Cybersecurity Awareness Month: de rol van de mensen en wetgeving

In oktober wordt al jaren extra aandacht gevraagd voor cybersecurity. Tijdens de Cybersecurity Awareness Month staat BDO stil bij de meest gestelde vragen. Lees in dit artikel over overheidsvereisten, de rol van kunstmatige intelligentie en antwoord op de vraag hoe groot de menselijke factor is bij (fatale) aanvallen.

Welke rol spelen kunstmatige intelligentie en machine learning in cybersecurity?

Aan beide technische ontwikkelingen, zitten voor- en nadelen. AI wordt inmiddels gebruikt voor nog slimmere phishing-aanvallen en het maken van kwaadaardige code die gebruikt kan worden voor aanvallen. Daarnaast wordt door het gebruik van AI ook nog wel eens gevoelige informatie gedeeld die nooit in het publiek domein mag komen. Daartegenover staat dat AI ook weer kan helpen bij het sneller detecteren van aanvallen en aanvallers in netwerken en securityonderzoekers kan ondersteunen in hun dagelijkse taken om de organisatie te beschermen.

Hoe kunnen organisaties de kwetsbare menselijke factor aanpakken?

In onze visie is dat de juiste combinatie van technische maatregelen en training. Probeer bijvoorbeeld phishingmails zoveel mogelijk tegen te houden of te waarschuwen bij sociale manipulatie door gevensvalidatie en verhoog de awareness van de mens door onder meer trainingen, workshops, aanvalssimulaties en phishingtesten.  

Wat is de rol van encryptie bij het beschermen van gevoelige gegevens en communicatie?

Encryptie is een absolute noodzaak om gegevens goed te kunnen beschermen. Ga er altijd van uit dat het een keer mis kan gaan, bijvoorbeeld omdat een laptop gestolen wordt. Als gevoelige gegevens encrypt zijn kan een aanvaller er weinig mee. Ook bij een ransomware-aanval, zoals de voetbalbond eerder meemaakte, kan encryptie ervoor zorgen dat er niet betaald hoeft te worden voor het geheim houden van gevoelige gegevens. 

Welke best practices zijn er voor het veiligstellen van cloudgebaseerde infrastructuren en diensten?

Ook ten aanzien het gebruik van cloudgebaseerde infrastructuren en diensten is de organisatie zelf verantwoordelijk voor het beveiligen van gegevens en niet de clouddienstenleverancier. Dit dient dus goed door de organisatie zelf te worden ingeregeld. Uiteraard zijn er veel goede tools beschikbaar die de omgeving veilig kunnen houden. Hier is wel het advies om niet direct op control niveau te beginnen, maar conform het eerdere advies, eerst een assessment uit te voeren en het gewenste en verplichte beveiligingsniveau te bepalen. Daarna is pas goed te bepalen welke maatregelen daadwerkelijk noodzakelijk zijn en welke meer ‘nice to have’ zijn. Een cloud risk- of compliance gap-assessment is een goede eerste stap om direct te begrijpen hoe het staat met het niveau van cybersecurity in de cloud omgeving. 

Hoe beïnvloedt regelgeving, zoals de Algemene Verordening Gegevensbescherming (AVG) in de EU, de aanpak van cybersecurity?

Er komt steeds meer wet- en regelgeving op ons af en soms is het lastig om door de bomen het bos nog te kunnen zien. In het Emagazine van de One Conference, dé internationale cybersecurity conferentie, hebben we daarover onze visie gegeven. Wij vinden het niet perse een slechte zaak om goede cybersecurity af te dwingen via wet- en regelgeving. Zeker gezien de ongekende digitalisering van de maatschappij en onze steeds toenemende afhankelijkheid van IT- en OT-systemen in cruciale sectoren als energie, zorg, transport en de voedselketen. De toenemende cyberdreigingen van kwaadwillenden verhoogd de noodzaak tot het nemen van goede beschermende maatregelen, en dat kan niet meer vrijblijvend zijn. De aankomende NIS2-wetgeving, die meer organisaties verplicht cybersecurity goed in te richten is hiervan een goed voorbeeld. Echter, een al oud argument tegen een puur compliance gebaseerde benadering is dat dan alleen het minimale wordt gedaan om maar te voldoen aan de wet en/of regel en men daarbij niet alle echte risico’s adresseert. Een combinatie van risk en compliance is daarom de beste aanpak.  

Test uw eigen cyberveiligheid