Waarom morgen jouw bedrijfsdata op straat ligt Voorkom het met deze 3 stappen

Transcriptie

1 Waarom morgen jouw bedrijfsdata op straat ligt Voorkom het met deze 3 stappen In samenwerking met

2 Introductie Cybercriminaliteit neemt toe en richt jaarlijks voor miljarden schade aan. Meestal zijn gebrekkige beveiliging en laksheid bij het doorvoeren van updates de boosdoeners. 1.1 De toenemende cyberdreiging Het volume van cyberaanvallen en de schade die ze aanrichten is de laatste jaren sterk toegenomen. Dagelijks zijn overheden, bedrijven en organisaties doelwit van cybercriminelen die steeds professioneler en creatiever worden in het bedenken van methoden om in te breken in onze mobiele apparaten, computers en bedrijfsnetwerken. Uit cijfers van Deloitte blijkt dat cybercriminaliteit Nederlandse bedrijven een jaarlijkse schadepost oplevert van 10 miljard euro. Het gaat dan niet alleen om het verdwijnen van geld, maar ook om het verlies van intellectueel eigendom, marktaandeel en schade door het vrijkomen van privacygevoelige data. Medio 2017 richtte hackaanval Petya voor miljoenen schade aan, ook in Nederland. Het gijzelvirus vergrendelde onder meer de systemen van containerterminal APM en pakketbezorger TNT Express, die daardoor kampten met dagenlange vertragingen. Ook bedrijven als MSD, Raab Karcher en BNP Paribas werden getroffen en konden lange tijd hun klanten niet bedienen. Dat Petya zoveel slachtoffers kon maken, was te wijten aan gebrekkige beveiliging van ICT-systemen en het feit dat die niet voorzien waren van de laatste patches en software-updates. Criminaliteit richt zich op lekke systemen en apps ICT en digitalisering hebben het afgelopen decennium veel opgeleverd op het gebied van productiviteit en kostenbesparing. Bedrijven die grotendeels digitaal werken, zijn echter aantrekkelijke doelwitten voor cybercriminelen. Kwaadwillenden hoeven immers niet meer fysiek aanwezig te zijn om in te breken en bedrijfsgeheimen te stelen. Goede cybersecurity is essentieel voor het voorspellen en voorkomen van beveiligingsincidenten, het detecteren van bedreigingen en het treffen van de juiste (voorzorgs) maatregelen om deze te neutraliseren. 1.2 (On)bekende kwetsbaarheden Petya is niet het enige recente voorbeeld van een hackaanval met veel slachtoffers. Eerder in 2017 besmette een uitbraak van de WannaCry-ransomware meer dan computers in 150 landen. Ook toen werden grote organisaties lamgelegd, waaronder de Britse National Health Service, Deutsche Bahn en het Spaanse telecommunicatiebedrijf Telefónica. De aanval maakte gebruik van een kwetsbaarheid in de implementatie van een protocol voor het delen van bestanden op een Windowsnetwerk. Daardoor kon een besmette computer het virus doorgeven aan andere systemen in het netwerk, die op hun beurt weer andere computers infecteerden. Een wrange constatering is dat de kwetsbaarheid bekend was. Microsoft bracht twee maanden eerder een beveiligingspatch uit, maar die was op veel systemen nog niet doorgevoerd. Uit een recent Security Intelligence Report (eveneens van Microsoft) blijkt dat niet alleen besturingssystemen kwetsbaarheden bevatten, maar ook andere lagen als de webbrowser en (bedrijfs) applicaties regelmatig lek zijn. Vooral die laatste laag is een aantrekkelijk doelwit voor cybercriminelen, zeker als deze slecht wordt onderhouden. 2

3 Het belang van cybersecurity Het belang van cybersecurity in ons land wordt nog steeds onderschat. En dat terwijl beveiligingsincidenten de bedrijfsvoering ernstig in de war kunnen schoppen. 2.1 Digitale zorgplicht Ervaring leert dat cybercriminelen maar één ingang of lek systeem nodig hebben om volledige toegang tot een bedrijfsnetwerk te krijgen. Het doorvoeren van patches is soms complex, omdat het computersystemen (tijdelijk) kan stilleggen. Dat is onwenselijk als gewerkt wordt in een omgeving waar systemen altijd beschikbaar moeten zijn, zoals in ziekenhuizen of bij de politie. Elke organisatie heeft echter een zorgplicht om zijn cybersecurity op orde te hebben. Complexiteit mag dan ook geen reden zijn om patches en updates te negeren. De voorbeelden van de containerterminal en het ziekenhuis tonen aan dat gepland onderhoud altijd beter is dan het oplossen van verstoringen die voorkomen hadden kunnen worden. Het helpt om hierbij een geïntegreerde, holistische aanpak van cybersecurity te hebben. Dat wil zeggen, één centrale omgeving van waaruit de verschillende losse security-oplossingen worden gemonitord en beheerd. Nederland is een aantrekkelijk doelwit voor cybercriminelen Elk bedrijf heeft de plicht om zijn cybersecurity op orde te hebben Bedrijven moeten zich daarnaast realiseren dat Nederland door de hoge internetdichtheid en automatiseringsgraad een aantrekkelijk doelwit voor cybercrime is. Ons land staat zelfs in de top vier van landen die de meeste cyberaanvallen te verwerken krijgen. Vooral zorg- en onderwijsinstellingen lopen risico slachtoffer te worden, al bedreigen de talloze aanvallen ook de operationele continuïteit van andere organisaties. Toch worden de risico s en gevolgen van cybercrime in ons land onderschat en ontbreekt bij veel organisaties kennis over veelgebruikte hackingmethoden en hoe je je daartegen beschermt. Het is daarom van belang dat cybersecurity op de agenda van de boardroom komt. Cybersecurity is de verantwoordelijkheid van het bestuur of - in het geval van kleinere organisaties - de directeur. Het vereist urgentie, niet alleen vanwege de strengere wetgeving rondom de verwerking van persoonsgegevens, maar ook omdat beveiligingsincidenten de eigen bedrijfsvoering en die van partners en klanten grondig kan verstoren. Organisaties die expertise op dit vlak missen, doen er goed aan om de hulp van externe adviseurs in te schakelen. 3

4 2.2 Hacks ontdekken Recente hackaanvallen en de schade die ze hebben aangericht, onderschrijven het belang van cybersecurity. Dat een virus als WannaCry ziekenhuizen en parkeergarages platlegt is al levensgevaarlijk. Cybercriminelen hebben inmiddels ook hun zinnen gezet op vitale infrastructuren, zoals hulpdiensten, banken en onze drinkwatervoorziening. Met grote economische, fysieke en sociaal maatschappelijke gevolgen van dien. De cyberaanvallen die de afgelopen tijd plaatsvonden, werden breed uitgemeten in de media. Zo was er veel aandacht voor ransomware, mede omdat bij zo n aanval de gevolgen vrij snel zichtbaar zijn. Het is een dreiging die snel veel schade aanricht en daardoor een zekere bekendheid geniet. Daardoor is vaak duidelijk is welke opvolgacties nodig zijn. Bedrijfsspionage is een ander geval. Uit onderzoek van HP uit 2014 blijkt dat veel systeemhacks pas na gemiddeld 170 dagen worden ontdekt. Dan gaat het vooral om besmettingen met een laag volume die lang onder de radar blijven, omdat ze zich op slechts één slachtoffer richten. Deze vormen van cybercrime vinden plaats doordat een medewerker op een malafide link of bijlage klikt (of daartoe wordt verleid), of gebruikmaakt van een systeem dat onvoldoende is beveiligd en/of een achterdeurtje bevat. Omdat er gemiddeld na ontdekking 45 dagen nodig is om een hack te herstellen, is de kans dat gevoelige bedrijfsdata weggesijpelt enorm. Een derde van de bedrijven die in 2016 te maken kreeg met datalekken, verloor meer dan 20 procent van hun omzet, zo valt te lezen in het Annual Cybersecurity Report van Cisco. Dat kan ook leiden tot winstwaarschuwingen en verlies van beurswaarde. Bedrijven en overheden worden dan ook steeds meer doordrongen van het belang van een goede beveiliging van de digitale infrastructuur. 4

5 Voorzorgsmaatregelen Bedrijven kunnen zich nooit volledig beschermen tegen elke cyberdreiging. Wel kunnen ze zorgen dat de basis in orde is en leren van incidenten uit het verleden. Bijvoorbeeld door updates en patches tijdig door te voeren en door kritisch te kijken naar welke toegang personen binnen de organisatie hebben, en in hoeverre dat geoorloofd is. Experts adviseren elke organisatie om in ieder geval de volgende preventieve maatregelen te nemen. 3.1 Technische maatregelen 1. Zorg dat updates en patches tijdig worden doorgevoerd. Verouderde en slecht beveiligde systemen zijn het laaghangend fruit waar cybercriminelen zich graag op richten. 2. Wees kritisch op de rechten die aan medewerkers worden toegewezen. Met behulp van Identity & Access Management (IAM) wordt binnen de IT-omgeving geregeld dat de juiste individuen toegang hebben tot de juiste bronnen, op het juiste moment en om de juiste redenen. Zeker in branches waar strenge eisen worden gesteld aan security en waar gewerkt wordt in de cloud en/of met BYOD-apparatuur, is IAM een oplossing. 3. Werk met regelmatige back-ups. Zo wordt dataverlies voorkomen, omdat na een aanval een reservekopie van een moment vóór de infectie is terug te zetten. Dit is een effectieve stap om de schade na bijvoorbeeld een ransomware-aanval te beperken. Verplicht medewerkers om hun zakelijke apparatuur goed te beveiligen Back-ups beperken de schade van ransomwareaanvallen. 4. Neem netwerksegmentatie en firewalling-maatregelen, zodat een deel van het bedrijfsnetwerk bij een virusuitbraak kan worden afgesloten. Segmentatie maakt het netwerk gedistribueerd, complexer en daarmee stukken veiliger. 5. Voorkom dat controlesystemen direct in verbinding staan met externe netwerken of andere, met internet verbonden systemen. Cybercriminelen kunnen ook indirecte verbindingen gebruiken om zich toegang te verschaffen. 6. Zorg dat beveiliging een speerpunt binnen de organisatie is. Alle zakelijke devices dus ook persoonlijke laptops en telefoons moeten beschikken over gedegen beveiliging. Van een up-to-date besturingssysteem en virusscanner tot lastig te kraken wachtwoorden en encryptie (met een tool als Bitlocker). Verplicht medewerkers om gebruik te maken van tweestaps authenticatie en VPN om met het bedrijfsnetwerk te verbinden. 5

6 Zorg dat de cyberkennis binnen de organisatie op niveau is 3.2 Menselijke maatregelen 1. Creëer bewustwording bij medewerkers over (het belang van) informatiebeveiliging. Iedere keer dat data wordt opgeslagen of gedeeld via een slecht beveiligde usb-stick, laptop of mobiel device, loopt de organisatie risico. Hetzelfde geldt als een medewerker met zijn zakelijke device inlogt op een openbaar, onbeveiligd wifi-netwerk. 2. Geef medewerkers een security awareness training, zodat hun cyberkennis op orde is en ze in staat zijn om phishing en verdachte bijlagen in mails te herkennen. Maak ze bekend met de wijze waarop cybercriminelen denken en handelen. Geef ze daarnaast de ruimte om elkaar aan te spreken op onveilig gedrag. 3.3 Security Operations Center Naast het treffen van deze maatregelen is het zaak dat organisaties een geïntegreerde securityaanpak ontwikkelen. Een Security Operations Center (SOC) helpt daarbij. De beveiligingsspecialisten van het SOC houden 24/7 de systemen en netwerken in de gaten. Verdachte activiteiten, zoals hackpogingen, datalekken en virusbesmettingen, kunnen daardoor gedetecteerd en onderzocht worden. Indien nodig worden incidenten gerapporteerd en worden aanbevelingen gedaan om de dreiging te neutraliseren en vergelijkbare aanvallen in de toekomst te voorkomen. De monitoring van het SOC zorgt voor incident readiness en maakt het mogelijk om snel en adequaat op beveiligingsincidenten te reageren. Een Security Operations Center is zelf in te regelen of (deels) uit te besteden. Houd er rekening mee dat zelf doen de nodige investeringen vereist, onder meer bij het aantrekken van security-talent. Dit is geen taak die de bestaande IT-afdeling er even bij doet. Er is specifieke tooling, kennis en kunde nodig om continu dreigingen te analyseren en de risico s van meldingen in te schatten. De security professionals in het Security Operations Center van clouddienstprovider Proact verwerken bijvoorbeeld dagelijks 250 miljoen logs. 3. Maak afspraken en leg vast dat vertrouwelijke informatie niet zomaar per mail of chat mag worden verstuurd, alleen persoonlijk of versleuteld. 4. Stel een aantal ambassadeurs binnen de organisatie aan die het belang van informatiebeveiliging onder de aandacht blijven brengen. 5. Benadruk het belang van samenwerking. Heeft een medewerker het idee dat iets niet in de haak is, dan moet hij weten tot welke (ICT) manager hij zich kan wenden. Die moet op zijn beurt de melding opvolgen, zodat de medewerker zich gehoord voelt. Met een SOC kunnen bedrijven adequaat op incidenten reageren 6

7 Organisaties hebben baat bij een geïntegreerde securityaanpak 7

8 Cybersecurity en wetgeving Cybersecurity en wetgeving gaan hand in hand. Veel bedrijven verwerken (onbewust) persoonsgegevens en moeten naar hun beveiliging én de scherpere privacywetten kijken. 4.1 Nieuwe privacywetgeving Iedere organisatie heeft zorgplichten op het gebied van cybersecurity, ook als ICT slechts een ondersteunende rol speelt. Sommige bedrijven zijn van mening dat cybersecurity geen aandacht behoeft, omdat er binnen de organisatie niets bijzonders met computers wordt gedaan. Ze claimen geen persoonsgegevens te verwerken, terwijl ze wel een personeelsbestand bijhouden met de namen, adressen en contactgegevens van medewerkers. Wordt dat gestolen, dan kan dat aanleiding zijn voor een melding bij de Autoriteit Persoonsgegevens (AP). Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht. Daarmee geldt in heel Europa dezelfde privacywetgeving, die de AP in staat stelt om forse boetes (tot maar liefst 4 procent van de jaaromzet of 20 miljoen euro) uit te delen aan bedrijven die zich niet aan de regels houden. De AVG vereist dat bedrijven die persoonsgegevens van Europeanen verwerken, vastleggen welke data ze verwerken, met welk doel, waar data vandaan komt en met wie deze wordt gedeeld. Burgers kunnen op hun beurt gemakkelijker inzage vragen in opgeslagen data, toestemming intrekken, klachten indienen en gebruikmaken van het recht om vergeten te worden. Daarnaast hebben ze het recht om de persoonsgegevens te ontvangen die een organisatie van ze heeft. Onder de AVG zijn verplichtingen die eerder alleen voor de verantwoordelijke golden, waaronder de beveiligingsverplichtingen, ook rechtstreeks van toepassing op bewerkers. De AP heeft een stappenplan opgesteld dat bedrijven helpt compliant te worden (en te blijven). Schending van de Europese privacywetgeving levert forse boetes op 4.2 Security- en privacy-by-design De Autoriteit Persoonsgegevens geeft daarnaast advies over de invulling van de zorgplichten. Zo moeten bedrijven rekening houden met cybersecurity vóórdat er wordt begonnen met de verwerking van de persoonsgegevens. In de AVG worden specifiek de begrippen security by design en privacy by design benoemd. Dat eerste houdt in dat bedrijven die producten of diensten ontwikkelen vanaf de start moeten nadenken hoe de beveiliging van gegevens wordt ingebouwd. Privacy by design betekent dat er al bij de ontwikkeling van producten en diensten aandacht moet zijn voor privacy. Is het voor de functionaliteit echt nodig om persoonsgegevens te verwerken of kan er ook gewerkt worden met volledig geanonimiseerde gegevens? Privacy by design houdt in dat persoonsgegevens standaard niet openbaar zichtbaar zijn of gedeeld mogen worden, behalve als de gebruiker daar expliciet toestemming voor geeft. Bedrijven die willen controleren of hun organisatie voldoende privacybeschermende maatregelen heeft genomen, kunnen bijvoorbeeld de Privacy Starter van USG Legal en Proact gebruiken. 8

9 Samenvatting Elke organisatie die zijn cybersecurity niet op orde heeft, loopt het risico op datalekken en storingen die de bedrijfscontinuïteit bedreigen. Recente cyberaanvallen tonen aan hoe snel het mis kan gaan en dat de oorzaak vaak ligt bij slechte beveiliging en een roekeloze omgang met gevoelige gegevens. Naast de bekende aanvallen, valt ook de schade van hacks met een lager volume niet te ontkennen. Neem bijvoorbeeld bedrijfsspionage, dat lastig is te ontdekken en ervoor kan zorgen dat een bedrijf zijn concurrerende positie verliest. Hoewel bedrijfs-ict onmogelijk tegen elke dreiging is te beschermen, zijn er diverse technische en menselijke maatregelen die genomen kunnen worden om cybersecurity op orde te krijgen. Zorg dat tijdens het volgende overleg in ieder geval de volgende vijf vragen worden gesteld: Is beveiliging een speerpunt binnen de organisatie? Werken we met regelmatige back-ups? Is Identity & Access management (IAM) ingericht? Creëren we voldoende bewustwording bij de medewerkers over het belang van informatiebeveiliging? Hebben we een security operations center? Veel maatregelen zijn met de Europese privacywetgeving AVG zelfs verplicht. Elk bedrijf moet security en privacy by design hanteren en zijn zorgplichten op het gebied van cybersecurity nakomen. Dat kan echter alleen als cybersecurity een speerpunt binnen de organisatie is, en wanneer er voldoende awareness is over actuele cyberdreigingen en wat daarvan de gevolgen kunnen zijn. Colofon Dit is een uitgave van MT MediaGroep BV in samenwerking met Proact Redactie Gijs Ettes, redactie Management Team Copyright Niets uit deze uitgave mag worden overgenomen en/of op enigerlei wijze worden gereproduceerd zonder toestemming van MT MediaGroep BV en Proact Over Proact: Proact helpt bedrijven bij cybersecurity uitdagingen door flexibele, toegankelijke en veilige IT-oplossingen te bieden. Meer weten? Oktober