Hoe creëer je een proactief cyberrisicobeleid?
Wereldwijd vinden er gemiddeld twee cyberaanvallen per seconde plaats. In 2021 werden in Nederland 6.300 bedrijven getroffen door cyberaanvallen. Grote bedrijven met een omzet van meer dan 10 miljard euro registreren dagelijks gemiddeld 50 veiligheidsincidenten, waarbij de omzetschade tot vijf procent kan oplopen. Een hogere weerbaarheid en betere risico-inventarisatie zijn daarom noodzakelijk. Opmerkelijk is dat het merendeel van de bedrijven nog steeds reactief investeert, pas na een incident. Hoe maak je de overgang naar een proactief cyberrisicobeleid?
Een effectieve start voor een proactief cyberveiligheidsbeleid is het laten testen van de systemen door een externe partij. Het simuleren van een cyberaanval is essentieel. Hierbij verdienen met name penetratietesten, oftewel pentesten, aandacht. Thales Nederland, een beursgenoteerd technologieconcern actief in de bancaire sector en de luchtvaart- en defensie-industrie, voert deze tests regelmatig uit. Hun doel? Elke kwetsbaarheid in hun systemen blootleggen en verhelpen.
Geplande en ongeplande controles
Volgens voormalig Chief Information Officer Henk van Steeg van Thales zijn landen zoals China ongeëvenaard in het vergaren van inlichtingen op grote schaal. “Landen die onze kennis proberen te stelen, vormen een aanzienlijke cyberdreiging.” Van Steeg merkt op dat er tot nu toe geen succesvolle ransomware-aanvallen waren, maar dit vereiste wel een aanzienlijke verhoging van het aantal medewerkers en investeringen in cybersecurity. Thales Nederland voert zowel geplande als ongeplande pentesten uit door zowel een intern team als externe partijen. Van Steeg legt uit dat ze twee soorten pentesten gebruiken. “De eerste simuleert een interne bedreiging, waarbij we een poort in het systeem openen en proberen dieper door te dringen. De tweede test betreft een externe dreiging, waarbij een hacker via het internet probeert binnen te komen. Beide tests resulteren in actiepunten die onze beveiliging optimaliseren.”
Via medewerkers of leveranciers
Meer dan veertig procent van alle ransomware-aanvallen komt voort uit malafide phishing e-mails. Maar liefst zeventig procent van alle veiligheidsincidenten heeft een interne oorzaak. Thales informeert zijn medewerkers uitgebreid over de resultaten van onder andere de pentesten. Hierdoor zijn medewerkers zich bewuster van potentiële dreigingen. Bewustwording is echter niet alleen essentieel voor eigen medewerkers, maar ook voor leveranciers of afnemers. Aangezien leveranciers vaak kleinere bedrijven zijn met minder complexe ICT-infrastructuur en beperkte investeringen in cyberveiligheid, zijn zij een aantrekkelijk doelwit voor cybercriminelen. Demissionair minister Adriaansens van Economische Zaken en Klimaat heeft naar aanleiding van een motie in de Tweede Kamer toegezegd om in samenwerking met het Digital Trust Center een nieuw keurmerk te laten ontwikkelen door het CCV (Centrum voor Criminaliteitspreventie en Veiligheid). Dit keurmerk zal zich richten op het certificeren van het werk van ICT-dienstverleners om mkb-organisaties te helpen bij het verhogen van hun cyberweerbaarheid.
Regelmatige testen
Recente cijfers van het CBS tonen eens te meer aan dat het niet meer de vraag is of je bedrijf zal worden aangevallen, maar wanneer. Zowel grote als kleine ondernemers moeten actief de regie nemen en een actief cyberveiligheidsbeleid implementeren. Een pentest uitgevoerd door een CCV-gecertificeerd cybersecuritybedrijf is een waardevol middel om de veiligheid te toetsen. Regelmatige tests zorgen voor een solide veiligheidsaanpak voor de toekomst. In het tijdperk van voortdurende digitalisatie en de daarmee gepaarde kwetsbaarheid van onze digitale infrastructuur is dit geen overbodige luxe.