20 april

Vergroot je cyberweerbaarheid

Het rapport ‘Een nooit gelopen race – Over cyberdreigingen en versterking van weerbaarheid’ is geschreven in opdracht van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en de AIVD. De conclusie van het Rathenau Instituut is verontrustend: Nederland is een aantrekkelijk doelwit voor cybercriminelen, cyberspionnen en hackers. Wat doe je daaraan?

Jaya Baloo, Chief information Officer KPN

Jaya Baloo, Chief Information Security Officer KPN: “Financiële risico’s, dat is een taal die iedereen spreekt.“

1. Begin bij de basis

Volgens Jaya hebben veel gemeenten en mkb’ers de basis niet goed op orde. Jaya: “Ik las dat tweederde van alle gemeenten vorig jaar een datalek heeft gemeld. Daar schrok ik echt van. Tegelijkertijd verbaast het me niet. Virussoftware is vaak niet up-to-date, hardware heeft niet het juiste patchniveau. En hackers? Die gaan voor de weg van de minste weerstand. Ze gebruiken geen ingewikkelde, hypermoderne technieken om binnen te komen, als het ook gewoon via een phishingmail kan. Mijn eerste tip is dan ook: breng je basis op orde. Zorg dat software altijd up-to-date is, maak regelmatig back-ups, voer periodiek penetratietesten uit en zorg voor sterke wachtwoorden.”

2. Maak je securitybeleid toegankelijk en persoonlijk

Misschien nog wel belangrijker dan software is de menselijke factor, vertelt Jaya: “Security awareness is de belangrijkste eerste stap om je organisatie te beschermen tegen cyberaanvallen. Veiligheidsbewustzijn is ieders verantwoordelijkheid. Van degene die de server met alle GBA-gegevens beheert, tot de baliemedewerker die moet zorgen dat hij geen vertrouwelijke informatie aan de verkeerde persoon geeft of laat slingeren.” Dat betekent dus ook dat mensen op al die niveaus moeten snappen hoe zij veilig handelen. “Een securitybeleid opstellen en verspreiden via intranet is niet voldoende. Want dat leest bijna niemand. Sowieso mag je er niet van uitgaan dat mensen zoiets abstracts op zichzelf en hun eigen functie betrekken. Vertel medewerkers dus heel gericht en persoonlijk wat ze moeten doen om veiligheidsrisico’s te beperken.”

3. Ken je zwakke plekken en stel de juiste prioriteiten

Een ander element van veiligheidsbewustzijn is weten welke risico’s je loopt en hoe je jouw organisatie daartegen beschermt. Jaya: “Het gaat erom dat je je eigen netwerk kent. Waar staat welke informatie? Wat zijn zwakke plekken? Welke risico’s loop ik daardoor? En, belangrijker nog: welk risico heeft de grootste prioriteit? Vergelijk het met een bezoek aan de eerste hulp. Als iemand binnenkomt met een hartstilstand en een snee in z’n been, dan wil je eerst het hart weer op gang brengen, ook al zit dat been onder het bloed. Soms is alleen die snee zichtbaar en weet je niet dat er nog meer speelt. Kijk daarom altijd verder, zodat je niet het slachtoffer wordt van een slimme afleidingsmanoeuvre, zoals een DDOS-aanval.”

4. Houd altijd zelf de verantwoordelijkheid, wat je ook uitbesteedt

Gemeenten besteden regelmatig zaken uit. Daarnaast werken ze met externe partners voor bijvoorbeeld smart-citytoepassingen. Juist daarom is het volgens Baloo zo belangrijk dat je als gemeente de controle houdt over de cybersecurity van de producten en diensten van je toeleveranciers. “Je moet vertrouwen hebben in je partners, maar ze tegelijkertijd ook scherp houden. Er is niets mis met een beetje professionele paranoia. Wat je ook uitbesteedt, blijf er zelf bovenop zitten. Alle eisen die ik aan KPN stel op het gebied van security, stel ik ook aan onderaannemers en partners. Ik ga ook zelf op inspectie. Dat is geen kwestie van ..n keer checken en dan achterover leunen. Veiligheid is niet statisch, maar een continu proces.”

5. Maak gebruik van kennis en tools van anderen

“Veel partijen sluiten aan bij initiatieven om de veiligheid te verhogen. Zo tekenden KPN en een groot aantal andere organisaties begin dit jaar de Intentieverklaring Veilige E-mail Coalitie. Verder stellen wij ons LoRa-netwerk beschikbaar aan het National Cyber Security Testbed, een initiatief van The Hague Security Delta. Dat richt zich op het vergroten van de informatieveiligheid van smart cities.” Ook deelt KPN zijn kennis actief. Zo heeft KPN zijn securitybeleid ‘open source’ online gezet op Github, en een CISO-app ontwikkeld. Die is te vinden in de iTunes Store. “Hiermee kunnen securityprofessionals hun eigen beleid eenvoudig schrijven, toetsen en optimaliseren. De app bevat onder andere een mooie feature om de risico’s van cyberdreigingen in kaart te brengen en door te vertalen naar financiële risico’s. Zo maak je security-issues pas écht goed zichtbaar. Want financiële risico’s, dat is een taal die iedereen spreekt.”

Meer tips over cybersecurity vind je op kpn.com/security