Beveiliging van digitale omgeving sluit niet aan bij de bedreigingen Helft van alle bedrijven is op dit moment gehackt

Vergelijkbare documenten
Help, mijn datacenter is gehackt! KPN Security Services / Han Pieterse

CYBER SECURITY MONITORING

De Moderne Werkplek. Een sterke basis voor elke organisatie die klaar wil zijn voor de toekomst

ESET NEDERLAND SECURITY SERVICES PREDICTION

De IT en infrastructuur direct weer up-and-running na een incident

Informatiebeveiliging voor gemeenten: een helder stappenplan

Productopbouw. BrainCap levert cybersecurityoplossingen in 3 stappen.

5W Security Improvement

WHO NEEDS ENEMIES WAAR DIENT U OP TE LETTEN? De BrainCheck is o.a.

De Nationaal Coördinator Terrorismebestrijding en Veiligheid

DIGITALE VEILIGHEIDSCHECK MKB


Security Assessment. Laat uw bedrijfsbeveiliging grondig testen

Cybersecuritybeeld Nederland 2016 Vier opvallende ontwikkelingen uit het CSBN 2016:

Digitale Veiligheid 3.0

Sr. Security Specialist bij SecureLabs

Beveilig klanten, transformeer jezelf

IBM; dataopslag; storage; infrastructuur; analytics; architectuur; big data

1. Inhoudsopgave.

KLANTCASE FINEXT. Wat was de reden voor Finext om hulp bij hun ICT/ beveiliging in te schakelen?

Digitale Veiligheid 3.0

NEXT LEVEL DATA SECURITY DRIE VOORDELEN VAN WERKEN IN DE CLOUD

Gebruikersdag Vialis Digitale Veiligheid

Staat u wel eens stil bij de datarisico s die u loopt? verzekering bedrijfsrisico hypotheek pensioen

Over ICT Concept. alles voor elkaar. Direct Contact

Nederlands Cyber Collectief CYBER ADVIES

turning data into profit knowhowmarketing

CYBERSECURITY HEALTH CHECK - MIDDELGROTE BEDRIJVEN -

acy priv eigen huis magazine okt 2018

De ontwikkeling van cyber in Wat is er uitgekomen van onze voorspellingen?

VAN ZAKKENROLLER TOT CYBER CRIMINEEL

Beveiligingsmaatregelen voor een doeltreffende Cyber verdediging

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag

Cybersecurity in het MKB

Als wij nu de systemen dicht zetten, waar zeg ik dan ja tegen?

Cyber Security: hoe verder?

etouradres Postbus EA Den Haag Directie Democratie en Burgerschap oorzitter van de Tweede Kamer der Staten-Generaal

Factsheet Penetratietest Informatievoorziening

RAZENDSNEL VAN IT STARTER TOT CYBER SECURITY SPECIALIST?

In jouw schoenen. Een praktische invulling van informatiebeveiliging

WHITEPAPER. Security Assessment. Neem uw security serieus en breng het tot een hoger niveau. networking4all.com / whitepaper / security assessments

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN?

Je bent zichtbaarder dan je denkt Een programma over cyber security awareness. Informatie voor managers

DE 5 VERBETERPUNTEN VAN UW SECURITY

Zorgeloze ICT, alles voor elkaar

Bijlage VMBO-GL en TL

Welkom op dit symposium met de pakkende titel Cybercrime, de digitale vijand voor ons allen.

IT Security in de industrie

MEER CONTROLE, MEER BEVEILIGING. Business Suite

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus EA DEN HAAG. Datum 23 januari 2017 Beantwoording Kamervragen

Sebyde Web Applicatie Security Scan. 7 Januari 2014

De Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA DEN HAAG. Datum 6 juli 2016 Betreft Kamervragen. Geachte voorzitter,

HOE EXACT ACCOUNTANTS HELPT GROEIEN.

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

Is er een standaard oplossing voor Cyber Security?

Volledig in control met uw informatiebeveiliging?

Meldingen Cijfers over meldingen aan CERT.be

Nederlands Cyber Collectief CYBER ADVIES

Kennissessie Information Security

Industrie 4.0 en Cybersecurity. Ontwikkelingen en trends die de sector in 2019 zullen beïnvloeden

Infosessie Cybersecurity Prevor-dag Vorselaar. Bert Bleukx

SCAN UW NETWERK SECURITY. Krijg een helder beeld van de kwetsbaarheden en voorkom schade

Beveiliging en bescherming privacy

ALLIANZ CYBERVERZEKERING

Dreigmail t.o.v. universiteit. Leiden Midden Henk van der Veek

Unified Enterprise Security wordt geleverd door onze strategische partner Masergy, de wereldspeler in global communications en security.

INNOVEREN VOOR EEN VEILIGE EN VEERKRACHTIGE CYBERSPACE

NORTHWAVE Intelligent Security Operations

EVEN EEN BACK-UPJE MAKEN. SIMPEL TOCH?

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Datalekken (en privacy!)

Werkplekbeveiliging in de praktijk

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services

De transitie van een omvangrijk contract van KPN

De Voorzitter van de Tweede Kamer der Staten Generaal Binnenhof AA 's-gravenhage

INFORMATIEBEVEILIGING VOOR WEBWINKELS

SECURITY RAPPORTAGE 2016 Versie: Auteur: Matthijs Dessing Aantal pagina s: 7

Cyber security. Het nieuwe wereldprobleem? Erik Poll Digital Security

Agenda. De Cyberwereld. - Cybercrime en Cyber Security - Veilig Zakelijk Internetten. Allianz Cyber

Partners in Information Security. Partners in Information Security. Peter Rietveld. DDoS in perspectief

Building Automation Security The Cyber security landscape, current trends and developments

bedrijfsbrochure maak kennis met iunxi

Profiteer maximaal van de contractvoordelen of gemaakte contractafspraken. Contract Management

Security Testing. Omdat elk systeem anderis

De meldplicht datalekken. Aleid Wolfsen, Utrecht, 11 oktober 2016

Cybersecurity in het MKB moet beter. Ondernemers zijn matig beveiligd terwijl cybercriminaliteit groeit

Acronis lanceert Backup 12

Schoolbeleid gewenst gedrag van Eenbes Basisschool De Wentelwiek

Samen werken aan de mooiste database

!! Het!nieuwe!digitale!zakkenrollen!!!

Innovatie in een veranderd risicolandschap

Mobiel, klantgerichter en veilig werken in de retail

0.1 Opzet Marijn van Schoote 4 januari 2016

DELTA AUTOMATISERING EN ESET VERBONDEN DOOR ENTHOUSIASME

Onderwijs en cyber security

Ik neem u graag mee in een zoektocht naar de bron van datalekken, aan de hand van voorbeelden uit de praktijk. Ik werk namelijk bij SIG en daar

NEXT LEVEL DATA TRUST VOOR HET MKB DE 3 REDENEN WAAROM WERKEN IN DE CLOUD UW BEDRIJF VOORUITHELPT

Doeltreffende CRM

Transcriptie:

Beveiliging van digitale omgeving sluit niet aan bij de bedreigingen Helft van alle bedrijven is op dit moment gehackt Tekst Monique Harmsen Fotografie Eric Fecken 34 CFO MAGAZINE 3 2016

Guido Dubbeld, CFO Eneco en Menno van der Marel oprichter Fox-IT CFO MAGAZINE 3 2016 35

Finance & IT Cybercriminaliteit is een van de snelst groeiende vormen van criminaliteit. Hoewel de dreiging groot en actueel is, zijn er maar weinig bedrijven die profactief, voordat ze gehackt zijn, een plan van aanpak voor de beveiliging opstellen. Op dit moment is ongeveer 50 procent van de bedrijven gehackt zonder dat ze dat weten, stelt Menno van der Marel, medeoprichter van Fox- IT, specialist in cybersecurity. In een gesprek tussen Van der Marel en Guido Dubbeld, CFO van Eneco, worden de bedreigingen besproken en de manier waarop Eneco hiermee omgaat. Eneco is volgens Van der Marel een goed voorbeeld van een onderneming die in de loop van de tijd steeds digitaler is geworden en tijdig heeft ingezien dat hiermee de digitale dreiging ook groter wordt en de beveiliging hierop heeft aangepast. Hierin is het bedrijf volgens hem een uitzondering. Over het algemeen investeren bedrijven volgens hem weliswaar in beveiliging, maar dat sluit vaak niet aan op de dreigingen van dit moment. Risico s die CFO s op andere gebieden lopen zijn vaak al jarenlang bekend en daarvan snapt men tot in detail wat er gebeurt. Aan de cyberkant verandert de dreiging echter elke maand. Als voorbeeld noemt hij een DDoS-aanval waarbij gebruik werd gemaakt van het Internet of Things om duizenden beveiligingscamera s en digitale videorecorders een aanval te laten uitvoeren op een essentiële server waardoor sites als Netflix, Twitter en Spotify moeilijk of niet bereikbaar waren. De verwachting was dat dit een keer zou gebeuren, maar nu is het echt zo ver en dan wordt het tien keer zo serieus genomen. Het grootste risico van dit moment is volgens Van der Marel dat mensen zich niet realiseren dat hun onderneming gehackt is. Het duurt heel erg lang, gemiddeld zo n 200 dagen, voordat bedrijven door hebben dat ze gehackt zijn. Intussen hebben criminelen vrij spel. Bij Eneco zijn we hier alert en bewust mee bezig, stelt Dubbeld. Als energiebedrijf hebben we een hele goede crisisorganisatie. We zijn een enorme brandweerorganisatie van origine. Als de elektra uitvalt of een gaspijp wordt Het duurt heel erg lang, gemiddeld zo n 200 dagen, voordat bedrijven door hebben dat ze gehackt zijn. Intussen hebben criminelen vrij spel doorboord rukt de brandweer uit om het binnen no time te fixen. Het punt is die dingen kun je zien. We oefenen veel met: wat als? Cases die draaien om business continuity en te maken hebben met IT blijken verreweg het moeilijkst. Heel veel vragen kun je niet beantwoorden. Wie ga je bellen als je IT-systeem uitvalt? Het is de spijker op de kop, stelt Van der Marel. We kunnen fysiek heel snel zien of er iets mis is. Zo hebben we een balie in ons kantoor die toegankelijk is, maar we zorgen ervoor dat de rest van het gebouw is afgesloten. Je weet wie er naar binnen gaat en wie naar buiten. Nu is ook de IT-infrastructuur een cruciaal onderdeel van onze organisaties geworden, maar we zijn vergeten de digitale ogen erbij te creëren. Daardoor weten we vaak niet of er digitaal iets mis is. Het is in principe niet heel moeilijk om te zien, maar er wordt gewoon niet gekeken. Bewustwording Bij Eneco houdt een klein team zich volledig bezig met cybersecurity. Zij doen volgens Dubbeld veel preventief werk zoals het stimuleren van de bewustwording onder de 7000 medewerkers. Af en toe laten we bewust enkele USBsticks slingeren en kijken wat er dan gebeurt, onze mensen moeten ook ieder jaar een test doen om de awareness te meten en te stimuleren. Aan de andere kant zijn onze IT ers constant bezig om de beveiliging naar een hoger plan te brengen. Dat doen ze met partners om de juiste competenties bij elkaar te brengen en door goede afspraken over veiligheid met leveranciers te maken. Deze afspraken worden gemonitord en indien nodig worden hier weer verbeterprotocollen opgezet. Het is een dynamisch proces en daar moet je continu mee bezig zijn want de wereld wordt steeds slimmer. Van der Marel beaamt dat securitybewustzijn en de koppeling hiervan aan de business erg belangrijk is. Bedrijfsonderdelen worden steeds meer digitaal verbonden. Het is belangrijk om periodiek te inventariseren welke IT-componenten echt belangrijk zijn voor de business. Er wordt veel gedaan om de gewone zakelijke omgeving veiliger te krijgen, maar voor het productieproces dat eigenlijk uit vergelijkbare componenten bestaat, is minder aandacht. Dit terwijl een individuele werkplek die wordt gehackt meestal veel minder impact heeft dan een hack in het productieproces dat hierdoor plat gaat. Op een hoger niveau in de organisatie moeten mensen zich goed realiseren wat dat voor een invloed heeft op de business. Bedrijven zijn heel goed in het pakken van digitale kansen, alles moet sneller en efficiënter, maar tegelijkertijd hoor je ook de digitale risico s te minimaliseren. Je moet als CFO weten welke impact digitale aanvallen kunnen hebben op je primaire processen en op basis daarvan maatregelen nemen. 36 CFO MAGAZINE 3 2016

Finance & IT Menno van der Marel In Frankrijk en Noorwegen zijn al energieplants down gegaan door aanvallen van buitenaf en Dubbeld vraagt zich af hoe je je daartegen kunt wapenen in een omgeving waarin sprake is van steeds meer connectiviteit. In onze wereld zie je de digitalisering van klantbediening en het steeds meer op afstand aansturen van onze fabrieken en gasopslag. Dat zijn allemaal verbindingen. Van der Marel tipt: Ga er bij de inrichting van je bedrijf vanuit dat je al gehackt bent of gaat worden en ga met dat in het achterhoofd aan de slag. Dat is een andere manier dan zeggen: ik ga eens rustig kijken hoe ik me ga beveiligen. Tijdig signaleren Dubbeld: Op het moment dat er iets gebeurt pas je je beleid weer aan. Zeker in de IT, waar men vaak snel dingen wil ontwikkelen, vindt men corporate regels, waarbij we stellen dat we met twee leveranciers werken om data op te slaan en infrastructuur te bestellen, lastig. Toen in 2012 een backup server van een dochteronderneming werd gehackt en er meetdata op straat kwam te liggen, hebben we geïnventariseerd waar die data zat. Buiten onze twee vaste leveranciers bleek het een lijst van adressen die twee A4- tjes besloeg. In de drang om snel afspraken te maken, is niet gelet op veiligheidsafspraken. Je moet goede afspraken maken en erop kunnen vertrouwen dat die leverancier dat levert anders breng je de bedrijfsvoering in gevaar. Het vraagt discipline. We hebben ook een DDoS-aanval bij een ander dochterbedrijf gehad, als je het tijdig in de gaten hebt en weerbaar bent, kun je de schade beperken. Dat is de crux van het verhaal, stelt Van der Marel. Degenen die de aanvallen uitvoeren zijn niet altijd even slim en het kost tijd om bij de kern te komen. Als je kunt signaleren dat ze bezig zijn met een aanval kun je zorgen dat die aanval meteen aangepakt wordt. Daar moet de organisatie dan wel klaar voor zijn, zodat je, binnen het tijdframe dat je hebt, op de juiste manier kunt reageren. Nu wordt het vaak niet gezien of is het al te laat om te reageren. Beveiliging Van der Marel waarschuwt dat de aanvallers zich de afgelopen jaren verder hebben ontwikkeld. De beveiligingsmaatregelen sluiten vaak niet meer aan bij de huidige dreiging. Je hebt een andere routine nodig. Je hebt up to date intelligence nodig over de dreigingen die horen bij de sector waarin je actief bent en je moet continu matchen of de maatregelen die je hebt genomen wel aansluiten bij die dreigingen. CFO MAGAZINE 3 2016 37

Finance & IT Guido Dubbeld Eneco werkt daarom samen met partners waaronder Fox-IT. Dubbeld: Je kunt niet alle intelligence zelf verzamelen. We werken nauw samen met het NCSC (Nationaal Cyber Security Centrum) dat ons informeert zodra andere partijen worden aangevallen zodat we ons meteen kunnen wapenen. We hebben verder korte lijnen met onze leveranciers om meteen in actie te kunnen komen, indien nodig tot op bestuursniveau. Over wat er gebeurt als het echt helemaal mis gaat, treedt Dubbeld niet in detail. In het uiterste geval koppelen we de IT-infrastructuur los en gaan we over op handmatige bediening. Je kunt je afvragen hoe lang dat nog je mitigerende maatregel is, zaken zijn steeds meer met elkaar verknoopt waardoor het steeds lastiger wordt. Op andere gebieden, zoals bijvoorbeeld Toon, de slimme thermostaat voor in huis, is Eneco opener over de beveiliging. Het energiebedrijf lanceerde zelf een speciale app Game of Toons waarmee social responsible hackers konden proberen Toon te hacken. We stellen ons hier maximaal kwetsbaar op om Toon beter te maken voor de klant. Dat is een manier van werken die je moet omarmen om ervoor te zorgen dat iedereen er beter van wordt, aldus Dubbeld. Dit is misschien wel de beste manier om er echt achter te komen wat er mis kan gaan, beaamt Van der Marel. Als er gaten gevonden worden, die natuurlijk gepatched moet worden, heb je wel even ellende, maar daarna heb je wel een veel veiligere basis voor het product. Alles wat in het laboratorium wordt bedacht en daarna meteen in gebruik wordt genomen, wordt gehackt. Er zijn in de praktijk nog maar weinig bedrijven die kiezen voor deze oplossing. Er wordt wel over gesproken, maar behalve dat het een afbreukrisico oplevert, kost het ook veel geld en het moet in een streng gecontroleerde omgeving plaatsvinden, stelt Van der Marel. Het is wel zo dat als een onderneming een keer is gehackt, dit eigenlijk altijd een echte game changer is. Er wordt dan meteen actie ondernemen om naar een hoger beveiligingsniveau te gaan. Dat is een proces om controle te krijgen: je hebt zicht op je netwerk, je weet wat er buiten gebeurt en je weet wat je respons moet zijn. Het zou heel goed zijn om gehackt te worden, natuurlijk met minimale schade. Daarna weet je hoe het in elkaar zit. Hoe groot de schade is, hangt volgens Dubbeld uiteindelijk af van hoe snel je er bij bent. Als het energienetwerk plat gaat, betekent dat heel veel schade. Voor Toon hangt het ervan af of het een individuele Toon betreft of het collectief. Er zijn heel veel afdelingen binnen Eneco die ieder hun eigen IT-structuur, privacyregels, reglementen, en security hebben. Dat maakt het ook complex omdat de alertheid van al die verschillende businesses niet op hetzelfde niveau is. Nieuwe risico s Van der Marel signaleert dat de dreigingen voor CFO s en CEO s sterk zijn toegenomen als gevolg van een nieuwe werkwijze van criminelen. Van gerichte aanvallen op bijvoorbeeld banken is men overgestapt op het ongericht hacken van honderdduizenden computers. Met behulp van artificial intelligence wordt vervolgens gekeken welke daarvan interessante informatie bevatten en die computers worden het doelwit van de volgende aanval. Bedrijven die heel lang buiten schot zijn gebleven, worden op die manier nu ook doelwit. Deze bedrijven zijn vaak minder goed beveiligd. Als je dan in hun betalings- of managementsysteem weet te komen, kan het heel interessant zijn wat je daar 38 CFO MAGAZINE 3 2016

Bedrijven zijn heel goed in het pakken van digitale kansen, alles moet sneller en efficiënter, maar tegelijkertijd hoor je ook de digitale risico s te minimaliseren aantreft. CEO s kunnen te maken krijgen met een gelegenheidshack omdat toevallig een of andere computer in je bedrijf is gehackt. Tegelijkertijd zien we ransomware een enorme vlucht nemen dat zorgt voor serieuze problemen bij duizenden bedrijven. Ook hier zien we verdere specialisaties, waarbij geoptimaliseerd wordt door gerichte grote hacks uit te voeren om de stroomvoorziening, operatiekamers in ziekenhuizen etc. plat te leggen. Het verandert ook de perceptie van de risico s die er zijn. Je zou verwachten dat ziekenhuizen geen doelwit vormen, maar dat zijn ze nu wel geworden. Voor Eneco is business continuity belangrijk. Je moet dit testen en dan zie je pas hoe onthand je bent als je daar niet goed op ingericht bent. Als je geen sensoren en geen ogen hebt en niet weet wat er aan de hand is, wat ga je dan doen als het systeem uitvalt? Dan is de paniek compleet. De makkelijkste wake up call is een workshop waarin je een real life testcase uitvoert, aldus Dubbeld. Van der Marel: Wij noemen dat red teaming. Zonder dat de mensen binnen de organisatie op de hoogte zijn ga je op zoek naar de klanten database en de computers van de board zonder dat mensen het door hebben. Je definieert een aantal red flags: dingen die echt niet mogen gebeuren. Vervolgens haal je stuk voor stuk die red flags binnen en daarna laat je in klein verband zien wat er is gebeurd. Dat is vaak een eyeopener en daarna wordt er op een hele andere manier naar cyberveiligheid gekeken. Gevraagd naar een advies aan andere CFO s op basis van zijn ervaring stelt Dubbeld: Ik zou een bedrijf van buiten een penetratietest laten uitvoeren om uit te vinden wat eventuele indringers allemaal zouden kunnen doen. Daarnaast kun je awareness creëren via een shocking experience. Simuleer dat je bedrijf is platgelegd en je een oplossing moet vinden. Finance & IT Je ondergaat dan even een paar uur hoe slecht je eigenlijk geïnformeerd bent en hoe slecht je je voelt op dat moment. Als je dit hebt meegemaakt ben je wel wakker. En als je wakker bent, ga dan met gespecialiseerde bedrijven aan de slag en maak een stappenplan. Van der Marel raadt CFO s aan te praten met collega s die het hebben meegemaakt. Het gebeurt heel veel, probeer te leren van elkaar. Als je echt in control bent moet je een rapportage kunnen krijgen van de cyberaanvallen van afgelopen maand en hun impact. Als je dat niet krijgt dan moet je zorgen dat dat wordt ingeregeld. Een crisisoefening met een serieus incident geeft je houvast voor als het echt misgaat. Leer van zo n oefening en maak een plan. Belangrijk is dat je cybersecurity tot onderdeel maakt van business continuity en niet alleen van IT, want gehackt worden we allemaal een keer. CFO MAGAZINE 3 2016 39

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback