Het dreigingslandschap is een bonte lappendeken
Om maar eens met de open deur in huis te vallen: het dreigingslandschap is in de afgelopen jaren in sneltreinvaart veranderd en gegroeid. Vanuit de lucht bekeken lijkt de sneltrein door een bonte lappendeken van landschappen te razen. Tegenwoordig is het voor de meeste bedrijven niet langer de vraag óf, maar wanneer er een succesvolle hack plaatsvindt. Belangrijke oorzaken hiervoor zijn onder meer het gemak waarmee ook niet-specialisten een cyberaanval kunnen kopen, de veranderende geopolitieke situatie, maar ook nog altijd een gebrek aan geloof dat ‘ons bedrijf’ getroffen kan worden.
En dat laatste is misschien nog wel de grootste dreiging. Zoals dr. Rick van der Kleij, lector Cyberweerbare Organisaties bij Avans en sr. cybersecurity onderzoeker bij TNO, afgelopen zomer al in een blogbijdrage schreef: vaak is er onvoldoende motivatie of een misplaatste overtuiging dat de overheid voor meer cyberveiligheid moet zorgen. Dit zorgt voor een groeiende cyberweerbaarheidskloof die snel verkleind moet worden, aldus de Cyber Security Raad in een recent advies.
De CSR baseert zich weer op studies van Deloitte en TNO, die ook concluderen dat er met name in het mkb een groeiende kloof is tussen bedrijven die hun cyberweerbaarheid op orde hebben en achterblijvers bij wie dit nog niet het geval is. En aangezien het mkb de economische ruggengraat van Nederland vormt, kan de groeiende kloof een grote impact hebben op bedrijfsleven en samenleving.
Aanpak van mindset
Van der Kleij, die ook betrokken was bij het onderzoek van TNO, schetst in zijn blog een onderverdeling in de mindset van mkb-organisaties, die de overheid kan helpen om gerichter maatregelen te nemen. Het gaat daarbij kort door de bocht met name om voorlichten over de mate van cyberdreiging, het wijzen op laaghangend fruit waarmee de meest voorkomende cyberrisico’s aangepakt kunnen worden en het faciliteren van uitwisseling van ervaringen.
Van der Kleij zal zijn visie op cyberweerbaarheid ook ontvouwen tijdens een paneldiscussie gedurende de Dutch IT Security Day, die op 15 oktober plaatsvindt. Tijdens deze middag komen ook andere belangrijke oorzaken naar voren van het snel veranderende dreigingslandschap – en mogelijkheden om de weerbaarheid te vergroten. Maar ook tijdens de prestigieuze One Conference (1-2 oktober), onderdeel van de Haagse Cybersecurity Week, wordt er uitgebreid aandacht gegeven aan de impact van de zaken zoals de veranderende geopolitieke situatie, en mogelijke oplossingsrichtingen.
Hybride oorlogsvoering
Tijdens een interview met het toenmalige hoofd van de unit Weerbaarheid van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD), Bas Dunnebier, ging Dutch IT Leaders vorig jaar al de diepte in om de groeiende dreiging te duiden van statelijke actoren zoals Rusland, China, Iran en Noord-Korea. Hybride oorlogsvoering door deze autoritaire staten omvat alles van het mogelijk doorsnijden van onderzeese glasvezelkabels tot volledige ontwrichting van bedrijfsleven en samenleving door vitale infrastructuren digitaal te treffen.
Niet voor niets maakt weerbaarheid een groeiend aandeel uit van waar onder meer de AIVD zich mee bezighoudt, maar ook organisaties zoals de NS. En, stelde NS-CISO Dimitri van Zantvliet onlangs, daar moeten snel stappen in gezet worden. Regulering zoals de aankomende Cyberbeveiligingswet kan organisaties wel verplichten tot een veelomvattender aanpak van hun cybersecurity en -weerbaarheid, maar zelfs voor een organisatie als de NS kost het tijd om dit op de vlakken technologie, mensen en processen tot in de haarvaten te integreren.
De mens is hierbij vaak de laatste verdedigingslinie, zo stelt CISO Jeroen Schipper van de gemeente Den Haag in een binnenkort te publiceren interview met Dutch IT leaders (en niet de zwakste schakel), maar technologie is volgens Schipper nog belangrijker. “Als iemand in onze organisatie een phishing-mail krijgt, is het belangrijk dat dit als zodanig herkend wordt, maar het betekent ook dat onze security gefaald heeft.”
Moedeloosheid geen optie
Uiteindelijk is er een veelheid van oorzaken – voor een veelheid aan cyberdreigingen met een grote diversiteit aan beweegredenen – van simpel economisch gewin tot hybride oorlogsvoering. Soms zou je er als ‘gewone’ organisatie bijna moedeloos van worden. Zeker wanneer er ook nog eens allerlei aanbieders aan de deur kloppen met hun ‘perfecte’ oplossing (even voor de duidelijkheid: die bestaat niet). Kies daar maar eens uit wat voor jouw organisatie het beste past.
Maar al lijken de mogelijkheden en aanvalsroutes van cybercriminelen en statelijke actoren soms onuitputtelijk: niemand staat er alleen voor. Ook zonder de diepe zakken van een groot concern kunnen ook kleinere mkb-bedrijven veel voor elkaar krijgen. Door te leren van elkaar (en open te zijn over wanneer het toch mis gaat), door gebruik te maken van voorlichting en advies van organisaties zoals (maar niet alleen) het DTC als het gaat om stappen die je kunt zetten, of subsidies die je kunt aanvragen om je cyberweerbaarheid te vergroten. Om met een uitspraak van Dimitri van Zantvliet af te sluiten: ‘We hoeven niet te winnen, alleen in de race te blijven’
Laat je inspireren over hoe je in de race kunt blijven tijdens de Dutch IT Security Day op 15 oktober in Kamerik.