Print:

Omgaan met cyberaanvallen: dit zijn de tips van en voor CISO’s

Nederlandse organisaties zijn uiterst kwetsbaar voor digitale aanvallen, waarschuwde de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) recent in het Cybersecurity Beeld Nederland (CSBN). Hoe gaan Chief Information Security Officers (CISO’s) met de cyberrisico’s om? Paul Oor van Conclusion en Jan Willem Schoemaker van het Erasmus MC vertellen over de ontwikkelingen, uitdagingen en best practices.

Jan Willem Schoemaker | IIR“De Chief Information Security Officer (CISO) is verantwoordelijk voor het gehele proces van informatiebeveiliging en beheert daarvoor het Information Security Management System. Daarmee speelt de CISO een sleutelrol in het omgaan met cyberrisico’s en de manifestatie van digitale dreigingen”, zegt Jan Willem Schoemaker, CISO en Business Continuity Manager bij het Erasmus MC, over de betrokkenheid van CISO’s bij de omgang met cyberrisico’s.

Het Cybersecurity Beeld Nederland (CSBN), waarvan de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) recent de nieuwe editie presenteerde, maakt een onderscheid tussen risico’s, die verwijzen naar de kans dat een incident plaatsvindt, en de daadwerkelijke manifestatie daarvan. “De rol van de CISO is om het hele proces van digitale weerbaarheid in kaart te brengen en de maatregelen te organiseren om de organisatie voor te bereiden op risico’s en incidenten”, vertelt Schoemaker. “De CISO is nadrukkelijk niet degene die maatregelen in de praktijk invoert, maar houdt het overzicht over het hele proces van risicomanagement. Het gaat dan om het samenstellen van een gebalanceerde mix van maatregelen om risico’s te beperken, maar bijvoorbeeld ook om de voorbereiding op cyberaanvallen en de borging van de bedrijfscontinuïteit tijdens incidenten.” Bij grote incidenten kan de CISO ook een rol spelen in het crisismanagement en het advies daarover aan de directie.

Overtuigen

Volgens een recent onderzoek van Kaspersky Lab is 86 procent van de CISO’s ervan overtuigd dat hun organisatie vroeg of laat te maken krijgt met een cyberinbraak. Toch geeft ruim een derde van de CISO’s aan dat het vereiste budget voor IT-security niet is gewaarborgd.

“CISO’s zijn zich terdege bewust van de risico’s van cyberaanvallen. De uitdaging is om de organisatie ervan te overtuigen om prioriteit te geven aan de risico’s”, zegt Paul Oor, Chief Security Officer bij de Nederlandse IT-dienstverlener Conclusion. Conclusion bundelt de expertise van 25 ondernemingen die actief zijn op verschillende terreinen van IT-dienstverlening.

Paul-Oor IIR“De verhalen in de media over spionage door China en Rusland zorgen voor meer bewustwording van de problematiek”, denkt Oor. “Maar we beseffen niet altijd hoe groot onze grote afhankelijkheid van ICT is geworden. Het functioneren van overheden, bedrijven en de samenleving is sterk afhankelijk van de continue beschikbaarheid van ICT. Denk alleen al aan wat er zou gebeuren als kwaadwillenden de stoplichten in een stad uitzetten, of de stroomvoorziening van een ziekenhuis uitschakelen.” Volgens het CSBN 2019 ligt zelfs ontwrichting van de Nederlandse samenleving op de loer. “Een incident in een netwerk kan leiden tot een keten van incidenten en uiteindelijk uitval van bijvoorbeeld gas, water of elektra. Door het bijna volledig verdwijnen van analoge alternatieven en de afwezigheid van terugvalopties is de afhankelijkheid zo groot geworden dat aantasting kan leiden tot maatschappij ontwrichtende schade,” aldus het rapport.

Awareness als uitdaging

Uit onderzoek dat is uitgevoerd in het kader van de ontwikkeling van de Europese Cybersecurity Act, die in mei 2019 officieel is erkend door het Europees Parlement en de Raad van de Europese Unie, is naar voren gekomen dat 80 procent van Europese bedrijven in 2016 met minstens één cybersecurity incident te maken kreeg. Recenter zei ruim de helft van de directeuren die deelnamen aan onderzoek van het internationale advocatenkantoor Allen & Overy en het consultancybureau Willis Towers Watson in 2018 te maken hebben gehad met een cyberincident. In 2017 was dit minder dan een derde. De verwachting van de onderzoekers is dat deze dreiging alleen nog maar toeneemt.

Een beroep op fear, uncertainty & doubt is niet altijd de beste manier om de awareness van securityrisico’s aan te vliegen, zegt Oor, die eerder onder andere werkte als Chief Security Officer bij Atos. “Maar CISO’s hebben wel de verantwoordelijkheid om te vertellen welke reële risico’s er zijn. Bovendien kunnen CISO’s hun collega’s erop wijzen dat het van essentieel belang is dat de organisatie zorgvuldig met data, persoonsgegevens en andere assets omgaat – en dat preventie zeker niet kansloos is. Ze hebben ook een voorbeeldrol om respect te creëren voor de mensen die zich dagelijks inzetten om de organisatie en informatie veilig te houden.”

 “Het is belangrijk dat CISO’s op managementniveau aangeven welke risico’s er spelen, wat eraan gedaan wordt en wat de organisatie verder nog kan ondernemen”, vult Schoemaker, die naast CISO ook gastdocent van de praktijkcursus Security voor privacy professionals en spreker tijdens de Dag van de Privacy Officer is, aan. “Publicaties zoals het CSBN helpen om het management te informeren over de trends, risico’s en lessen van andere organisaties.”

Digitale weerbaarheid vergroten

 Een grote uitdaging voor CISO’s is om naast het versterken van awareness ook oplossingen aan te dragen die de digitale weerbaarheid van de organisatie vergroten. Oor: “Dat betekent vooral dat security goed in de organisatie wordt ingebed. Securitymanagement moet voortdurend op de agenda staan, óók als dat voor de organisatie soms lastig is – en de aanpak niet erg sexy klinkt.”

Een gestructureerde risico-aanpak is essentieel, zegt ook Schoemaker. “Identificeren, beschermen, detecteren, reageren en herstellen zijn hiervan de basisonderdelen. Normenkaders voor cybersecurity, zoals van het NIST, helpen ook om gestructureerd aan de slag te gaan.”

Voor een groot deel berust de voorbereiding op cyberaanvallen op routinematige activiteiten, zoals continue updates, scans op kwetsbaarheden en PEN-tests, aldus Oor. “Dat lijkt misschien saai, maar moet wel gebeuren. Automatisering kan trouwens wel helpen om veelvoorkomende controles uit te voeren.” Schoemaker vult aan: “Je moet goed weten wat de kwetsbaarheden van de organisatie zijn. Naarmate we als organisaties afhankelijker zijn van digitale systemen, wordt het steeds moeilijker om een IT-middel na een cyberaanval compleet stil te leggen om te onderzoeken wat er is gebeurd.”

“Know your enemy”, vat Schoemaker zijn advies samen. “Het worst case scenario is dat een organisatie zich niet bewust is dat er iets is misgegaan. De gemiddelde tijd die het organisaties kost om een hack of datalek te ontdekken ligt eerder in dagen of weken dan in minuten of uren. Actuele kennis over trends, technieken en modus operandi kan bijdragen aan een betere weerbaarheid.” Zo hebben banken met succes actie ondernomen tegen phishing, maar hebben daders de modus operandi hierop aangepast. Het CSBN 2019 signaleert dat phishing e-mails voor leken steeds moeilijker zijn te herkennen, waardoor detectie via software belangrijker wordt.

Oefenen met concrete oplossingen

Oor adviseert CISO’s om te focussen op doelgroepspecifieke oplossingen. “Aan de hand van aansprekende voorbeelden kan voor specifieke doelgroepen worden aangeven wat er kan misgaan, wat er moet worden gedaan om risico’s beheersbaar te maken en wat de beste manier is om op een incident te reageren.” Bij het Erasmus MC is hiervoor een Computer Emergency Response Team (CERT) ingesteld, vertelt Schoemaker. “De CISO vervult een belangrijke rol bij de opleidingen, trainingen en oefeningen die het CERT organiseert.”

E-learning is nog altijd een veelgebruikte methode om basiskennis over security te creëren. Maar voor effectieve kennisontwikkeling zijn doelgroepgerichte, eigentijdse leermethoden zoals gamification onmisbaar, zegt Oor. “In een simulatie kunnen mensen echt ervaren hoe preventie werkt. Daardoor blijven adviezen beter hangen en ontstaan vaak nieuwe ideeën en inzichten.”

Slimme samenwerking

De CISO doet er ook goed aan om intern de samenwerking op te zoeken, zegt Oor. Bijvoorbeeld met (andere) security officers. “De meeste ondernemingen die onderdeel zijn van Conclusion hebben een eigen security officer”, geeft hij als voorbeeld uit zijn eigen praktijk. “Als Chief Security Officer ondersteun ik de kennisuitwisseling tussen de security officers en let ik op de synergie en consistentie tussen de security policies en werkwijzen van de diverse ondernemingen.” Via oefeningen met blue teams en red teams kunnen verschillende professionals elk vanuit hun eigen perspectief en rol de kwetsbaarheden van systemen testen. Hierbij ligt ook samenwerking met IT-ontwikkelaars voor de hand.

Bovendien liggen er mogelijkheden om met andere bedrijven, overheden en universiteiten samen te werken. Initiatieven zoals de Cybersecurity Raad (CSR), het Nationaal Cyber Security Centrum (NCSC) en het Digital Trust Center (DTC) maken zich sterk voor dergelijke samenwerking. Schoemaker: “Ook goede contacten met partijen in het veld, zoals de politie, het Openbaar Ministerie en forensische experts, zijn belangrijk. Bij grote oefeningen zoeken wij graag de samenwerking met partners zoals universiteiten, hogescholen en SURF, de vereniging van Nederlandse onderwijs- en onderzoeksinstellingen. De samenwerking met al dit soort stakeholders helpt om nieuwe kennis op te doen én te toetsen hoe de digitale weerbaarheid van de organisatie ervoor staat.”

Alles weten over de taken en verantwoordelijkheden van de CISO bij cybersecurity, en nog meer leren van vakgenoten en experts uit de praktijk? Volg dan de 3-daagse praktijkcursus CISO als strategisch business partner.

Meer informatie?

Laat uw e-mail achter en ontvang de brochure direct in uw mailbox.