Nieuwsbrief
Cybersecurity TIPS
Nederland digitaliseert. De ontwikkelingen binnen de digitalisering gaan razendsnel en zijn niet meer weg te denken uit het bedrijfsleven. Iedere ondernemer krijgt vroeg of laat te maken met de impact van snelle technologische ontwikkelingen. Cybersecurity, ofwel het waarborgen van veiligheid in het gebruik van digitale technologieën, is daarom ook steeds belangrijker om bijvoorbeeld Datalekken, DDoS-aanvallen en ransomware te voorkomen. In dit nieuwsbericht regelmatig een nieuwe tip voor de beveiliging.
Kijk naar het totaalplaatje
Allemaal zijn we inmiddels doordrongen van het belang van cybersecurity of informatiebeveiliging. Organisaties denken vaak dat met het doen van een penetratietest, medewerkers jaarlijks een phishingtest voor te schotelen of een aantal technische maatregelen te nemen het wel snor zit.
Helaas, wordt er veelal vergeten dat we alle verschillende veiligheidsaspecten in samenhang zouden moeten bekijken om daadwerkelijk een volledig beeld te krijgen van de organisatie en om de zwakke plekken te identificeren. Nog te vaak gaat het om de losse producten; een pentest hier, een e-learning daar en wordt geheel geen aandacht besteedt aan de samenhang tussen de verschillende aspecten. Die penetratietest bijvoorbeeld, zijn daarbij de resultaten van de phishingtest gebruikt en zijn ze ook eens naar binnen gelopen om te kijken of we niet gewoon op het interne netwerk kunnen inprikken?
Fysieke veiligheid, digitale veiligheid en het menselijke aspect zijn geen losstaande onderdelen die we als aparte stukjes moeten benaderen. Het is van belang dat er integrale aanpak wordt gehanteerd. Zodanig dat de volledige keten onder de loep wordt genomen op de de as van mens, organisatie en techniek. Vooral bij het opstellen van de verbeterplannen moet er gewaakt worden dat het niveau van weerbaarheid in combinatie met werkbaar- en wendbaarheid op al deze gebieden in orde is om zo in control te komen en te blijven.
Dit denken zien we nu langzaam aan bij de grotere organisatie die TIBER (Threat Intelligence-based Ethical Red-Teaming) aan het omarmen zijn. Ook vanuit de overheid komen ook signalen dat red teaming waarbij de barrières tussen digitaal, fysiek en de mens worden geslecht de standaard gaat worden.
Dus vandaar: Kijk niet alleen naar techniek, kijk niet alleen naar de mens en kijk niet alleen naar de fysieke beveiliging, maar combineer deze zaken; roep de verantwoordelijken (Management, HR, IT en Beveiliging) bij elkaar, gooi combineer de (test)budgetten en ga gezamenlijk het project aan om uw organisatie integraal te verbeteren op het gebied van informatie beveiliging.
Meer weten hoe dit aan te pakken?
Neem dan vrijblijvend contact met op met een van onze consultants. Ultimum.nl/Cybersecurity: security@ultimum.nl
Allain Silbernberg – Chief Business Line Officer Ultimum, december 2022
Weet wat je moet doen om het cybercriminelen moeilijker te maken
Ondernemers vragen me vaak wat ze moeten doen om een betere verdediging te hebben tegen cybercriminelen. Er zijn een paar zaken die ik altijd noem zoals het maken van goede back-ups en het gebruik van multifactorauthenticatie. Meestal verwijs ik naar de Basisscan Cyberweerbaarheid die we hebben gemaakt. Daarmee kun je in 5 tot 10 minuten testen hoe jouw onderneming scoort op de 5 basisprincipes van veilig digitaal ondernemen. Deze scan is opgesteld door het Digital Trust Center (onderdeel van het ministerie van Economische Zaken en Klimaat). Na het invullen van de scan ontvang je een rapport, waarin per basisprincipe wordt weergegeven in hoeverre je de basis op orde hebt. Als je de basis nog niet op orde hebt, dan krijg je advies over hoe je er zelf mee aan de slag kunt. Doe de Basisscan Cyberweerbaarheid.
Jacco van der Kolk – Relatiemanager Digital Trust Center (oktober 2022)
Installeer updates zodra ze beschikbaar komen
Leveranciers van software, operating systemen en apps bieden regelmatig updates aan. Omdat deze updates vaak ook zorgen voor verbeteringen van informatiebeveiliging, raden wij aan om updates zo snel mogelijk te installeren. We beseffen dat het soms hinderlijk kan zijn als er bijvoorbeeld een herstart van een systeem of applicatie nodig is, maar besef dat criminelen constant op zoek zijn naar kwetsbaarheden in software in systemen, om toegang te krijgen tot deze systemen.
Jan Martijn Broekhof – Managing Director Guardian360 (september 2022)
Zorg dat digitale risico’s (periodiek) worden beoordeeld
Je hebt goed hang-en sluitwerk op de toegangsdeuren en gevelopeningen van je bedrijfspand, dat wordt vervangen als het defect is en periodiek wordt onderhouden zodat het correct blijft functioneren. Je hebt een alarminstallatie en een camerasysteem voor het beschermen van eigendommen die zijn aangelegd door een beveiligingsinstallateur, deze worden hersteld zodra ze niet correct functioneren en worden jaarlijks onderhouden. De processen voor fysieke beveiliging, zoals: alarmopvolging, screening van medewerkers, waarschuwingsadressen, sleutelbeheer, etc. zijn georganiseerd. Je bent ten slotte bekend met de (fysieke) dreigingen die voor jouw organisatie van toepassing zijn en je weet aan welke wet- en regelgeving je moet voldoen als het gaat over bescherming van bedrijfseigendommen en persoonsgegevens, waaronder in ieder geval de Algemene Verordening Gegevensbescherming (AVG) en eisen van je verzekeraar. Je handelt hiernaar door geaccepteerde risico’s te nemen, op de hoogte te blijven van kwetsbaarheden voor jouw organisatie en deze periodiek te evalueren. Kortom je fysieke beveiliging is goed voor elkaar.
Als je nu denkt: ‘Mijn fysieke beveiliging heb ik helemaal niet op orde. Ik neem helemaal geen geaccepteerde risico’s en wist niet dat de AVG iets met fysieke beveiliging te maken had’, dan moet je je afvragen of je met voldoende gemoedsrust kunt ondernemen en eventueel extra ondersteuning van een specialist moet inschakelen.
De bescherming van je bedrijfseigendommen is niet alleen kwetsbaar door een gebrek aan fysieke beveiliging, maar tegenwoordig in nog grotere mate door digitale dreigingen. Deze digitale dreigingen hebben, om het allemaal eenvoudig te houden, ook weerslag op je fysieke beveiliging en vice versa. Je inbraakalarmsysteem, toegangscontrolesysteem en poorten in je hekwerk zijn waarschijnlijk ook verbonden met het internet en dus heb je te maken met de risico’s die hierbij horen.
Het onhandige van digitale dreigingen is dat zowel de dreigingen als de te nemen maatregelen veel minder tastbaar zijn als goed hang- en sluitwerk, een camerasysteem en een hekwerk om je bedrijfspand. Dit is dan ook de uitdaging.
Voor de ondernemer die de fysieke beveiliging heeft georganiseerd geldt dat de periodieke evaluatie van dreiging/compliance, beveiligingsmaatregelen, controle en verbetering (lees: managementsysteem of risicomanagement) uitgebreid moet worden met het onderdeel digitale beveiliging (cybersecurity).
Het uitgangspunt voor jou als ondernemer moet zijn dat zowel voor fysieke als digitale dreigingen aanvaardbare risico’s worden genomen doordat de juiste beveiligingsmaatregelen zijn geïmplementeerd en deze periodiek worden geëvalueerd op basis van de fysieke en digitale dreigingen die voor jouw organisatie gelden.
Digitale beveiliging (weerbaarheid) toevoegen aan je risicomanagementsysteem is één van dé agendapunten voor organisaties voor komende periode. Risicomanagement aangaande digitale weerbaarheid van organisaties staat nog in de kinderschoenen, aldus het NCTV (bron: Cybersecuritybeeld Nederland, CSBN 2022).
Kortom: bescherm wat van waarde is door digitale beveiliging, net als fysieke beveiliging, periodiek te beoordelen en te verbeteren.
Daniël de Jong, security consultant & fraude- en incident onderzoeker AVAQ (juli 2022)
Gebruik nooit WiFi op luchthavens
Na een lange vlucht kom je eindelijk aan op je bestemming en wil je snel even je e-mail checken. Roamingkosten buiten de Europa kunnen echter fors oplopen. Gelukkig biedt WiFi op de luchthaven uitkomst. Hierbij kun je doorgaans kiezen tussen vele WiFi-punten, die in verschillende varianten vertellen dat hun WiFi gratis, snel of juist veilig is. Nu weet je wellicht dat publieke WiFi-punten niet veilig zijn, net zoals het bekende WiFi in de trein netwerk. Voor luchthavens speelt hier echter een andere dimensie: vanwege de gevoeligheid van internationaal reizend personeel zijn ook inlichtingendiensten hier actief met hun eigen WiFi-punten, waarbij ze hopen zoveel mogelijk reizigers te verleiden om te verbinden. Iedereen kan immers kiezen hoe ze hun eigen WiFi-punt noemen, en een router kun je in principe meedragen in je rugzak.
Dit betekent dat WiFi-punten op luchthavens niet alleen onveilig zijn vanwege de dreiging van hackers, maar ook doelbewust worden opgericht door buitenlandse inlichtingendiensten om gericht jouw bedrijfsinformatie te stelen. Daarom, zelfs als het een betaalde dienst is: gebruik nooit WiFi op luchthavens.
Maar wat betekent dit nu voor je bedrijf of organisatie? Het beste kun je dit beantwoorden door goed te kijken naar de uniciteit van je eigen organisatie. Denk aan dan competitive pricings modellen of je bijzondere product/dienstverlening, research & development van nieuwe producten die nagemaakt kunnen worden, CRM-systeem dat bij andere partijen bekend wordt en waardoor de clientèle bekend wordt, strategische planning of imago schade doordat bijvoorbeeld onderzoeksinformatie expres gelekt wordt. Dit zijn slechts enkele in de realiteit voorkomende gevallen.
Wat is de kans dat dit gebeurd? Dit hangt af van vele factoren zoals de landen waar je actief bent, het concurrentieveld, de (lands)belangen en de uniciteit van je product of diensten. De meest in het oog springende zaken die je in de media terug ziet gaan over bedrijven in de aerospace (zie de spionage zaak van Airbus en Boeing), automotive industrie of defensie industrie, maar in ons dagelijks werk komen we het in alle sectoren en in alle landen tegen.
Daan Brink, managing partner Proximities (juni 2022)
Train, oefen of doorloop eens een cyberscenario
Een incident of cybercrisis kan elke organisatie overkomen: beeldschermen op zwart, vertragingen doordat systemen niet zijn te gebruiken of een wachtwoord reset uit voorzorg. U kent waarschijnlijk nog meer voorbeelden. De vraag is niet of het gebeurt, maar wanneer overkomt het ons? Bereid uw organisatie daarom voor op een cyberincident door met betrokkenen te trainen of te oefenen. Bij wie komt het incident binnen, wie betrekt de directie of neemt deel aan het crisisteam? En wie besluit om het systeem preventief stil te leggen? Of doorloop eens tijdens een lunch het (keten)scenario; op maandagochtend doen de systemen gek. Hoe reageren wij als organisatie? Voorbereid reageren helpt erger te voorkomen en veelal de impact te reduceren.
Niek van As, Senior crisis en resilience adviseur Aon (april 2022)
Wachtwoord, update en phishing
Cybercriminelen komen op drie manieren binnen. Via zwak wachtwoordgebruik, via kwetsbaarheden op je systemen of met behulp van phishing. Een twee-staps verificatie helpt bij het versterken van de sloten op je ‘digitale voordeur’. Update daarnaast je systeem, zoals laptop en telefoon, zodra er een update beschikbaar is. Bijvoorbeeld herkenbaar aan het rode icoontje bij je instellingen. En tenslotte herken een phishingmail. Drie stappen die hierbij helpen. Check de afzender. Klik nooit op linkjes of open bijlage als je het bericht niet verwacht of vertrouwt. Én wees op je hoede als er sprake is van urgentie in het bericht. Ieder mens voelt vaak de noodzaak om gelijk te acteren en daar maken cybercriminelen graag gebruik van.
Inge van der Beijl, Director Behaviour & Training Northwave (maart 2022)
Gebruik Tweestapsverificatatie
Tweestapsverificatie (2FA) zorgt ervoor dat je naast je gebruikersnaam en wachtwoord, nog iets nodig hebt om in te loggen. Een kwaadwillende kan dan, wanneer hij of zij je gebruikersnaam en wachtwoord achterhaalt, toch niet inloggen. Heel veel diensten bieden 2FA gratis aan, denk aan LinkedIn, Gmail en Microsoft. Het enige dat je nodig hebt is een gratis app op je telefoon. 2FA verlaagt de kans op ransomware met tientallen procenten.
Jan Martijn Broekhof – Guardian360 (februari 2022)
