Opinie

Een waakzame boardroom, een weerbare organisatie

Houd een cyberaanval tegen door de tegenstander te kennen

Hackers lijken soms alles te kunnen en binnen zeer korte tijd. Daardoor houden cyberrisico’s organisaties steeds meer bezig. Door te weten hoe hackers werken kun je je hier tegen weren, en dan kom je er ook achter dat je cybercriminelen ook heus kunt stoppen. Daarbij is de rol van de board uiteraard essentieel.

21 januari 2016 - Jelle Niemantsverdriet

In sommige media wordt paniekerig bericht dat criminele hackers je data binnen tien seconden kunnen stelen en dat je daar niets tegen kunt doen, maar dat klopt niet.  Elk incident verloopt namelijk volgens een vergelijkbaar patroon – vergelijkbaar met hoe een vliegtuigongeluk veelal ook het gevolg is van een aaneenschakeling van kleine verstoringen of fouten. Het eindresultaat kan weliswaar verschrikkelijk zijn, maar daarvan is pas sprake nadat hackers alle fasen hebben doorlopen.

Er zijn vier fasen te onderscheiden: voorbereiding, een voet tussen de deur proberen te krijgen, zijwaarts bewegen en het uiteindelijke doel bereiken.

1.      Bij de voorbereiding van een aanval proberen hackers ‘kennis te maken’ met een organisatie en uit te vinden welke systemen een organisatie gebruikt.

2.      Als ze eenmaal een voet tussen de deur hebben, gebruiken ze die informatie voor bijvoorbeeld het versturen van phishing e-mails. Een phishing mail is op zichzelf niks bijzonders, die krijgen we allemaal. Maar binnen de keten kan het één van de gebeurtenissen zijn die tot grotere incidenten leiden.

3.      Vervolgens gaan de hackers zich gedragen alsof ze de eerste dag op kantoor zijn. Ze doen zich voor als een werknemer. Ze zijn geduldig en proberen zo lang mogelijk onder de radar te blijven.

4.      Dit alles om hun uiteindelijke doel te bereiken: het stelen van data, het overmaken van geld of het verstoren van de bedrijfsvoering.
 

Frameworks testen geen weerbaarheid

Centrale banken en toezichthouders hebben steeds meer oog voor cyberrisico’s, maar ze zijn nog vaak aan het testen wat de beste wijze van toezicht is.  Elke toezichthouder gebruikt een andere methode waardoor banken veel tijd kwijt zijn om de werkelijke situatie te vertalen naar verschillende frameworks. Doordat deze methode veel nadruk legt op compliance is het bepaald niet zeker dat daadwerkelijke weerbaarheid hierdoor toeneemt. Het is in ieder geval niet iets waar cybercriminelen van wakker zullen liggen.

We zouden ons meer moeten concentreren op maatregelen die het weerbaarheidsvermogen verhogen. Dat kan door de huidige situatie te evalueren en een goede manier te bedenken om daarover te rapporteren. Er zijn al toezichthouders die de daadwerkelijke weerbaarheid van organisaties willen testen. Het Britse CBEST is een programma waar bedrijven zich tegen kunnen certificeren. Je huurt een organisatie in die probeert in te breken en kijkt hoe ver ze daarmee komen. De toezichthouder gebruikt deze aanpak om banken met elkaar te benchmarken.
 

Maak organisaties capabel

Een moderne veiligheidsorganisatie moet gefocust zijn op drie factoren: veiligheid, waakzaamheid en weerbaarheid. Veiligheid vereist dat er vanaf het begin over deze dingen wordt nagedacht, en dat men begrijpt wat de belangrijkste assets van de organisatie zijn. Security by design moet het uitgangspunt zijn. Waakzaam ben je als je alert bent op wat er fout kan gaan, als je weet hoe je normale businessmodel er uitziet, zodat je iets abnormaals snel kan opsporen. Weerbaar zijn wil zeggen dat je snapt dat je sommige situaties nu eenmaal niet kunt tegenhouden, maar dat je capabel genoeg bent om terug te veren na een incident.

Een organisatie moet multidisciplinaire teams hebben – niet alleen IT, maar ook juridisch, HR, communicatie – voor als er een incident plaatsvindt. En alle systemen en procedures moeten getest en geoefend worden; dat is een van de meest kostenefficiënte manieren om weerbaar te zijn. Zo lopen we eindelijk weg van de traditionele beveiliging: die van op de rem staan en alleen maar ‘nee’ zeggen. Beveiliging moet een organisatie juist in staat stellen om zo snel mogelijk te gaan, met een goed oog voor de risico’s. En bedenk: als alles onder controle lijkt, dan ga je waarschijnlijk niet snel genoeg.
 

De rol van de board

De uiteindelijke verantwoordelijkheid voor cyberveiligheid ligt bij de CEO, de raad van bestuur en de raad van commissarissen. Het bestuur draagt immers zorg voor de continuïteit van de business. Elk bestuur zou daarom moeten weten waar de kwetsbaarheden van de organisatie liggen, en wat de relevante bedreigingen zijn. Het bestuur moet ook afspreken wie er verantwoordelijk is voor het verminderen van de risico’s, en moet controleren of de juiste maatregelen zijn genomen tegen kleine en grote cyberdreigingen. Tot slot moeten alle procedures voor noodgevallen regelmatig worden geoefend

Terugblik event: A Board's Eye View on Cyber Crisis

Het is vaak griezelig eenvoudig om data van mobiele telefoons te onderscheppen. Hugo van der Toorn, consultant Cyber Risk Services, demonstreerde dat live tijdens het event A Board’s Eye View on Cyber Crisis. Van den Toorn plaatste een verborgen antenne en onderschepte daarmee de signalen van vrijwel elke aanwezige die via een roam acces point zijn mobieltje checkte. Zo’n 80% van de telefoons maakte op deze manier verbinding.  Zo zag hij onder meer dat iemand de eigenaar was van een Tesla, dat enkele mensen lunchten bij Bakker Bart, en dat een van de aanwezigen onlangs een nieuwe vloer had aangeschaft, en waar dan wel. “Als je gebruik maakt van een netwerk zonder wachtwoord, verwijder het dan achteraf”, was het advies van Van den Toorn. “En zet de Wifi uit wanneer je er geen gebruik van maakt.”

Vond u dit nuttig?