Grote kans dat je als financiële instelling al eens direct of indirect te maken hebt gehad met een cyberincident, bij jezelf of ergens in je keten. Van grote banken tot bekende zorgverzekeraars, het overkomt ook de besten. Belangrijk is dat je op zo’n moment de bedreiging op tijd weet te detecteren, snel erop kunt reageren en het zo goed mogelijk kunt indammen. Zonder dat je dienstverlening daar ernstig schade van ondervindt. Dát is cyberweerbaarheid. En daar komt veel bij kijken.
Belangrijke ketenpartner
Wij zijn voor veel financiële instellingen een belangrijke ketenpartner. En daarom krijgen wij steeds meer vragen over het verhogen van de cyberweerbaarheid. Bovendien werken wij zelf ook met toeleveranciers. Ketenpartners met systemen en toepassingen, waar wij op onze beurt over in control moeten zijn. Zeker nu financiële instellingen moeten voldoen aan
Vanuit die ervaring delen wij de 5 belangrijkste adviezen met je. Direct uit eigen keuken.
1. Assetmanagement
Risicomanagement heeft een grote rol in de nieuwe wetgeving. Maar die risico’s kun je pas goed inschatten wanneer je precies weet wat je hebt, wat zich op je netwerk begeeft én hoe dat zich hoort te gedragen. Assetmanagement dus. En daar kan technologie als machine learning en andere kunstmatige intelligentie (AI) je goed bij helpen, voor bijvoorbeeld razendsnelle gedragsanalyse en het herkennen van patronen. Extra belangrijk nu een deel van de assets steeds tijdelijker is en daardoor lastiger in kaart te brengen. Denk maar aan containers: kleine, geïsoleerde omgevingen in de cloud waarin je snel en makkelijk software kunt uitrollen. Containers kunnen in 2 tot 3 seconden ontstaan en weer verdwijnen. Geen beginnen aan dus.
Vul je assetmanagement daarom aan met anomaliedetectie. Vanuit de wetenschap hoe je assets zich normaal op het netwerk behoren te gedragen, signaleer je daarmee op tijd afwijkend gedrag. Op de plekken waar je assetmanagement niet afdoende is, wijst de anomaliedetectie je op eventuele gaten in je verdediging. Zoals plotseling geopende achterdeurtjes of ongewoon veel verkeer.
2. Ken je keten
Je assetmanagement kan zich niet meer beperken tot alleen je eigen interne organisatie – vanuit het principe van ketenveiligheid heb je ook overzicht over de assets in je keten nodig. Er hoeft maar één toeleverancier gevoelige gegevens in een cloudoplossing op te slaan of op een andere manier slordig met je systemen om te gaan. Met als resultaat: een datalek of een wijd openstaande achterdeur.
Zoek daarom op een positieve manier de samenwerking met je ketenpartners. Je hebt immers een gedeeld belang: een sterke en cyberweerbare keten. Ontwikkel samen effectieve service level agreements (SLA’s), inventariseer met welke partners jouw partners samenwerken en spreek af hoe jullie rapporteren. Gezamenlijke audits en regelmatige gesprekken zijn belangrijk om goed in control te zijn en te blijven over de ketenveiligheid.
Wil jij weten hoe andere financiële instellingen zorgen voor een weerbare keten? Meld je dan nu aan voor het webinar
Wanneer je niet te veel derde partijen op je netwerk wilt hebben, is het aan te raden zelf audits op je systemen uit te voeren en die aan je ketenpartners aan te bieden. Dat doen wij zelf ook: we laten we frequent audits door onafhankelijke partijen uitvoeren. Aangevuld met de KPN Security Policy (KSP), waarin we veel van onze veiligheidsmaatregelen delen (zie kader), weten onze opdrachtgevers en partners precies waar ze met ons aan toe zijn.
Hebben je ketenpartners dergelijke informatie niet openbaar, check dan zelf of ze beschikken over alle benodigde certificaten. Zoals gangbare ISO-normen en ISAE-verklaringen.
KSP: houvast bij je eigen securitybeleid
In ons securitybeleid, de KPN Security Policy (KSP), combineren we wereldwijde standaarden met een eigen Nederlandse aanpak. De KSP geeft ruim 10.000 KPN’ers én duizenden medewerkers van andere organisaties houvast. Je vindt er, naast strikt wettelijke verplichtingen, alle maatregelen en vereisten waar onze organisatie én leveranciers aan moeten voldoen.
De KSP is grotendeels openbaar toegankelijk. Je kunt de structuur en opzet dus ook als een best practice gebruiken voor je eigen securitybeleid. Veel organisaties doen dat al. Benieuwd?
3. Heb nul vertrouwen
Is er toch ergens in je keten een zwakke schakel? Dan kun je met Zero Trust de schade inperken. De naam zegt het al: dit framework vertrouwt niets en niemand, ook al is de gebruiker of het apparaat de ‘buitenmuren’ al gepasseerd. Want komt de aanvaller via de keten, dan passeert het die buitenmuren vaak onopgemerkt.
Met Zero Trust neem je technische en organisatorische maatregelen. Segmentering bijvoorbeeld, waarmee je ervoor zorgt dat er óók dikke sloten op de deuren tussen je systemen zitten. Een aanvaller kan daardoor niet zomaar van de ene naar de andere omgeving. Daarnaast controleer je op kritieke punten op je netwerk (‘chokepoints’, oftewel: flessenhalzen) wat er allemaal gecommuniceerd wordt. Dat laat je continu vergelijken met een database waarin staat óf toepassingen mogen communiceren en hóe. Is er een afwijking, dan start een ‘loop’, een procedure. Dat een toepassing op een zijspoor gezet wordt bijvoorbeeld.
In die loop bouw je ook in hoe belangrijk een toepassing is, zodat niet zomaar cruciale systemen als je rekeningbeheer eruit liggen. Gaat het om gebruikers en apparaten, dan checkt de loop onder meer bij je Join Move Leave (JML) of de toegangsinformatie nog up-to-date is. En wat een gebruiker of apparaat op elk moment mag.
Zelfs beheerders vertrouw je niet meer. En daarmee kun je op weerstand stuiten. Want binnen Zero Trust mag een persoon of systeem niet zelfstandig in staat zijn om een belangrijk onderdeel van een keten plat te leggen. Heb je de procedures en verantwoordelijkheden niet goed op orde, dan kunnen changes bijvoorbeeld langer duren: je kunt geen geitenpaadjes meer bewandelen en moet langs verschillende beheerders om zaken voor elkaar te krijgen. Toch is Zero Trust de weerstand waard. Het is de enige manier om ketenveiligheid in je organisatie te borgen.
4. Samen testen
Liggen er goede SLA’s, heb je Zero Trust geïmplementeerd, ken je je keten van voor tot achter, dan is het tijd om samen de cyberweerbaarheid te testen. Want ook al heb je alle rapportages ontvangen en voldoe je samen met ketenpartners aan wet- en regelgeving, de realiteit is weerbarstig. Dat je compliant bent, zegt nog niet dat je niet meer geraakt kunt worden door een incident. Test daarom ook je incidentresponsplannen en zorg voor goede testomgevingen. Zodat je toch niet per ongeluk een productieomgeving in gevaar brengt. Vergeet niet te controleren of er voor elke loop (zie punt 3) een passende procedure is en dat de onderlinge SLA’s daar goed op aansluiten.
5. Exitstrategie
Bij het testen kunnen nieuwe kwetsbaarheden omhoog komen, waardoor blijkt dat een leverancier toch niet meer bij je past. Of er is een nieuwe technologie die de lat voor security veel hoger legt. Denk aan een leverancier die niet kan voldoen aan hogere encryptiestandaarden. Dan is een exitstrategie onmisbaar (en vanuit DORA ook verplicht, overigens).
Ben jij op zoek naar effectieve strategieën voor risicomanagement en compliance? Lees dan ons e-book over cyberweerbaarheid in de financiële sector.
Kom naar het webinar over security voor de financiële wereld
Heb je vragen over deze 5 adviezen of ben je benieuwd naar de praktische implicaties van Zero Trust in de keten? Op 27 november organiseren we een interactief webinar over cyberweerbaarheid in de financiële keten. En natuurlijk staan we stil bij de grootste bedreigingen voor financiële instellingen en de maatregelen die daar minimaal voor nodig zijn. Leer van de experts en schrijf je nu in.