This page is currently not available in the selected language.

De onvoorstelbare impact van een cyberaanval

Ik heb het regelmatig gezegd: het is niet de vraag óf je geraakt wordt, maar wannéér het je overkomt! Zelfs als je je als bedrijf hier heel goed bewust van bent, en er optimaal op bent voorbereid, kan het gebeuren. Een hack, het op slinkse wijze binnendringen in de systemen door cybercriminelen. Met enorme schade als gevolg: het ontwrichten en stilleggen van de processen en activiteiten. Kortom, een digitale hartstilstand van je onderneming of organisatie. Met als mogelijk gevolg miljoenen, soms zelfs tientallen miljoenen euro’s schade, nog los van de gigantische losgeldbedragen die vaak worden geëist. Je moet er niet aan denken... Maar hoezeer je je dit ook realiseert, het is niet te bevatten wat de impact écht is als het je daadwérkelijk overkomt.

Zowel wat betreft de gigantische hoeveelheid tijd en werk om de zaken op te lossen – als dat al lukt – als de enorme frustratie en emotie die het met zich meebrengt. Het besef dat alles waar je met je medewerkers iedere dag zo hard voor werkt, met één druk op de knop door een anonieme hacker onder je voeten weggeslagen kan worden, is onvoorstelbaar schokkend.

Bovenstaande tekst komt uit het boek ‘Hack’, geschreven door Edith van Zalinge en beschrijft goed wat één van de redenen is voor aanscherping van de Network Information Security Directive (vanaf hier NIS2). Cybersecurity is niet meer alleen een zaak voor de IT-afdeling, maar voor elke medewerker in een organisatie, en zelfs de keten van leveranciers en partners kun je constateren na het lezen van het boek.

Hackers gebruiken steeds geavanceerdere technieken. Ook zij volgen met argusogen de ontwikkelingen van CHATGPT. De pakkans van de hackers is klein, de verdienste groot. Hieronder een aantal interessante artikelen over dit onderwerp:

Tijd voor actie dus! Wat kun je nu alvast doen om je voor te bereiden?

Een belangrijke eerste stap is het inventariseren en analyseren van risico’s. Informatie is jouw meest belangrijke asset. Het is belangrijk ervoor te zorgen dat de informatie beschikbaar en veilig is én dat ook blijft. Die beschikbaarheid is echter niet vanzelfsprekend. Elke organisatie loopt risico’s. Risico’s die betrekking kunnen hebben op de beschikbaarheid, de integriteit en de vertrouwelijkheid van informatie. Het is belangrijk om die risico’s inzichtelijk te maken en passende maatregelen te treffen om deze te minimaliseren. Dat gaat niet alleen over techniek – de organisatie en de mensen zijn van even grote invloed daarop.

Als het gaat om de informatieveiligheid wil je aantoonbaar ‘in control’ zijn en compliant zijn aan de wet- en regelgeving. Jouw firewall kan nog zo goed zijn, het beleid en de afspraken van je organisatie nog zo duidelijk vastgelegd. Als een medewerker bijvoorbeeld bedrijfsgegevens in zijn privé Dropbox opslaat omdat hij er thuis mee wil verder kunnen, zijn die maatregelen nog maar beperkt effectief. Echt veilig omgaan met informatie en het respecteren van de privacy wordt pas bereikt door het toepassen van technische maatregelen (ICT) en organisatorische maatregelen (processen en beleid) én door de mensen hierbij te betrekken. Wordt dit laatste achterwege gelaten, dan lijkt het geregeld maar is er eigenlijk een schijnveiligheid gecreëerd.

Hieronder sommen we enkele zaken op die jij nu al kunt doen om straks in orde te zijn als de NIS2-richtlijn van kracht gaat.
 

#1: Krijg inzicht dankzij het Information Security Framework

Het Information Security Framework is een gestructureerde en toegankelijke methode om de situatie rondom informatieveiligheid in kaart te brengen, keuzes te maken over de aanpak en de maatregelen duurzaam te implementeren.

Figuur 1: Informatieveiligheid is een samenspel van Mensen, Techniek en Organisatie.
 

Het doel van de inzichtfase is een eerste beeld te verkrijgen van de wijze waarop de organisatie omgaat met informatie en de daaraan verbonden risico’s. Daarbij worden alle functionele gebieden binnen de organisatie doorgelicht, bestaande uit: medewerkers, apparatuur,  programmatuur,  gegevens, organisatie,  omgeving,  en diensten. Afgekort MAPGOOD.
 

 

#2: Bepaal wat de impact van een risico is met heatmapping

Niet elk risico hoeft tot een probleem te leiden, vindt Patrick Voss. De kans dat een risico plaatsvindt kan klein en daarom geaccepteerd zijn. Daarnaast is de impact, als het probleem zich voordoet, voor elk risico verschillend. Met behulp van heatmapping wordt bepaalt wat de kans en de impact is van elk risico. Dat geeft een helder totaalbeeld van de gebieden waar de belangrijkste risico’s liggen en waar als eerste de aandacht op te richten.
 

#3: Toets regelmatig de genomen maatregelen

Iedere organisatie heeft als het goed is al een set aan maatregelen en middelen geïmplementeerd om de veiligheid en privacy van informatie te beschermen. Vraag jezelf daarbij af:

  • Sluiten deze maatregelen nog aan bij de gevonden risico’s en hebben ze het gewenste effect?
  • In hoeverre hebben deze een effect op de dagelijkse werkzaamheden?

Het blokkeren van online services als WeTransfer of Dropbox kan vanuit IT-perspectief wellicht een verstandig besluit zijn, maar als aan de andere kant ‘de business’ dagelijks grote bestanden uit moet wisselen met klanten, dan is een andere oplossing gewenst die zowel veilig als praktisch is. Het kan ook andersom voorkomen dat een IT-manager technische maatregelen heeft getroffen die voor de betreffende situatie te omvangrijk zijn. In zo’n situatie kan een minder omvangrijke oplossing, waarmee de organisatie budget kan besparen, even effectief zijn.
 

#4: Stel een Maturity Level Report op

Het Maturity Level Report geeft een weergave van de organisatie, haar ambities en omgang met informatie enerzijds en anderzijds de risico’s en uitdagingen die daarop van invloed zijn.
 

#5: Schrijf een Information Security & Privacy Plan

Welke acties en prioriteiten op basis van de voorgaande stappen stellen, is een zaak voor het management. De uitkomst van de inventarisatie bepaalt de belangrijkste aandachtsgebieden. Gecombineerd met de maatregelentoets geeft dit de input voor het Information Security & Privacy Plan. Nadat de situatie rondom de informatieveiligheid en privacy in kaart is gebracht, kun je op basis daarvan keuzes maken over de aanpak en de maatregelen om de privacy en veiligheid te implementeren en duurzaam te borgen.
 

#6: Workshops en communicatie door Bechtle en partners

In elk traject dat we opstarten, kunnen we verschillende workshops organiseren. Bijvoorbeeld met het management om de prioriteiten en het plan van aanpak te bepalen, met de teams om ze te betrekken bij en te informeren over de uitwerking van de maatregelen binnen hun domein. We hebben een brede set aan werkvormen en instrumenten opgezet om dat voor jouw organisatie te faciliteren, afhankelijk van de wensen en behoeften.
 

#7: Projectmanagement als basis

We gebruiken de principes en technieken van projectmanagement. Inclusief een project-governance structuur met een Stuurgroep, Projectgroep en diverse Werkgroepen waarin betrokkenen uit meerdere delen van de organisatie een plek hebben. Hiermee zetten we direct een belangrijke stap en basis voor de betrokkenheid en borging binnen alle delen van de organisatie. Dat zorgt ervoor dat we met de juiste mensen, op tijd en binnen budget de acties uitvoeren.

De uitgangspunten van scrum en Agile staan centraal. In korte cycli met overzichtelijke en haalbare stappen gaan we het plan implementeren. Daarmee hebben we snel resultaat en kunnen wij tijdig bijsturen als de situatie daarom vraagt.
 

#8: Beleid en processen beter sturen en controleren

Binnen veel organisaties zien we dat beleidsdocumenten en processen niet aanwezig, actueel en/of geborgd zijn. De aanwezige processen en stukken zijn vaak ‘ontstaan’ tijdens de dagelijkse gang van zaken en worden naargelang de behoefte aangepast of aangevuld. Doordat we het bestaande beleid en processen actualiseren realiseren we een nauwe aansluiting op de gewenste werkwijze en brengen we deze opnieuw onder de aandacht. Zo zorgen we voor een kwaliteitsslag in de manier van werken. Dit biedt jouw organisatie ook de mogelijkheid om beter te sturen en te controleren of alles volgens de uitgangspunten werkt. Jij komt zo makkelijker ‘in control’ en wordt compliant aan de wet- en regelgeving.
 

#9: Maak gebruik van een Information Security Management System

Onvermijdelijk in dit soort trajecten is een stevige hoeveelheid documenten, procesbeschrijvingen, afspraken en acties. Om dat allemaal toegankelijk, overzichtelijk en actueel te houden maken we gebruik van een Information Security Management Systeem en/of Privacy Management Systeem. Dat zijn softwaretools in de cloud waar deze informatie volgens een vaste structuur opgeslagen wordt. Het ondersteunt tevens het projectmanagement door de mogelijkheid te bieden activiteiten en taken op te voeren en de actiehouder een reminder te sturen op het moment dat dat nodig is.

Heeft jouw organisatie hulp nodig met de voorbereiding op de NIS2-wetgeving? Neem dan contact op met Patrick Voss. Heb je je nog niet ingeschreven voor de nieuwsbrief? Doe dat dan nu via onderstaande button, zodat je nooit een NIS2-update mist!

NIS2-updates ontvangen

Patrick Voss

Solution advisor security

T +31 88 7078 315
patrick.voss@bechtle.com