Van compliance naar proactieve beveiliging met de Secure by Design-aanpak
Hoe bouw je je producten, processen en systemen? In een wereld waarin digitale bedreigingen zich sneller dan ooit ontwikkelen, is het moeilijk om een organisatie te vinden die het belang van beveiliging niet inziet. En als er nog steeds organisaties zijn die het veranderende bedreigingslandschap nog niet hebben ingehaald, dan zullen de implementaties van de nieuwe cyberbeveiligingswetgeving van de Europese Unie, zoals NIS2 en de Cyber Resilience Act, hen hiertoe dwingen.
Het wordt echter steeds duidelijker dat compliance niet de belangrijkste drijfveer of zelfs het einddoel moet zijn. In dit artikel bespreken we het belang van Secure by Design en leggen we uit waarom deze aanpak steeds belangrijker wordt voor het voortbestaan van bedrijven.
Beveiliging vanaf de grond opbouwen
Secure by Design is een fundamentele benadering van cyberbeveiliging waarbij de nadruk ligt op het inbouwen van beveiligingsmaatregelen in systemen en processen vanaf het allereerste begin, in plaats van ze achteraf toe te voegen.
Zowel de EU-richtlijn voor netwerk- en informatiebeveiliging (NIS2) als de Cyber Resilience Act (CRA) hebben elementen van de Secure by Design-benadering opgenomen. Deze regelgeving verplicht bedrijven om beveiligingsmaatregelen te implementeren tijdens de ontwerpfase van producten en diensten, deze te onderhouden gedurende de gehele levenscyclus en verantwoordelijkheid te nemen voor de beveiliging van de toeleveringsketen. Dit omvat overwegingen over waar gegevens worden opgeslagen, verwerkt en getransporteerd, met passende beveiligingsmaatregelen die in elke fase worden geïmplementeerd. Maar waarom was dit nodig?
Het veranderende bedreigingslandschap vraagt om een nieuwe aanpak
De commercialisering van cyberbedreigingen heeft de beveiligingsvergelijking voor bedrijven fundamenteel veranderd. Ransomware-aanvallen zijn geëvolueerd van het versleutelen van gegevens naar het stelen en dreigen met de verkoop van gevoelige informatie. Daarnaast hebben statelijke actoren uit landen als Rusland en China hun intrede gedaan in het speelveld, waarbij hun aanvallen vaak samenvallen met belangrijke politieke gebeurtenissen.
"De dreiging bestaat niet meer alleen uit actieve aanvallen zoals ransomware", zegt Sander Dorigo, Senior Security Architect bij Fox Crypto. "We zien ook statelijke actoren die wachten op geschikte momenten, zoals vlak voor belangrijke onderhandelingen of topontmoetingen, om hun aanvallen te lanceren."
Verschuiving van verantwoordelijkheid van menselijke fouten naar systeemontwerp
Tegelijkertijd zien we een belangrijke paradigmaverschuiving in de manier waarop organisaties beveiligingsincidenten benaderen. In plaats van menselijke fouten de schuld te geven, zoals werknemers die op phishing-links klikken, erkennen bedrijven steeds meer de noodzaak om systemen te ontwerpen die voorkomen dat dergelijke fouten catastrofale gevolgen hebben.
"Het is cruciaal voor organisaties om een omgeving te creëren waarin mensen dit soort fouten niet kunnen maken," benadrukt Sander. "Als er een phishingmail doorkomt en één op de duizend werknemers klikt erop, dan moet je systemen hebben om die link te blokkeren en soortgelijke e-mails onmiddellijk uit ieders inbox te verwijderen."
Op weg naar 100% veiligheid?
Een Secure by Design-aanpak moet niet worden gezien als een éénmalige implementatie. De markt en bedreigingen blijven zich ontwikkelen, waardoor ze voortdurend moeten worden aangepast en verbeterd. Bedrijven trappen vaak in de val door te denken dat ze één concept kunnen implementeren en voor altijd volledig veilig zijn.
"Het is een illusie om te denken dat je absolute veiligheid kunt bereiken," voegt Sander toe. "Het doel is niet om 100% veilig te zijn: dat zou te statisch zijn. Concentreer je er in plaats daarvan op dat je controle hebt over je belangrijkste gegevens en effectief kunt reageren wanneer zich incidenten voordoen."
Door de Secure by Design-principes succesvol te implementeren, kunnen organisaties overstappen op een meer proactieve cyber security strategie, waarbij ze niet langer voortdurend reageren op bedreigingen, maar deze anticiperen en voorkomen. Deze evolutie vereist echter aanhoudende inzet en begrip dat beveiliging een doorlopende reis is, in plaats van een bestemming.