6 minute read
Grotere afhankelijkheid van technologie maakt organisaties kwetsbaarder
Risicorapport Cyberveiligheid 2019 van Aon:
Advertisement
van technologie maakt organisaties kwetsbaarder’
Doordat medewerkers, organisatieprocessen en toeleveranciers steeds afhankelijker worden van technologie, ontstaan compleet nieuwe cyberrisico’s. Ook de risico’s op het overtreden van wet- en regelgeving op het gebied van cyberveiligheid nemen toe. Waakzaamheid op alle fronten is daarom van belang, zo blijkt uit een rapport van Aon.
Het risicorapport Cyberveiligheid 2019 ‘De zeven risicogebieden voor ondernemend Nederland’ richt zich op zeven specifieke risicogebieden waar organisaties in 2019 mogelijk mee te maken krijgen. Het rapport beschrijft de grootste bedreigingen voor de cyberveiligheid en de uitdagingen waar organisaties mee worden geconfronteerd. Naarmate organisaties steeds meer technologie gebruiken om de overdracht van informatie te versnellen, leidt dit tot innovatiekansen maar ook grotere cyberrisico’s.
Eigen medewerkers groot risico
Een van de belangrijkste risico’s voor cyberveiligheid zijn eigen medewerkers. Meer dan de helft (53%) van de organisaties heeft in het afgelopen jaar te maken gehad met een cyberaanval door bewuste acties of onopzettelijke fouten die binnen de organisatie zijn ontstaan, zo blijkt uit onderzoek onder 472 cybersecurity professionals van Crowd Research Partners. Desondanks zijn medewerkers zich vaak niet bewust van de dreiging die ze vormen.
De stijgende invloed van technologie op de functies en werkzaamheden van medewerkers zorgt daarbij voor een nog groter cyberrisico.
Operationele gegevens
Tegelijkertijd is er een toename van de hoeveelheid operationele gegevens op mobiele en randapparaten (onder andere ‘the Internet of Things’; IoT). Elk apparaat op de werkplek vormt daardoor een potentieel veiligheidsrisico. Het aantal IoTapparaten binnen organisaties neemt de komende jaren sterk toe, terwijl de beveiliging van deze apparaten bij veel organisaties onvoldoende is. Een groot probleem ligt bij het gebrek aan inzicht in het gebruik van IoTapparaten en het aantal daarvan. Veel organisaties hebben geen weet van alle apparaten die hun personeel gebruiken een groeiend aantal heeft deze apparaten dankzij externe partners. Dit leidt nu al tot beveiligingslekken. Effectieve inventarisatie van IoTapparaten en duidelijkere communicatie en training op het gebied van cyberveiligheid voor medewerkers wordt daarom dit jaar van essentieel belang.
Veel meer macht
“Veel medewerkers hebben dankzij technologische ontwikkelingen onbedoeld veel meer macht in handen gekregen dan organisaties achteraf gezien misschien hadden bedoeld. Daardoor kunnen zij onbedoeld door manipulatie van criminelen of door fouten veel meer schade aanrichten dan wenselijk is. Het zou goed zijn om de rechten, mogelijkheden en training van medewerkers daarom structureel onder de loep te nemen”, aldus Maarten van Wieren, managing director van Aon’s Cyber Solutions. “Bij veel organisaties is het bijvoorbeeld nog steeds mogelijk dat werknemers per ongeluk of opzettelijk een bestandsfolder van de server kunnen verwijderen. Ook komt het nog regelmatig voor dat medewerkers toegang hebben tot informatie die niet voor hen is bestemd, zoals privacygevoelige informatie. De uitdaging is om technologie op een dusdanige manier beschikbaar te maken voor medewerkers dat zij met minimale risico’s optimaal hun werk kunnen doen.”
Striktere handhaving
Naast de (interne) cyberrisico’s neemt het aantal wetten, regels, richtlijnen en normen op het gebied van cyberveiligheid voor organisaties toe. Vorig jaar werd de wet en regelgeving bovendien strikter gehandhaafd; het risico op nietnaleving stijgt in 2019 verder.
“Organisaties richten zich nu vooral op het minimaliseren van risico’s door het nemen van beheersmaatregelen, om zo overtreden van regels en boetes te vermijden. Een gevolg daarvan is dat organisaties onderling zo min mogelijk data met elkaar delen, terwijl dat soms juist ook voordeel oplevert voor de bescherming van data”, zegt Van Wieren. Hij roept overheden en beleidsmakers daarom op om deze afwegingen beter te faciliteren. “In aanvulling op juridische kaders is er ook behoefte aan coördinatie vanuit toezichthouders over informatieketens heen. De vraag zou moeten zijn: hoe kunnen we de uitwisseling van data en ketenintegratie zo inrichten, dat we er als samenleving beter van worden?”
Expertise om de dreiging te verhelpen is allang beschikbaar Waterwegen onnodig lang kwetsbaar
De Algemene Rekenkamer heeft alarm geslagen bij het ministerie van Infrastructuur en Waterstaat, omdat de Operationele Technologie (OT) van onze waterwegen niet goed beveiligd is tegen digitale aanvallen. Oudere apparatuur, die draait op oudere software, is onvoldoende bestand tegen moderne dreigingen vanuit cyberspace.
Voor de digitale beveiliging van de Nederlandse Waterwerken is volgens de Rekenkamer al veel werk verricht, maar de ambitie om eind 2017 bij alle vitale waterwerken cyberaanvallen direct te kunnen detecteren was in het najaar van 2018 nog niet gerealiseerd. Hierdoor bestaat het risico dat Rijkswaterstaat een cyberaanval bij een vitaal waterwerk niet of te laat detecteert. Risico’s wegnemen door de systemen te moderniseren is volgens Rijkswaterstaat technisch uitdagend.
Internationale ervaring
“Vanuit onze internationale ervaring met Operationele Technologie en cybersecurity hebben wij een zeer goed beeld van de risico’s waar de Nederlandse waterwerken mee te maken hebben. De dreiging is reëel”, bevestigt Oscar van Os, Manager Security Operations Center (SOC) bij Thales en internationaal specialist in de beveiliging van kritische infrastructuren. Hij denkt ook dat de oplossing van de genoemde problemen binnen
handbereik ligt. “Wij helpen al meer dan 15 jaar, over de hele wereld, bij de beveiliging van de OT én ITomgevingen van nucleaire installaties, waterzuiveringsinstallaties, defensie en andere kritieke infrastructuur waar cybersecurity van levensbelang kan zijn. Daarvoor maken wij onder meer gebruik van geïntegreerde CSOCs: Cyber Security Operations Centers die niet alleen kijken naar de ITkant, maar juist ook naar Operationele Technologie. Die ervaring is per direct beschikbaar.”
OTtechnologie, waar bijvoorbeeld de SCADAsystemen en plc’s van de machines binnen de waterwerken onder vallen, vraagt om fundamenteel andere expertise dan bij de cybersecurity in de informatietechnologie gebruikelijk is. “Rijkswaterstaat heeft een goed plan en een helder beeld van waar ze naartoe willen. Maar met name aan de OTkant proberen ze nu kennis en ervaring op te bouwen waar wij al vele jaren over kunnen beschikken, terwijl ze zelf ook al aangeven dat de specialisten die ze daarvoor nodig hebben steeds moeilijker te vinden zijn. Door samenwerking op te zoeken met ervaren marktpartijen, kunnen ze de gewenste resultaten veel sneller bereiken.”
Pas op met pentests
Volgens de Algemene Rekenkamer is het, om de huidige situatie te verbeteren, nodig het actuele dreigingsniveau te onderzoeken en te besluiten of extra mensen en middelen nodig zijn. Ook zou het voor een snelle en adequate reactie op een crisissituatie van essentieel belang zijn informatie uptodate te brengen. Pentesten zouden integraal onderdeel uit moeten maken van de cybersecuritymaatregelen bij vitale waterwerken. Verder zou moeten worden bezien of medewerkers van het SOC beter moeten worden gescreend.
Over de pentesten is Van Os kritisch: “Daar moeten ze heel erg mee uitkijken. De oude software die op dergelijke productie OTomgevingen draait, is daar niet altijd tegen bestand. Als door zo’n test een machine vastloopt, is het leed niet te overzien.” Veiliger en effectiever is volgens Van Os continue monitoring van de IT en OTomgeving. “De Machine Learning technologie en Artificial Intelligence in onze systemen kan incidenten in de ITomgeving correleren
aan de OTomgeving, waardoor we toekomstige incidenten op IT en OTniveau kunnen voorspellen en voorkomen.”
Onmiddellijk
Volgens Van Os kan de cybersecurity industrie bij alle overige genoemde uitdagingen vrijwel onmiddellijk van dienst zijn. “Wij zijn bijvoorbeeld in staat met onze technologie de netwerkoverzichten, die volgens de Rekenkamer nu nog ontbreken, binnen een dag boven tafel te krijgen. We kennen de dreigingen, we hebben de tools en de expertise om incidenten in dergelijke omgevingen te detecteren, en onze medewerkers zijn op het hoogste veiligheidsniveau gescreend en gecertificeerd.” Het enige wat Rijkswaterstaat zou moeten loslaten, is het idee dat ze het helemaal zelf moeten oplossen. “Als de dreiging zo groot is, en de techniek gecompliceerd, is samenwerking met ervaren experts echt de beste manier om snel tot een goede oplossing te komen.”
