zwakheden worden door de applicaties gebruikt? De antwoorden op deze vragen helpen bij het vaststellen van een risicoprofiel voor het volledige IT-ecosysteem.
Cyberrisico’s beoordelen
Om cybersecurityrisico’s in bedrijfsomgevingen onder controle te krijgen moet eerst duidelijk zijn waar deze risico’s potentieel zitten. Zoals altijd moet dit een doorlopend proces zijn waarbij de actuele risico’s inzichtelijk worden. Zo kan een wijziging in een configuratie of het bekend worden van een kwetsbaarheid in een Operating System zorgen dat het risiconiveau hoger wordt. Daarnaast kan gebruikersgedrag veranderen wat een indicatie kan zijn dat het gebruikte account gecompromitteerd is. Al deze informatie kan ertoe leiden dat er, afhankelijk van het risiconiveau, direct actie ondernomen moet worden.
Proactief risico’s beperken
Hoewel het ontdekken en beoordelen van risico’s op het digitale aanvalsoppervlak belangrijk is, zou dit hand in hand moeten gaan met een proactief beleid. Dat kan bestaan uit het actualiseren van de gebruikte software, het actief uitvoeren van “virtual patching”, het aanpassen van configuraties of het uitsluiten van bepaalde systemen of gebruikeraccounts om het risico direct te beperken.
Detection & Response voor een tijdige reactie
Het blijft cruciaal om continu te monitoren of er verdachte activiteiten plaatsvinden, hier accuraat op te reageren en zo vroegtijdig een aanval te stoppen. Als ondanks de proactieve maatregelen een aanval niet opgemerkt wordt, kan je deze nog steeds opvangen met Detection & Response als reactieve oplossing. De kracht van een Detection & Response-oplossing zit enerzijds in het verzamelen van telemetriegegevens vanuit het gehele IT-ecosysteem. Denk hierbij aan werkplekken, servers, cloud & SaaS oplossingen tot het netwerk en de IOT-omgevingen. Anderzijds neem je ook de nodige acties zoals het isoleren van een werkplek om een ransomware aanval te stoppen.
Individuele cyberrisico’s identificeren en aanpakken
Succesvol risicomanagement vereist een continue beoordeling van de huidige situatie. Zelfs kleine veranderingen in het IT-landschap of verschuivingen in de cybercriminaliteit kunnen de risicostatus onverwacht veranderen. Daarom is het belangrijk dat cyberrisicobeheer flexibel genoeg is om te reageren op aanvankelijk onmerkbare nuances. Technologietrends en criminele actoren hebben namelijk één ding gemeen: ze zijn niet statisch.
Bij het beoordelen van risico’s wordt gekeken naar de waarschijnlijkheid van optreden en de potentiële schade. Beide aspecten moeten zorgvuldig worden onderzocht en regelmatig worden aangepast op de individuele bedrijfssituatie. Incidenten zoals Log4Shell tonen aan dat sommige kritieke kwetsbaarheden onmiddellijk aandacht vereisen.
Een statische benadering van risicobeoordeling kan ertoe leiden dat bedrijven niet goed voorbereid zijn op nieuwe uitdagingen. Voor een goede aanpak van risicobeoordelingen is het noodzakelijk om zowel interne beveiligingsinformatie over het aanvalsoppervlak te analyseren als externe beveiligingsdata die informatie verschaffen over actieve hackersgroepen en aanvalspatronen. Een niet-gepatchte oude kwetsbaarheid kan bijvoorbeeld gevaarlijker zijn dan een nieuw ontdekte beveiligingsfout als deze actief wordt uitgebuit.
Het vermogen om individuele risico’s te identificeren en te prioriteren, vormt de kern van het risicobeheer. Om dit vermogen te ontwikkelen is echter ook een technische basis vereist.
Handhaving van NIS2 in de supply chain
Een ander belangrijk onderdeel van de vereiste IT-risicobeoordeling van NIS2, is het beoordelen van de eigen supply chain. Hierbij ligt de nadruk vooral op softwarekoppelingen en de uitwisseling van elektronische data. Hoe nauwer de verbindingen tussen IT-systemen, hoe uitdagender de risicobeoordeling wordt. Maar ook hier gaat het vooral om bestaande best practices die inmiddels stevig worden voorgeschreven.
Als gevolg hiervan zullen getroffen bedrijven beveiligingskwesties steeds meer beschouwen als selectiecriteria voor leveranciers. Deze ontwikkeling is echter niet nieuw: volgens een wereldwijd onderzoek van Trend Micro geeft 71% aan af en toe of regelmatig te worden gevraagd naar hun cyberbeveiligingspraktijken tijdens zakelijke onderhandelingen. Deze trend zal onvermijdelijk gevolgen hebben voor tal van sectoren, waaronder kleinere leveranciers.
NIS2 heeft invloed op alle bedrijven
Bedrijven moeten snel effectief risicobeheer implementeren voordat ze verrast worden door de NIS2-richtlijn die straks omgezet wordt in nationale wetgeving. Het aanpassen van de veiligheidsstrategie voor de lange termijn en het al dan niet aangaan van een partnership met een externe dienstverlener zijn geen projecten waarvan de complexiteit kan worden onderschat. Bovendien verlaagt NIS2 de drempel aanzienlijk, waardoor deze richtlijn in de praktijk op een groot aantal bedrijven van toepassing is. Het is niet raadzaam om erop te vertrouwen dat je wordt vrijgesteld van de nieuwe regelgeving.
Zolang bedrijven nu de eerste stap nemen om te bepalen welke invloed de NIS2-richtlijn op hun organisatie heeft en een plan van aanpak maken, al dan niet ondersteund met partners, zou de nalevering van de NIS2 geen enkel probleem moeten zijn. Hierdoor kunnen organisaties tijdig voorbereid zijn op NIS2 en nog veel belangrijker de continuïteit van hun organisatie tegen cyberrisico’s borgen. En dat is nu precies de doelstelling van NIS2.
Dit is een ingezonden bijdrage van Trend Micro. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.