KPN security: Goede voorbereiding als het misgaat, is cruciaal voor cybersecurity-strategie
Nieuwe aanvalsmodellen van cybercriminelen, en een groeiend aantal ransomware-aanvallen op high profile organisaties met steeds verstrekkender gevolgen. Af en toe zou je er moedeloos van worden, snapt Erno Doorenspleet van KPN security. “Tegelijkertijd denken veel organisaties nog altijd: ons gaat dit niet overkomen. Maar je moet ervan uitgaan dat het wel een keer gebeurt. Daar hoef je niet bang voor te zijn, je moet het gewoon als bedrijfsrisico zien en daar maatregelen voor nemen, dus ook voor als het wel misgaat.” Complex hoeft zo’n recovery-plan zeker niet te zijn, meent Doorenspleet. “We maken cybersecurity veel te moeilijk, terwijl het in de basis vrij simpel kan zijn.”
Cybercriminelen leveren steeds meer maatwerk, ziet Doorenspleet, CTO bij KPN Security. Voor zichzelf en als verdienmodel voor partijen zonder ICT-kennis maar met de behoefte om op illegale wijze aan geld te komen. Vroeger werd er vooral met hagel geschoten. Zoveel mogelijk mails met een phishing- of andere kwaadaardig link versturen en dan kijken wie er op klikt.
“We zien nu steeds weer nieuwe modellen. Zo wordt ransomware gecombineerd met het toegang verkrijgen tot je netwerk. Dan moest een bedrijf betalen om te voorkomen dat data uit zijn systemen online verspreid werd. Niet elk bedrijf vond dat een probleem. Nu zie je steeds vaker dat wanneer een bedrijf niet betaalt voor een decryptiesleutel, de hele organisatie platgelegd wordt.”
Zwakste schakel in ecosysteem
Wat verder langzaam verandert, is dat ook extern steeds meer wordt gekeken naar de zwakste schakel in de keten. “Wanneer je bijvoorbeeld als mkb-organisatie met je security bezig bent, moet je ook kijken naar wat de impact van een hack bij jou kan hebben op andere organisaties waarmee je banden hebt. Kan een hack bij jou ook voor problemen bij hen zorgen, en andersom?”
Die ketens kunnen behoorlijk groot zijn. Doorenspleet: “Tijdens een KPN Security-event in september vertelde de CISO van ABN Amro dat die keten een ecosysteem van 400 organisaties betreft. Elk bedrijf in die keten moet een vergelijkbaar niveau van cyberveiligheid hebben. Is dat niet het geval, dan kan er een kettingreactie ontstaan die niet alleen een gehackt bedrijf treft, maar ook ketenpartners.”
In de gezondheidszorg is een healthtech-bedrijf zoals Philips hier heel bewust mee bezig, vanwege de grote gevolgen die een kwetsbaarheid in zijn soft- of hardware kan hebben. Een concern van deze omvang heeft hier ook de capaciteit voor.
“Maar ben jij een gemiddelde mkb’er die bijvoorbeeld een bepaalde digitale zorgtoepassing levert, dan kan het best moeilijk zijn om te doorgronden wat je allemaal moet doen om cyberveilig te zijn en niet de keten te verstoren als het misgaat. Het kan ook je imago beschadigen, of tot gevolg hebben dat ketenpartners pas weer zaken met je willen doen als je kunt aantonen dat je je cybersecurity op orde hebt.”
Makkelijk misgaan
En het kan makkelijk misgaan, stelt Doorenspleet. Gemiddeld zitten cybercriminelen al zo’n 200+ dagen in het netwerk van een organisatie voordat ze iets ondernemen. Bijvoorbeeld omdat ze een kwetsbaarheid hebben misbruikt waarvoor nog geen patch was uitgebracht. “Dan kun je nog zoveel cybersecurity-instrumenten hebben en toch niet weten dat je al gehackt bent. En als je het niet weet, kun je er weinig tegen doen.”
Overkomt mij niet
Een bijkomend probleem is volgens Doorenspleet nog steeds de houding bij veel organisaties dat ‘dit hen niet gaat overkomen’. Dit terwijl er volgens hem genoeg voorbeelden in de media zijn van organisaties die dit overkomt, zoals recent weer VDL. En heel veel geslaagde hacks, ransomware- of DDoS-aanvallen komen niet eens in het nieuws, zeker niet als het om mkb-bedrijven gaat.
“Ik kan me ook voorstellen dat een soort vermoeidheid hier meespeelt, door de angstcreatie over cybercriminaliteit. Bijna alles wat er over cybersecurity en -criminaliteit gecommuniceerd wordt, gaat over de as van angst. Ik denk dat het moet gaan over het feit dat er altijd risico’s zitten aan activiteiten. Nu is cybercriminaliteit een behoorlijk risicocomponent geworden. Je moet afwegen wat het je waard is om dat risico voor je bedrijfsvoering te beperken met technologie, bewustzijn en training, maar ook wat je moet doen wanneer het wel misgaat.”
Zo’n boodschap werkt volgens Doorenspleet veel beter dan voortdurend roepen dat ‘het je gaat overkomen’. Wanneer je dan als cyberverantwoordelijke niemand in je directe omgeving kent die dit is overkomen, worden mensen moe van dat angstverhaal. “Wij proberen daarom nu ook die andere boodschap te brengen, bijvoorbeeld door lessons learned te delen van partijen die een hack of andere malware-aanval is overkomen. Wat kun je anders doen, of moet je accepteren dat iets niet te voorkomen is?”
Goede voorbereiding
In dat laatste geval helpt een goede voorbereiding. “Daar moeten nog wel stappen gezet worden. Er wordt veel gesproken over technologie, over monitoring, over patchen. Maar dan nog kan er iets fout gaan. Als dat zo is, weet je dan wat je moet doen om zo snel mogelijk weer up en running te zijn?”
Doorenspleet stelt regelmatig deze vraag aan bedrijven: wat doe je als je mailserver niet meer werkt, als je systemen op slot zitten? Heb je dan een draaiboek klaarliggen, zijn er protocollen en: kennen je werknemers die ook? “Het is een business recovery plan maar dan voor cyber. Het maakt niet uit of je groot of klein bent, elke organisatie moet weten wat te doen als het misgegaan is.”
Daarbij gaat het niet alleen om techniek, zoals heb je een back-up en hoe snel kun je die terugzetten. Belangrijk is ook om te weten welke instanties je moet contacteren – denk aan de Autoriteit Persoonsgegevens bij een datalek – en hoe snel dat moet gebeuren.
“Doe je zaken met de VS, dan verschilt de wetgeving op dit gebied per staat. Ben je daarvan op de hoogte en kun je daarop acteren? Weet je wat je aan wie wilt communiceren? Moet je daar als mkb’er misschien mensen zoals juristen of communicatiespecialisten tijdelijk voor inhuren? Daar moeten veel organisaties nog actie op ondernemen.”
Niet te veel
Doorenspleet heeft niet het idee dat dit te veel wordt voor met name kleinere en middelgrote organisaties. “Je moet als organisatie hoe dan ook bezig zijn met welke maatregelen je kunt nemen als er op kritieke punten in je bedrijfsprocessen iets misgaat. Dat geldt ook voor uitval van internet, elektriciteit of het niet kunnen gebruiken van WhatsApp-applicaties omdat de Facebook-servers er een dag uit liggen. Een cyberaanval is ook niet meer en niet minder dan een verstoring van je kritieke bedrijfsprocessen.”
Kortom: denk gewoon goed na wat er moet gebeuren als er iets misgaat bij al die bovenstaande voorbeelden, maak een plan en zorg ervoor dat dit:
a) goed toegankelijk is en
b) bij iedereen bekend is.
“Zo heb je niets aan een goed draaiboek wanneer je daar niet bij kan, omdat je systemen op slot zitten. Dan werkt het beter om dat ook her en der gewoon op papier te hebben liggen. En niet elke werknemer hoeft dat hele draaiboek te kennen. Een A-4 tje met de belangrijkste telefoonnummers en protocollen is voldoende. Ik ken een bedrijf dat dit op creditcardformaat aan iedereen in de organisatie heeft uitgereikt: wat te doen bij een cyberaanval.”
Complexiteit niet nodig
Een goed plan van aanpak hoeft dus allerminst complex te zijn, stelt Doorenspleet concluderend. “We hebben met zijn allen de afgelopen jaren cybersecurity heel complex gemaakt. Maar dat hoeft helemaal niet. Niet bij cybersecurity, niet bij een recovery-plan.”
Het is eigenlijk net als bij het gebruik van een zebrapad, stelt Doorenspleet. Je kunt oversteken zonder naar links en naar rechts te kijken en hopen dat alle anderen goed uitkijken. Of je kunt naar links en naar rechts kijken voordat je oversteekt. Zo moeten we ook meer met cyber omgaan. Veel bedrijven kijken nu niet naar links en rechts, maar het zebrapad is niet per definitie veilig. Door even naar links en rechts te kijken, kun je de meeste problemen voorkomen.”
Auteur: Martijn Kregting
