Nieuwe cyberbeveiligingswetten alleen maar benaderen als compliance-taken schiet tekort om een effectieve cyberbeveiligingsstrategie te creëren, zegt Hendrik Schimmelpenninck van der Oije, executive consultant bij Fox-IT. Door je te richten op de intentie achter deze regelgeving en de redenen voor hun specifieke eisen te begrijpen, kun je doordringen tot de kern van wat cyberbeveiliging is.
Hendrik zal spreken op onze komende NIS2 webinarwaar we het zullen hebben over de nieuwe NIS2-richtlijn, wat er verandert voor organisaties en hoe het volgen van de NIS2-regelgeving en het toepassen van kritieke maatregelen zoals MFA en netwerksegmentatie hand in hand kunnen gaan om uw beveiligingshouding te verbeteren.
Kruip in de huid van de aanvaller
Hoe maak je een heel abstract concept als cyberbeveiliging begrijpelijk en toepasbaar voor een organisatie? "Dit is wat ik dagelijks doe," zegt Hendrik. "Mijn doel is om de cybersecurity volwassenheid van de organisaties waarmee we werken naar een hoger niveau te brengen. Om dat te bereiken, kijken we naar een aantal zaken. Hoe groot is de organisatie? Wat zijn hun risico's? Elke organisatie is anders, dus elke strategie is anders."
Met zijn achtergrond als ethisch hacker brengt Hendrik een ander perspectief in de aanpak. "Ook al breng ik mijn dagen niet meer door met het hacken van systemen en netwerken, mijn ervaring geeft me nog steeds een bepaalde manier om naar de digitale wereld te kijken."
Bij het evalueren van de cybersecurity van een bedrijf zet Fox-IT vaak een red team in om kwetsbaarheden en zwakke plekken in de beveiligingsinfrastructuur te identificeren. Red teams bootsen de tactieken, technieken en procedures na van kwaadwillende actoren zoals hackers om de effectiviteit van de verdediging van de organisatie te testen. "We slagen er vaak in om netwerken van bedrijven binnen te dringen", zegt Hendrik. Waarom? "Omdat deze bedrijven cyberbeveiliging hebben benaderd als een soort abstracte compliance-gedreven activiteit."
In navolging van de NIS2-richtlijn moeten organisaties daarom overstappen van een op regels gebaseerde aanpak naar een op risico's gebaseerde aanpak, stelt Hendrik. "In plaats van eisen af te vinken, moet je gaan kijken naar de risico's van je organisatie. Wat moeten we beschermen? Waar zijn we kwetsbaar? En welke maatregelen zijn relevant voor ons? Kruip in de huid van een aanvaller, stel scenario's op waarbij je ervan uitgaat dat je netwerken worden gekraakt en ga van daaruit verder."
NIS2-maatregelen concreet maken
NIS2 maakt deze aanpak nog relevanter, stelt Hendrik. "Hoewel NIS2 eisen bevat, blijft de wet over het algemeen vrij abstract. En dat is nodig: omdat de wet zoveel landen en sectoren omvat, kan hij niet extreem specifiek zijn. Hoewel de landspecifieke vertalingen gedetailleerder zullen zijn, blijft dat abstractieniveau gehandhaafd."
Dit betekent dat er werk aan de winkel is voor organisaties, voegt hij eraan toe. "Organisaties moeten gaan nadenken over hoe NIS2 op hen van toepassing is. Hoe passen we basale cyberhygiënemaatregelen toe? Wat moet er worden versleuteld?"
Organisaties zijn verantwoordelijk voor het terugbrengen van het abstractieniveau naar een concrete, actiegerichte bestuursstructuur die is afgestemd op hun organisatie, stelt Hendrik. "Op het moment dat je echt gaat kijken waar je staat als organisatie, wat zijn je bedreigingen, wat zijn je belangen, dan kun je gaan bepalen wat je strategie en maatregelen moeten zijn. NIS2 helpt daarbij, omdat het een risicogebaseerd perspectief vereist."
"Mijn advies is om altijd naar de geest van de wet te kijken", zegt Hendrik. "Probeer jezelf af te vragen: wat was de motivatie om deze specifieke vereisten op te nemen? Pas als je in die mindset komt, kun je door de abstractie heen snijden en tot de kern komen van wat cyberbeveiliging voor jouw organisatie zou moeten zijn."
Cyberbeveiliging herpositioneren
Cyberbeveiliging is een enorm interessant onderwerp, met veel ongelooflijke verhalen over aanvallen en technische tovenarij. Maar meestal is cyberbeveiliging stiekem heel alledaags, zegt Hendrik. "Het is hygiëne. We hebben standaardprocessen en -maatregelen nodig om onze cyberhygiëne op peil te houden. En die taken zijn meestal gewoon heel repetitief."
Tegelijkertijd kunnen organisaties aarzelen om nieuwe cyberbeveiligingsmaatregelen te nemen. "Iets waar organisaties vaak mee worstelen, is dat er vaak te laat over beveiliging wordt nagedacht en dat het in de weg zit. Stel je voor, je hebt een geweldig product, je hebt iets nieuws ontwikkeld, je lanceert een website en dan komt de beveiligingsafdeling langs en stelt een hoop moeilijke vragen en vertraagt je lancering. Daarom wordt beveiliging vaak gezien als een kostenpost en een drempel in organisaties."
Maar als cyberbeveiliging goed wordt uitgevoerd, maakt het nieuwe dingen mogelijk in organisaties. "Tijdens Covid-19 hadden veel bedrijven problemen omdat hun beleid niet toestond dat werknemers bepaalde gegevens op afstand verwerkten, wat betekende dat iedereen naar kantoor moest komen om te werken. Door extra maatregelen toe te voegen, zoals multi-factor authenticatie, konden ze echter de bescherming van hun gegevens op afstand verbeteren en mensen toegang geven vanaf thuis."
Het is belangrijk om na te denken over hoe je beveiliging als organisatie positioneert, zegt Hendrik, omdat beveiliging ook moet worden gezien als een enabler, niet alleen als een drempel. "Begin na te denken over de waarde die deze maatregelen zullen toevoegen en wat het je organisatie kan opleveren."
Het is ook belangrijk om je strategie te communiceren naar je klanten. "Als je er transparant over bent en je kunt laten zien dat je meer doet dan je concurrenten, dan wordt het een unique selling point. Op deze manier herpositioneer je cyberbeveiliging als een business enabler."
"Uiteindelijk is beveiliging een zeer complex onderwerp, maar soms zijn er echt eenvoudige oplossingen. Een voorbeeld is de DataDiode, wat een mooi stukje technologie is dat vrij eenvoudig toe te passen is, omdat je je er niet per se dagelijks mee bezig hoeft te houden of het hoeft te onderhouden. Het is echt technologie die voor je werkt."
NIS2-webinar
Meer weten over NIS2 en de gevolgen voor gesegmenteerde netwerken? Kom dan op 7 november naar een verhelderende sessie met Bart Groothuis over de nieuwe NIS2-richtlijn en de cruciale rol van segmentatie. Registreer hier.