Hacks kunnen elk bedrijf raken, zorg voor een plan!

Cyberaanvallen en hacks zijn voor ieder bedrijf een risico. In de afgelopen periode hebben we elkaar al eens gesproken tijdens een cybercafe bijeenkomst, waar we ook de verhalen hoorde van lokale ondernemers. Gewoon mensen zoals jij en ik. Dat je geen corporate hoeft te zijn om gehackt te worden werd daar ook wel bewezen. Erken daarom het gevaar, omarm het risico en zorg dat je voorbereid bent. Europese wetgeving en andere partijen, zoals financierders, eisen steeds meer dat je je zaken op orde hebt. Met een aantal relatief eenvoudige stappen is al veel te winnen. Tijd om deze met jullie te delen #superlogisch natuurlijk!

De tijd dat cybersecurityrisico’s alleen nog een probleem waren van grote instellingen is verleden tijd. Iedere organisatie kan onderdeel worden van een cyberaanval. Jouw organisatie dus ook. En zelfs als je beschermende cybersecuritymaatregelen hebt genomen, kan het noodlot alsnog toeslaan. Je systemen kunnen platgelegd worden of je data wordt gegijzeld.

Cyberbeveiliging van organisaties is ook niet langer alleen het domein van technici, maar moet in de gehele organisatie geborgd zijn. Aansprakelijkheid en verantwoordelijkheid liggen namelijk bij de directie en management. Voor veel niet-technici blijft het wel een ontastbaar onderwerp. Meer duidelijke uitleg is nodig over hoe men deze verantwoordelijkheid kan nemen en periodiek kan toetsen. In dit artikel geven we je een aantal tips waarmee je minimaal aan de slag moet als je je bedrijf wilt beschermen tegen cyberaanvallen en ook in de toekomst operationeel wilt blijven.

Risicomanagement gaat voor cybersecurity management

Heb je al inzicht in je cyberrisico’s? We beginnen dus met risicomanagement, dit gaat altijd vooraf aan beveiliging. Je wilt immers bepalen wat je risicobereidheid is. Dat doe je bijvoorbeeld bij brandveiligheid, maar dit is ook belangrijk bij cybersecurity. Met drie eenvoudige stappen bepaal je het risico.

  • tap 1: Het bepalen van bedrijfsdoelen en noodzakelijke informatie/data. – Bepaal waar belangrijke informatie staat die nodig is om een product te produceren of een dienst uit te voeren. Denk hierbij aan: data, assets (gebouwen, kasten, datacenters), applicaties en services.
  • Stap 2: Het bepalen van de oorzaken, risico’s en financiële gevolgen. – Wat kan een risico vormen voor de continuïteit van de organisatie? Wat is de impact in euro’s als het risico zich voordoet?
  • Stap 3: Bepalen van maatregelen. – De vraag die je hierbij kunt stellen is ‘hoe snel weten we dat er een incident heeft plaatsgevonden?’ En ‘hoe snel kan ik mijn CEO of toezichthouder informeren?’ Het duurt gemiddeld 197 dagen voordat een bedrijf weet dat het gehackt is. Soms duurt het drie jaar voordat dit bij toeval wordt ontdekt. Bekijk wat er al geregeld is en wat er aanvullend moet gebeuren om het risico te beperken.

De hierboven genoemde stappen bespreken we ook met klanten van de Rabobank. Het verbaast ons altijd dat ondernemers cybermanagement nog niet in hun organisatie hebben geborgd, aangezien cyberrisico’s alleen maar toenemen. Daarom is het belangrijk dat ondernemers zich bewust zijn van het risico dat ze lopen, dit in kaart brengen en de maatregelen bepalen die ze moeten nemen. Nog voordat we het überhaupt kunnen hebben over cyberveiligheid of het verzekeren van de financiële gevolgen van een cyberaanval.

Het belang van cybersecurity

De Denver post schreef dat 60% van de MKB’ers die gehackt zijn failliet gaat binnen zes maanden na de hack, als gevolg van continuïteitsuitval en geen back-ups, weglopende klanten, hoge herstelkosten en emotionele stress. Bedrijven krijgen te maken met imagoschade, via bijvoorbeeld sociale media, die een sneeuwbaleffect van beschuldigingen kunnen veroorzaken. Voor sommige bedrijven heeft een cyberaanval niet zo’n fatale afloop, maar we zien wel dat het lang kan duren voordat je weer operationeel bent. Het kan drie tot dertien weken duren of zelfs nog langer voordat jij en je medewerkers weer aan het werk kunnen. Denk je eens in dat je bedrijf zo lang platligt. Je loopt hierdoor enorm veel inkomsten mis met alle gevolgen van dien.

Grote organisaties die in de pers zijn gekomen met beveiligingsincidenten zoals ASML, UWV, ING, Yahoo, GemaltoSONYBelastingdienstDiginotarTarget en Universiteit van Maastricht (video) hebben vaak indirect last van beveiligingsincidenten. Degenen die verantwoordelijk – en aansprakelijk – zijn in deze organisaties zijn raden van bestuur en uitvoerende managers. Bestuursleden worstelen met verantwoordelijkheden en aansprakelijkheden op het gebied van informatiebeveiliging en cyberrisico’s.

Dit kan ernstige gevolgen hebben, aangezien zij ook wettelijk aansprakelijk zijn. Bij een cyberincident komt dus ook bestuurdersaansprakelijkheid om de hoek kijken. Dit houdt in dat je als bestuurder aansprakelijk kunt worden gesteld met je privévermogen voor de schade die wordt veroorzaakt door in dit geval een cyberincident. De kosten van een aansprakelijkheidsclaim kunnen flink oplopen. Maar ook als de rechter een claim afwijst, dan brengt dit hoge juridische kosten met zich mee. Als je als bestuurder geen bestuurdersaansprakelijkheidsverzekering hebt, dan draai je persoonlijk op voor schadeclaims en eventuele hoge advocaatkosten.

Eigen verantwoordelijkheid

Maar ook geldverstrekkers (Banken, Private Equity) kijken in toenemende mate naar de cyberweerbaarheid van hun portfolio. Bij fusies en overnames is cyberweerbaarheid steeds vaker een vast onderdeel van het onderzoek, het zogenaamde technical due diligence. Ook  Rabobank is steeds strenger bij het accepteren van nieuwe klanten en het verstrekken van leningen.

Bedrijven zullen hun eigen verantwoordelijkheid moeten nemen door hun cyberveiligheid op orde te hebben. Dit is een doorlopend proces dat periodiek getoetst moet worden. Hierdoor maak je het voor cybercriminelen nu moeilijker om een cyberaanval te plegen, maar zorg je er ook voor dat je in de toekomst operationeel kunt blijven. Je neemt je verantwoordelijkheid in de keten, waardoor je een aantrekkelijke partner blijft om mee samen te werken. Want zeg nou eerlijk: sta jij te springen voor een samenwerking met een partij waarvan je weet dat hun cyberweerbaarheid laag is?

Europese richtlijn aangescherpt

De dreiging van cyberaanvallen neemt steeds verder toe. Om Europa beter te beschermen tegen cyberaanvallen komt er een nieuwe Europese cybersecuritywet: de NIS-2. In Europa geldt momenteel de NIS-1-richtlijn voor essentiële infrastructuren. Met de NIS-2-richtlijn worden de eisen uitgebreid. De nieuwe richtlijn zal voor veel meer bedrijven in verschillende sectoren gaan gelden, ook voor MKB’ers. Bedrijven moeten daardoor voldoen aan hogere eisen en krijgen meer hulp van de overheid, bijvoorbeeld wanneer ze getroffen worden. Indien een bestuurder aantoonbaar nalatig is, kan een boete uitgedeeld worden.

Cybersecurity inrichten die echt werkt: ‘zero trust’

Een recente beweging binnen cybersecurity is zero trust: de meest effectieve cybersecuritystrategie (ook voor het MKB) die onder andere door de Amerikaanse president Joe Biden in de strijd tegen cyberterrorisme en oorlogsvorming verordend wordt. Bij de zero trust-aanpak wordt niets en niemand meer vertrouwd, mits het niet expliciet eerst is geverifieerd op legitimiteit. Ook worden handelingen binnen het netwerk intensief gemonitord en verkeer constant geïnspecteerd op virussen of aanvallen. Deze strategie maakt de organisatie ook weerbaar tegen het per ongeluk onderdeel worden van een aanval. Hackers gebruiken namelijk steeds vaker andermans zwakke systemen om een aanval op te zetten of als hub te gebruiken om ergens binnen te komen.

Effectieve maatregelen die zero trust ondersteunen en die je als bedrijf direct kunt toepassen:

  • Segmenteer – Segmenteer de netwerkomgeving (e-mail, boekhoudpakket, CRM, etc. allemaal los van elkaar) en koppelingen naar binnen en buiten. Begin met de sleutelkast: bij veel bedrijven de ActiveDirectory waar alle gebruikers, rechten, etc. zijn opgeslagen. In nagenoeg alle hacks blijkt deze niet afgeschermd te zijn en eenvoudig toegankelijk voor hackers.
  • Automatisch patchen van software. – Patchen is het bijwerken van software naar een verbeterde versie die beschermt tegen (bekende) kwetsbaarheden.
  • Maken van back-ups. – Dit klinkt als een open deur maar is bij veel bedrijven die gehackt waren de ultieme redding gebleken. Test regelmatig of alles nog werkt en data ook daadwerkelijk teruggezet kunnen worden.
  • Multi Factor Authenticatie (MFA). – Gebruik een systeem, bijvoorbeeld Google Authenticator, waarbij toegang tot een systeem extra wordt geverifieerd op het niveau van de gebruiker en zijn of haar apparaat.
  • Bewaking en alarmering. – Net als bij een fysiek gebouw of bedrijventerrein is constante bewaking op ongenode gasten heel effectief gebleken om schade te beperken, maar ook als bewijslast voor de verzekering of bij rechtsvervolging. Deze zogeheten Managed Detection and Response kan vaak belegd worden bij een gespecialiseerde partij. Dergelijke dienstverlening gaat onder NIS-2 nog prominenter worden omdat men vlot over events/incidenten moet kunnen rapporteren.
  • Incident Response plan. – Maak een stappenplan waarin vastgelegd  is wat er moet gebeuren in het geval van een cybersecurity-incident. Door dit met een professionele partij te doen, weet je zeker dat je in het geval van een hack snel en effectief kunt handelen om de impact te verkleinen. Ook dit is een harde eis onder NIS-2.

Helaas doen veel bedrijven geen aangifte na een cyberaanval, ook al is het een online misdaad. Organisaties zijn vaak terughoudend vanwege schaamte of de onnodige last van een onderzoek. Toch adviseren we bedrijven om altijd aangifte te doen bij relevante instanties, zodat de autoriteiten een onderzoek kunnen starten. Daarnaast is het belangrijk om te analyseren wat er gebeurd is en in het openbaar te delen wat er te leren valt. Op deze manier kunnen organisaties elkaar verder helpen in het vergroten van de cyberweerbaarheid in de gehele keten.

Bron van het artikel (emerce).

Analyst ICT kan je hiermee helpen. Wij gaan graag het gesprek aan, helpen je een plan in elkaar te zetten en zelfs het samen testen van je cyberveiligheid behoort tot de mogelijkheden. Benieuwd? Neem contact op!

Laatste blogs

windows 10
Blog
Microsoft Adviseert Windows 10-gebruikers: Tijd voor een Nieuwe PC
In een recente aankondiging heeft Microsoft Windows 10-gebruikers geadviseerd om een nieuwe pc aan te schaffen als ze willen overstappen naar Windows 11. Maar is dit een superlogisch advies? Wij vroegen het ons af en hebben voor jullie het antwoord in dit blog. Dit advies komt niet geheel onverwacht, gezien de strenge hardware-eisen van Windows 11, waaronder de verplichte ondersteuning voor TPM 2.01. Waarom een Nieuwe PC? Microsoft heeft lange tijd geprobeerd gebruikers soepel te laten overstappen van Windows 10 naar Windows 11. Echter, met de naderende einddatum voor Windows 10-ondersteuning op 14 oktober 2025, wordt de overgang minder eenvoudig.…
Office 2024
Blog
Office 2024 voor consumenten Beschikbaar vanaf 1 oktober
Microsoft kondigt de release aan van Office 2024, beschikbaar vanaf 1 oktober 2024, voor consumenten en kleine bedrijven. Dit is een ideale oplossing voor gebruikers die liever een eenmalige aankoop doen in plaats van een abonnement op Microsoft 365. Office 2024 biedt nieuwe versies van de vertrouwde productiviteitsapps, waaronder Word, Excel, PowerPoint, OneNote, en Outlook, beschikbaar voor zowel pc als Mac. Microsoft Office 2024 Verbeterde prestaties en snelheid Een van de belangrijkste verbeteringen in Office 2024 is de focus op betere prestaties en snelheid. De zoekfunctie in Outlook is verder verfijnd om snellere en relevantere resultaten te bieden voor e-mails,…
copilot
Blog
Introductie van Microsoft Copilot Studio en nieuwe functies in Copilot voor Microsoft 365
Op Microsoft Ignite 2023 kondigen we nieuwe innovaties aan voor Microsoft Copilot—één copilot-ervaring die werkt op al onze platforms, waarbij je context op het web, op je pc en op je werk wordt begrepen om de juiste vaardigheden naar je toe te brengen wanneer je ze nodig hebt, zowel op werk als in je privéleven. Microsoft is het Copilot-bedrijf. En binnenkort zal er een Copilot zijn voor iedereen en voor alles wat je doet. Op 1 november 2023 werd Copilot voor Microsoft 365 algemeen beschikbaar voor ondernemingen, en nu al vertrouwen klanten zoals Visa, BP, Honda, Pfizer en Chevron, evenals…

Een nieuwsbrief

Superlogisch toch?