10 juli 2018 4 min Auteur: Erik Remmelzwaal

9 basisprincipes voor veilig digitaal ondernemen

De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) sprak in het Cybersecuritybeeld Nederland 2018 harde woorden. Veel organisaties hebben hun veiligheid niet op orde. De digitale weerbaarheid van Nederland staat daardoor onder druk. Met welke basismaatregelen kunnen we het tij keren?

'Uit incidenten blijkt dat organisaties niet altijd basismaatregelen treffen', zo stellen de auteurs van het Cybersecuritybeeld Nederland 2018 (CSBN 2018). En dat kost het bedrijfsleven veel geld, blijkt ook uit de voorbeelden die in het rapport worden aangehaald. Zo moest maritiem transportbedrijf Maersk vorig jaar een schade van 300 miljoen euro incasseren als gevolg van de NotPetya-aanval. Die schade zou waarschijnlijk beperkter zijn geweest als hygiënefactoren zoals netwerksegmentatie en veilig gebruik van beheeraccounts zouden zijn geregeld.

De noodkreet van de NCTV komt niet geheel onverwacht. De oproep om meer aandacht te besteden aan de ‘basishygiëne’ is de laatste tijd vaker te horen, onder andere van het Nationaal Cyber Security Centrum in Nederland maar ook in het Verenigd Koninkrijk. Des te opvallender dat uit het Cybersecuritybeeld verder niet duidelijk wordt over welke basismaatregelen we het hebben. Een gemiste kans. Navraag leert dat men verwijst naar het Digitale Trust Centre (DTC) voor verdere verdieping. Ergens wel logisch gezien de rolverdeling, maar een directe link vanuit het CSBN zou toch niet hebben misstaan.

5 basisprincipes...

Het gloednieuwe DTC – dat mkb’ers en de niet-vitale private sector bijstaat met informatie en advies – kiest voor een meer pragmatische aanpak. Al bij de lancering begin juni presenteerde deze instantie de ‘5 basisprincipes van veilig digitaal ondernemen’ die op de website concreet worden uitgewerkt. Ik haal ze hier kort aan:

1. Inventariseer kwetsbaarheden

Het DTC adviseert om elke zes maanden te inventariseren welke apparatuur, software, netwerkverbindingen en gegevens u in huis heeft en wat de kwetsbaarheden zijn. Dit is nodig om te bepalen welke beschermende maatregelen nodig zijn. Die kwetsbaarheden kunt u bijvoorbeeld in kaart brengen met een pentest of een vulnerabilityscan.

2. Kies voor veilige instellingen

Veel apparatuur en software wordt geleverd met een standaard gebruikersnaam en wachtwoord, zoals ‘admin, admin’. Voor kwaadwillenden is het dan een koud kunstje om binnen te dringen. Een ander probleem is dat functies en diensten die niet worden gebruikt automatisch ‘aan’ staan. Let hierop bij de installatie. Het kan handig zijn om de KPN Security Policy (KSP) te raadplegen als leidraad bij ‘systeemhardening’ (PDF).

3. Voer updates uit

Cybercriminelen kunnen misbruik maken van kwetsbaarheden die niet zijn gedicht. Zorg daarom dat apparaten en software zijn voorzien van de meest recente updates en patches.

4. Beperk de toegang

Zorg ervoor dat werknemers alleen toegang hebben tot de systemen en data die ze nodig hebben voor hun werkzaamheden. Zo verkleint u de kans op misbruik en ongelukken.

5. Zorg voor bescherming tegen malware

Dat kan bijvoorbeeld door medewerkers te attenderen op de gevaren van phishing, gebruik te maken van antivirusprogramma’s of de installatiemogelijkheden van software te beperken. Zo voorkomt u dat malware schade veroorzaakt aan apparaten, software of data.

…maar dit ontbreekt

Met deze 5 basisprincipes geeft het DTC een prima aanzet tot een betere basishygiëne. Ze komen dan ook terug in de ‘baseline’ voor security die DearBytes en KPN al langer hanteren. Toch denk ik dat er enkele basisprincipes ontbreken die net zo goed onmisbaar zijn. Basisprincipes 6 tot en met 9 zien er zo uit:

6. Scan e-mail

Volgens het CSBN 2018 blijft e-mail een populair middel voor het uitvoeren van digitale aanvallen. Ruim 90 procent van de malwarebesmettingen vindt per e-mail plaats. Daarnaast is phishing een groot probleem en is ook CEO-fraude een groeiende dreiging. Scanning van binnenkomende e-mail mag dan ook niet ontbreken.

7. Beveilig mobiele devices

Primaire bedrijfsprocessen lopen steeds vaker via mobiele apparaten, en daarmee ook gevoelige bedrijfsgegevens. Basishygiëne is dan ook niet mogelijk zonder de mobiele apparaten zoals smartphones, tablets en laptops te beheren en beveiligen.

8. Investeer in monitoring

Bovenstaande maatregelen leveren inzicht op in wat er zich afspeelt in de digitale omgeving. Het zal tot alarmen bij kwetsbaarheden en incidenten leiden. Daar hoort onlosmakelijk bij om voorbereid te zijn in wie zo’n signalering gaat afhandelen. Monitoring dus en als onderdeel daarvan een response plan. Vaak wordt monitoring als een groot en complex thema gezien, maar het is belangrijk om gewoon te beginnen en in kleine stapjes uit te breiden.  Een eerste stap is het verzamelen en interpreteren van en reageren op de meldingen die bijvoorbeeld door de firewall worden gegenereerd, zoals het NCSC ook voorschrijft. Dit vereist wel specialistische kennis waarvoor vaak gekozen wordt voor outsourcing.

9. Zorg voor een continu proces

En last-but-not-least is het allerbelangrijkste om security onder controle te krijgen door te streven naar doorlopende verbetering. Activeer de ‘plan-do-check-act’ (PDCA)-cyclus om te leren van de incidenten en kwetsbaarheden en steeds beter te worden.

In het huidige tijdperk van digitale transformatie is security niet meer een optie, maar een grondvoorwaarde. Het is tijd om een visie te ontwikkelen waarin security onderdeel is van integraal kwaliteitsmanagement op de gedigitaliseerde bedrijfsprocessen. Dat betekent ook dat security constant moet verbeteren. Alleen zo wordt u daadwerkelijk digitaal steeds weerbaarder.

Erik Remmelzwaal

Erik is Managing Director Security Services bij KPN. Hij is zijn carrière in 2001 begonnen bij DearBytes, waar hij ervaring heeft opgedaan als developer, securityconsultant en incident responder. In 2011 klom hij op tot CEO van DearBytes. In deze positie heeft hij DearBytes laten groeien tot een van de grootste Managed Security Service Providers van Nederland. In 2017 werd DearBytes overgenomen door KPN en werd Remmelzwaal als Director Products aangesteld. Sinds begin 2018 geeft hij ook leiding in de rol van Managing Director van Security Services.

- Auteur: Erik Remmelzwaal

Gerelateerde artikelen