Dit artikel wordt u aangeboden door Orange Cyberdefense
De redactie van Het Financieele Dagblad draagt voor deze inhoud geen verantwoordelijkheid.

Hoe maak je cybersecurity toekomstbestendig?

Cybercriminelen veranderen voortdurend van tactiek. Dat betekent dat bedrijven de invulling van hun cybersecurity steeds opnieuw moeten aanpassen om te kunnen blijven opereren, innoveren en concurreren. ‘Een adaptieve Zero Trust-aanpak kan zorgen voor zo’n toekomstbestendige security’, menen twee cyberspecialisten van Orange Cyberdefense.

Vertrouw geen enkel apparaat, geen enkele applicatie, niemand. Ook de eigen medewerkers niet. Dat is de kern van de ‘Zero Trust’-benadering binnen het vakgebied van cybersecurity. ‘Niet omdat medewerkers niet te vertrouwen zijn, maar omdat externe partijen vandaag de dag vrij eenvoudig toegang hebben tot accounts van medewerkers.’ Aan het woord is Matthijs van der Wel-ter Weel, strategisch adviseur op het gebied van cybersecurity bij Orange Cyberdefense.

Alles communiceert met alles

Het feit dat de ontwikkelingen op het gebied van technologie elkaar razendsnel opvolgen, vergroot de kans op gaten in de verdediging van IT-systemen. Van der Wel-ter Weel: ‘Of het nu gaat om smartwatches, digitale toegangspassen, werken in de cloud of kunstmatige intelligentie, al deze ontwikkelingen hebben een enorme impact op cybersecurity. Alles communiceert met alles waardoor het veel moeilijker is geworden om data en processen af te schermen.’

Van ransomware tot DDoS

De voorbeelden waarbij het misgaat liggen voor het oprapen. Gegevens van klanten of patiënten die op straat liggen, ransomware die organisaties dwingt om losgeld te betalen, DDoS-aanvallen die hele organisaties en systemen platleggen, identiteitsfraude of revictimisation waarbij slachtoffers van afpersing opnieuw worden gechanteerd. De lijst is schier oneindig en wordt naarmate de tijd verstrijkt langer en langer. 

Bedrijven weten vaak niet welke securitymaatregel ze waar moeten implementeren

Anton Enkelaar
Directeur Consultancy & Advisory bij Orange Cyberdefense

Complex

Bijkomend probleem is volgens Anton Enkelaar, directeur Consultancy & Advisory Services bij dezelfde organisatie, dat de meeste bedrijven overweldigd zijn door de complexiteit van cybersecurity. Enkelaar: ‘Ze weten niet meer hoe ze hun digitale omgevingen effectief kunnen beschermen. Niet alleen de technologie en dreigingen veranderen razendsnel, dat geldt ook voor de verzameling aan ad-hocoplossingen die organisaties door de jaren hebben geïmplementeerd. Daardoor weten bedrijven vaak niet welke securitymaatregel ze waar moeten implementeren.’

De slotgracht voldoet niet meer

Van der Wel-ter Weel en Enkelaar menen dan ook dat bedrijven een duidelijke beslissing moeten nemen over de wijze waarop ze hun cybersecurity willen inrichten. ‘Het kasteel met slotgracht is al heel lang niet meer afdoende’, zegt Van der Wel-ter Weel. ‘Die strategie werkte in een tijd dat alles en iedereen binnen die slotgracht vertrouwd en veilig was. Buiten was het gevaar. Niet binnen. Maar dat is niet meer het geval. Data verplaatst zich steeds meer naar de cloud en deze data moet op verschillende manieren beschikbaar worden gemaakt voor leveranciers, klanten en andere partijen. De scheiding tussen binnen en buiten is daardoor vrijwel geheel weggevallen. Dat maakt het bieden van toegang tot gegevens en vaak honderden applicaties zo enorm complex. De kunst is om alleen die mensen toegang te geven tot data die deze ook echt nodig hebben. En dan alleen op het moment dat ze die nodig hebben. Want als een dreigingsactor toegang krijgt tot het account van de medewerker, heeft de aanvaller ook toegang tot al deze data en systemen.’

Het heeft weinig zin, en is bovendien enorm kostbaar, om elk jaar weer een nieuwe cybersecuritystrategie te ontwikkelen omdat de oude niet langer voldoet

Matthijs van der Wel-ter Weel
Strategisch adviseur bij Orange Cyberdefense

Achter de feiten aan hollen

Het feit dat ontwikkelingen op het gebied van cybercrime zo snel gaan, maakt volgens Van der Wel-ter Weel dat bedrijven nu een strategie nodig hebben die toekomstbestendig is. ‘Het heeft weinig zin, en is bovendien enorm kostbaar, om elk jaar weer een nieuwe cybersecuritystrategie te ontwikkelen omdat de oude niet langer voldoet. Dan hol je per definitie achter de feiten aan. “Zero Trust” mag dan streng klinken, ook richting medewerkers, ‘maar het is wel wat je wilt’, stelt Enkelaar. ‘Het is namelijk de meest effectieve manier om je digitale omgeving veilig te houden.’

Never trust, always verify

‘Never trust, always verify’, dat is de kern van de Zero Trust-filosofie die Van der Wel-ter Weel en Enkelaar aanhangen. Volgens Enkelaar houdt het in dat elke actie, elke transactie, continu geverifieerd en gemonitord wordt. ‘Is het apparaat dat wordt gebruikt vertrouwd? Komt de toegang vanuit een veilige locatie?’ Van der Wel-ter Weel: ‘Het is belangrijk om steeds weer de identiteit van een gebruiker te monitoren en in de gaten te houden of er op de accounts van medewerkers geen abnormale acties zichtbaar zijn.’

Fundamentele vragen

Er wordt daarbij ook gekeken naar de context van een actie. Enkelaar: ‘Past het tijdstip van de toegang bij het normale werkpatroon van de medewerker? Zo is het mogelijk om te monitoren en te detecteren dat het account van een productiemedewerker laat zien dat deze de marketingplannen van de afgelopen tien jaar gedownload heeft. Dat is opmerkelijk. Dat vraagt aandacht.’ Uiteindelijk draait het volgens beide heren steeds weer om het beantwoorden van drie fundamentele vragen: wie ben je, wat mag je, wat doe je?

Big data, big responsibility

Het lijkt belastend voor een organisatie om een Zero Trust-strategie door te voeren. Het wie en wat moet immers steeds worden vastgesteld. Is dat niet veel te belemmerend voor de dagelijkse werkzaamheden? Van der Wel-ter Weel: ‘Natuurlijk kost het tijd om een systeem van Zero Trust goed ingeregeld te krijgen in een bedrijf. Ook medewerkers moeten zich steeds identificeren, hoewel dat natuurlijk steeds makkelijker gaat en ook steeds veiliger wordt. Maar “big data comes with big responsibilties”. En de inspanningen vooraf betalen zich dubbel en dwars terug. Want cybercriminelen kunnen enorm veel schade aanrichten als een bedrijf niet goed beveiligd is.’

Van phishingmail tot dataroof

Enkelaar geeft een voorbeeld van hoe het mis kan gaan. ‘Een van onze klanten had net een overname achter de rug. Medewerkers van het overgenomen bedrijf konden nog gewoon inloggen op hun accounts met hun gebruikersnaam en wachtwoord. Cybercriminelen houden dit soort situaties in de gaten en maken daar graag misbruik van. Want wat gebeurde er? Een van de administratieve medewerkers van het overgenomen bedrijf kreeg een phishingmail en gaf nietsvermoedend z’n inloggegevens vrij. Van daaruit wisten de cybercriminelen in het netwerk van dit bedrijf binnen te dringen om daar malware te installeren waarmee ze wachtwoorden van alle medewerkers konden onderscheppen. Uiteindelijk hebben ze op deze manier heel veel data weten te stelen.’

Onregelmatigheden monitoren

Het niet op orde hebben van een goed cybersecuritysysteem zorgde voor heel wat schade bij deze organisatie. Van der Wel-ter Weel: ‘Het bedrijf beschikte bijvoorbeeld niet over een systeem dat onregelmatigheden monitort. Het is tenslotte niet gebruikelijk dat een administratief medewerker opeens rechtstreeks inlogt op een server en daar allerlei software op installeert. Een goed beveiligingssysteem kan dat tijdig signaleren.’

Natuurlijk betreft het complexe materie

Matthijs van der Wel-ter Weel
Strategisch adviseur bij Orange Cyberdefense

Gezond verstand

Cybersecurity is volgens Enkelaar en Van der Wel-ter Weel óók vooral een zaak van gezond verstand. Van der Wel-ter Weel: ‘Natuurlijk betreft het complexe materie. Maar als je deze afpelt dan komt het er in feite op neer dat je alleen mensen toegang geeft tot wat ze nodig hebben, dat je locaties instelt van waaruit mensen wel en niet mogen inloggen en dat je alleen dat bewaart op servers waar medewerkers ook echt geregeld mee moeten werken. Als ik hoor van een klant dat deze de klantdata van de afgelopen tien jaar kwijt is geraakt, dan denk ik: hoezo heb je deze data nog op jouw actieve systemen staan die verbonden zijn met je netwerk? Dat is niet logisch. Zet die op een aparte machine en sluit die één keer per jaar aan op het moment dat je die gegevens echt voorhanden moet hebben.’

Vaststellen van de kroonjuwelen

Een Zero Trust-strategie wordt door beide heren gezien als dé sleutel tot een toekomstbestendige cybersecurity-aanpak voor organisaties van elke omvang. Maar waar begint zo’n traject? Enkelaar stelt dat het, net als elke reis, begint met kleine stappen. ‘De eerste stap is het identificeren van de kroonjuwelen van de organisatie’, legt hij uit. ‘Door te bepalen welke applicaties, data en diensten cruciaal zijn voor het voortbestaan van de organisatie, kunnen we de meest kritieke ‘beschermingszones’ vaststellen. De volgende stap is het definiëren, implementeren en monitoren van de Zero Trust-beleidsregels, waarin staat omschreven wat de verificatiespelregels zijn. Wie mag wat en wanneer? Dankzij dit alles is het mogelijk om afwijkingen snel te detecteren en hier adequaat op te reageren.’

Bestuurders spelen een cruciale rol bij het stimuleren van de adoptie van Zero Trust

Anton Enkelaar
Directeur Consultancy & Advisory bij Orange Cyberdefense

De onmisbare rol van bestuurders

Nauwe samenwerking tussen IT en de business, evenals een sterk mandaat van het hoger management, zijn onmisbaar om een Zero Trust-strategie door te voeren in de organisatie. Enkelaar: ‘Bestuurders spelen namelijk een cruciale rol bij het stimuleren van de adoptie van Zero Trust. Dat kunnen ze doen door strategische begeleiding te bieden, de juiste expertise en capaciteit toe te wijzen aan mensen en afdelingen en de implementatie af te stemmen op de businessdoelstellingen. Cybersecurity is vooral een zaak van het bestuur en zeker niet alleen van IT.’

Deel op social media