Cybersecurity, wat doen we niet goed?

We weten hoe belangrijk cybersecurity is en toch doen we te weinig. Waar ligt het aan en wat kunnen we er aan doen? Twee nieuwe rapporten over hoe organisaties met cybersecurity omgaan laten zien hoe belangrijk het beveiligen van informatie is, waarin ze tekort schieten en hoe dat komt. 

Belang van cybersecurity

Cybersecurity, het beveiligen van informatie op internet, wordt steeds belangrijker en steeds vaker zijn er incidenten. Vorige maand sloeg de Cyber Security Raad alarm. En niet voor de eerste keer. Uit hun adviesrapport, opgesteld in opdracht van ministerie van Justitie en Veiligheid, blijkt dat veel organisaties digitale aanvallen niet kunnen afweren of detecteren omdat ze te weinig doen aan het beveiligen van de informatie. Dit geldt zelfs voor organisaties met vitale processen zoals in de energie-, telecom- en bankensector. Uitval van een vitaal proces heeft ook directe gevolgen voor de warmwatervoorziening, het openbaar vervoer en de ziekenhuizen. De raad ziet het aantal incidenten de laatste jaren toenemen door digitalisering en meer cyberdreigingen. Een van de oorzaken is dat er nog steeds verouderde systemen worden gebruikt en beveiligingsupdates niet worden uitgevoerd.

Cybercriminaliteit neemt steeds verder toe en vormen een permanente dreiging. De cyberweerbaarheid moet chefsache zijn (Cyber Security Raad).

De raad adviseert om flink te investeren - € 833m - in het versterken van de cyberweerbaarheidsketen van Nederland. Een logisch plan dat bestaat uit 5 onderdelen (zie onderstaand figuur).

Bijzonder is dat je bij een aantal adviezen om de cyberweerbaarheidsketen te versterken denkt: "huh doen we dat nog niet?". Voorbeelden: ontwikkel een gemeenschappelijke koers op het gebied van cyber security en versterk toezicht op vitale processen. Een aantal adviezen heeft de raad ook al eerder uitgebracht. Blijkbaar wordt het belang van cybersecurity nog steeds onderschat of niet goed begrepen.

Wat doen we niet goed?

Ondanks het toenemende belang van cybersecurity valt er nog veel te verbeteren. Deze maand rapporteerde het CBS hun cybersecuritymonitor en daaruit blijkt dat steeds meer grote organisaties te maken hebben met datalekken (dataonthulling) en steeds vaker is een intern incident de oorzaak. Van alle veiligheidsincidenten heeft zelfs meer dan 60% een interne oorzaak.

De cybersecuritymonitor van het CBS laat zien dat er twee hoofdoorzaken zijn van ICT-veiligheidsincidenten:

1. Interne oorzaken. Denk hierbij aan uitval van een ICT‐systeem of datavernietiging door bijvoorbeeld een hardware‐ of softwarestoring of dataonthulling door onopzettelijk toedoen van eigen personeel.
2. Aanval van buitenaf. Denk hierbij aan uitval van systemen door een DDoS- of ransomware aanval, datavernietiging door een softwarevirus of ongeoorloofde toegang en dataonthulling door een cyberinbraak, phishing (nep-versie van echte email) of pharming (nep-versie van echte website).

Om incidenten te voorkomen kunnen er volgens de cybersecuritymonitor twaalf soorten maatregelen worden genomen. Grote organisaties (meer dan 250 werknemers) doen het relatief het beste. Kleinere organisaties veel minder. Maar zelfs bij grote organisaties is nog veel te verbeteren:

• Minimale maatregelen: >95% van de grote organisaties gebruikt anti-virussoftware, logt incidenten voor analyse, heeft gegevens op een andere fysieke locatie, hanteert beleid voor sterke wachtwoorden en houdt software up-to-date. Conclusie: bij een klein deel van de grote organisaties zijn de minimale beveiligingsmaatregelen niet op orde.
• Standaard maatregelen: circa 80% van de grote organisaties beoordeelt de ICT-veiligheid, gebruikt data-encryptie, maakt risico-analyses, gebruikt authenticatie via tokens en heeft VPN voor internetgebruik buiten de organisatie. Conclusie: een substantieel deel van 20% van de grote bedrijven neemt geen standaard maatregelen voor cybersecurity.
• Uitgebreide maatregelen: 60-80% van de grote organisaties biedt ICT-cursussen aan voor hun ICT-specialisten en beveiligt de toegang van bedrijfsnetwerken. Conclusie: maar liefst 20-40% van de grote bedrijven neemt geen uitgebreide maatregelen om hun informatie te beveiligen.

Een kwart van de organisaties neemt meer dan vijf cybersecurity maatregelen (CBS)

De cybersecuritymonitor geeft aan dat de twaalf maatregelen een goed beeld geven van het ICT-beveiligingsniveau maar dat er nog meer maatregelen genomen kunnen worden. Ook goed om te weten is dat vooral stapeling van maatregelen de beveiliging van informatie effectief kan verbeteren. 

Maar zelfs als organisaties een goed beeld hebben van de cyber security dreigingen gebeurt er toch te weinig. Illustratief hierbij is een onderzoeksrapport van MTI San Jose State University waaruit bleek dat 80% van de vervoersbedrijven in de US zeiden zich goed voorbereid te voelen op cybersecurity dreigingen, echter slechts 60% had een cyber security programma doorgevoerd.

Corona heeft geleid tot meer dreigingen: thuiswerken maakt het voor organisaties lastiger om het beveiligingsniveau op peil te houden (McKinsey).

Waarom doen we te weinig?

Hoe komt het nu dat organisaties toch te weinig doen?

• De Cyber Security Raad geeft een aantal redenen: onvoldoende beeld van de dreigingen, complexiteit, ICT- en beveiligingshygiene is niet op orde, veiligheidseisen aan systemen zijn niet duidelijk, er is te weinig capaciteit en expertise en onvoldoende investeringen in cyberweerbaarheid.
• McKinsey geeft aan dat de corona-pandemie heeft geleid tot meer cybersecurity-dreigingen. Het is lastiger voor organisaties om het beveiligingsniveau te handhaven door grootschalig gebruik van thuiswerk-applicaties en veel activiteit op het netwerk en online diensten.
• Onderzoeksjournalist Huib Modderkolk noemt in zijn boek "Het is oorlog, maar niemand die het ziet" ook gemakzucht als reden waarom er te weinig aan cybersecurity wordt gedaan. Gemakzucht uit zich daarbij in: eenzelfde wachtwoord voor verschillende diensten, simpele toegangscodes en het niet meteen updaten van apps of besturingssystemen. Gemakzucht is niet zonder risico's: het zijn vooral de zwakke plekken waar criminelen toeslaan.

Tot slot: vier vragen voor de business

Cybersecurity gaat vaak over techniek en te weinig over de risico's en kansen voor de business. Het gerenommeerde beveiligingsbedrijf Fox-IT biedt organisaties met een vijftal vragen zicht op hoe de business zich kan aanpassen op de cyberdreigingen:

1. wat zou dit jaar mijn nummer 1 cyber security prioriteit moeten zijn en wat heb ik nodig om hierin succesvol te zijn?
2. Is de cyber security strategie goed afgestemd met de bedrijfsdoelen?
3. Heb ik vertrouwen dat het cyber security programma mijn business beschermd?
4. Heb ik de juiste informatie om cyber risico te managen?
5. Hoe kan mijn business zich aanpassen om aan de cyber security eisen en richtlijnen te blijven voldoen?

_____________________

REFERENTIES

• Cyber Security Raad, 6 april 2021. CSR Adviesrapport 'Integrale aanpak cyberweerbaarheid', CSR Advies 2021, nr. 2.
• ISO, 16 mei 2021. Guidelines for cybersecurity.
• MTI San Jose State University, September 2020. Is the transit industry prepared for the cyber revolution?
• Centraal Bureau voor de Statistiek (CBS), 7 mei 2021. Cybersecuritymonitor 2020.
• Boehm J, Kaplan J en Richter W (McKinsey), juni 2020. Safeguarding against cyberattack in an increasingly digital world.
• Howard J, Fox-IT NCC, mei 2021. Five questions you should be asking about your business’ cyber resilience.
• Modderkolk, H, augustus 2020. Het is oorlog, maar niemand die het ziet. 12e druk.