Artikel:

Cyber security: inzicht en goede voorbereiding de sleutel om veilig en weerbaar te blijven

07 juli 2021

De cyberaanvallen van vorige week hebben iedereen op scherp gezet. Honderden bedrijven, waaronder enkele Nederlandse concerns, waren het slachtoffer van de ransomware waarmee cybercriminelen losgeld eisten om de gegijzelde systemen te ontgrendelen. Deze grootschalige aanval is weer een bevestiging dat elk bedrijf een target kan zijn en cyber security daarom zeer serieus moet nemen.

‘Door de toenemende dreiging van ransomware zien we dat bedrijven zich steeds meer bewust zijn van de noodzaak om passende beveiligingsmaatregelen te treffen’, vertelt Kees Plas van BDO Digital. ‘Ik hoef onze klanten steeds minder vaak uit te leggen waarom cyber security zo hard nodig is. Ze willen nu vooral zo snel mogelijk weten wat de potentiële risico’s zijn voor hun organisatie en wat ze daaraan kunnen doen.’

Stap 1: weten wat je hebt

Volgens Kees Plas kunnen bedrijven zich beter wapenen tegen cybercriminelen door hun tijd en energie te steken in drie aandachtspunten. ‘Het begint met weten wat je hebt. Zicht op je data, applicaties en systemen. De bedrijven die meer dan andere zijn voorbereid op cyberaanvallen, hebben gemeen dat ze goed inzicht hebben in hun IT, weten waar ze welke data opslaan en (welke partijen die data) beheren. Voor veel bedrijven is het in de praktijk een flinke uitdaging om daarachter te komen. Maar daar begint het wel.’

Stap 2: regelmatig het beveiligingsniveau testen

Het is zaak om je IT-omgeving, zowel in huis als daarbuiten, goed te beschermen. Maar in hoeverre zijn de systemen nu bestand tegen indringers? ‘Met de juiste assessments en zorgvuldige testen kun je gaten en kwetsbaarheden zelf sneller detecteren. Vervolgens is het belangrijk om de security continu te monitoren, omdat er steeds weer nieuwe kwetsbaarheden boven kunnen komen. In dit geval ging het om een zero-day-aanval, via een lek bij een grote IT-dienstverlener, maar er zijn vaak bekende kwetsbaarheden die nog niet zijn verholpen en vervolgens worden misbruikt voor exact hetzelfde doel. En die haal je eruit door regelmatig je security te testen.’ 

Stap 3: adequate beveiligingsmaatregelen

Wanneer duidelijk is welke IT-onderdelen in welke mate bescherming vereisen en op het juiste niveau zijn gebracht, is het zaak de cyber security op te schroeven. Bijvoorbeeld door de omgeving degelijk in te richten vanuit securityprincipes zoals “Zero Trust”, gebaseerd op verificatie en voorzien van adequate beveiligingsmaatregelen, zoals sensoren in het netwerk, segmentering en goede back-ups.

‘Bereid je voor op het onverwachte en ga ervan uit dat het toch een keer mis kan gaan’, benadrukt Kees Plas. ‘De ransomwareaanval van afgelopen week kwam nota bene juist binnen via beveiligingsoftware! Zorg daarom niet alleen voor back-ups, maar bescherm die ook goed. Scheid ze af van de rest van de omgeving, om te voorkomen dat die back-ups ook nog eens worden gehackt. Check ook de mean time to repair. Hoe lang kun je zonder bepaalde data en systemen werken? Wat zijn de gevolgen als er nú iets misgaat, op dit moment? Hoe recent is dan bijvoorbeeld je dataset? En in hoeverre heb je daar last van?’

Veilig en weerbaar blijven

Een goede voorbereiding is de sleutel om 24/7 veilig en weerbaar te blijven. Dat bleek ook afgelopen week weer. ‘Als je goed bent voorbereid, kan het je nog steeds gebeuren, maar dan ben je wel een stuk weerbaarder. Een bedrijf zoals Hoppenbrouwers (technisch dienstverlener) was snel alweer operationeel. Terwijl de COOP echt dicht moest om alle kassa’s te vervangen. Je moet er gewoon bovenop zitten. En dat is geen eenmalige exercitie, maar een doorgaand proces. Daarbij is het cruciaal om het vraagstuk vanuit een breder perspectief te bekijken, met aandacht voor de financiële impact en compliance-standaarden.’

Meer informatie

Weten hoe cyberproof de security van uw systemen is? Liever vandaag dan morgen de digitale kwetsbaarheden in uw organisatie (laten) signaleren en daar meteen passende maatregelen voor treffen? Onze specialisten praten graag met u verder over wat cyber security voor uw organisatie kan betekenen en hoe u controle krijgt én houdt over uw risico’s.