Deze blog items komen op de frontpage te staan.

Assurance verklaringen en ISO-certificaten; What the hell is the difference?

Steeds vaker zien we IT-leveranciers met Assurance verklaringen of ISO-certificaten. Gelukkig maar, want ik las laatst dat één op de vijf Nederlandse Organisaties niet goed is voorbereid op een ransomeware-aanval. Nu sluit niets in absolute zin het risico van een dergelijk succesvolle aanval uit, maar ik vermoed toch dat organisaties die een dergelijke objectieve waarborg hebben wellicht toch een minder groot risico lopen. Maar wat zeggen deze Assurance verklaringen en ISO-certificaten nu precies?

Zonder de illusie te hebben hier volledig te zijn, zal ik toch een aantal belangrijke verschillen benoemen waardoor je beter in staat bent te beoordelen wat voor jou relevant is. Allereerst is een ISO-certificaat er primair op gericht de organisatie op een gestructureerde wijze voortdurend te verbeteren. Dit is natuur-lijk heel goed, maar is wellicht niet voldoende als je wilt weten of de voor jouw organisatie relevante risico’s dankzij goede maatregelen ook daadwekelijk slechts een zeer kleine kans op daadwerkelijk manifesteren hebben. Dit is juist de doelstelling van een Assurance verklaring.

Van een Assurance verklaring bestaan er meerdere soorten. Voor IT-leveranciers zijn de zogenoemde ‘3402-verklaring’ en de SOC II/III verklaring’ de meest relevante. Hiervan is de SOC II/III eigenlijk de best passende voor IT-leveranciers. Je kunt hiermee namelijk op Vertrouwelijkheid, Integriteit van Processen, Beschikbaarheid en Security zekerheid geven. Daarbij onderkennen we dan weer twee varianten; een zogenoemd type I waarbij naar documentatie en eenmaal naar het bestaan wordt gekeken (zoals ook bij een ISO-audit) en een type II waarbij ook wordt getoetst of de maatregelen die de risico’s moeten voorkomen over een langere periode aantoonbaar gewerkt hebben.

Ik adviseer aan alle IT-leveranciers dus een SOC II/III verklaring en hoop dat alle organisaties die kiezen voor een IT-leverancier, kiezen voor een leverancier met een dergelijke verklaring!

Ben je benieuwd naar het magazine van Noord-Limburg Business? Kijk dan op deze link!

Autorisatiemanagement: Lastig, lastig, lastig

Met autorisatiemanagement bedoelen we het toewijzen van rechten en bevoegdheden binnen de IT-systemen (applicaties maar ook netwerk en infrastructuur). Een goede inrichting van autorisaties (need-to-have/need-to-know) is ook voor het verkleinen van de kans op een negatieve impact van bijvoorbeeld een hack, uitermate belangrijk. Hackers proberen vooral de inlogcredentials van functionarissen met ruimere bevoegdheden te achterhalen. Idealiter van ‘administrators’. Als dit lukt, kunnen ze namelijk veelal zichzelf als gebruiker aanmaken en gaan er vaak pas laat alarmbellen af (als dat al gebeurt).

Toch besteden wij in verhouding best veel tijd aan het overtuigen van onze klanten dat te veel mensen te veel bevoegdheden hebben. In de praktijk kan het namelijk zeer onpraktisch zijn wanneer een medewerker niet altijd toegang heeft. Ondanks dat dit soms maar één of twee keer per jaar nodig is. Dat is toch ook ‘need to have’ wordt dan weleens gezegd Een dergelijk beperkte noodzakelijke toegang is echter geen ‘need to have’. Vuistregel is dat er één reservefunctionaris moet zijn en dan nog één achtervang welke via een tijdelijke toegang in vakanties en dergelijke kan invallen.

Wellicht wordt dit probleem in de toekomst minder. Er zijn al diverse technische alternatieven waaronder PAM, dat staat voor ‘Privileged Access Management’. Met deze technologie krijgen gebruikers alleen toegang met een encrypted user-ID en wachtwoord wanneer er een directe gebeurtenis is, waar zij vanuit hun functie op moeten acteren én ze op dat moment ook aan het werk zijn.

Ik wens iedereen een snelle (pim) PAM (pet) toe!

Ben je benieuwd naar het magazine van Noord-Limburg Business? Kijk dan op deze link!

Penetratietesten; waar op te letten?

Om te weten of je als organisatie goed bent beschermd tegen digitale aanvallen van buitenaf (‘hacks’) is het verstandig om je bescherming periodiek te laten testen. Dit kan bijvoorbeeld door een vulnerability scan te laten uitvoeren of een penetratietest (ook wel ‘pentest’). Er zijn veel aanbieders van dergelijke testen, maar waar moet je nu op letten? Wanneer heb je bijvoorbeeld een pentest laten uitvoeren waar je enige zekerheid uit mag halen?

Er wordt vaak gesproken in de volgende soorten van pentesten:

Audittypen:
Black Box: de auditor heeft geen kennis van het systeem, behalve naam, IP-nummer etc. van de testomgeving. De tester moet als buitenstaander het interne systeem benaderen en technieken toepassen die een echte hacker ook zou gebruiken.

Grey box: de auditor beschikt over een login en voorkennis van de te testen systemen en kent de resultaten van de black box. Hij heeft geen login van de beheerders. Hiermee wordt onder andere geprobeerd hogere privileges te behartigen.

White box/Crystal box: de auditor heeft volledige voorkennis van de omgeving. Het voordeel daarvan is dat hij zo de gevonden kwetsbaarheden kan valideren en nadere verdieping kan aanbrengen (dit wordt soms ook wel een ‘vulnerability scan’ genoemd).

Vervolgens wordt met auditniveaus de diepgang van de pentest aangeduid:

Auditniveaus:
Niveau 1 (basisbedreigingen test): deze test simuleert een eenvoudige aanval meestal met behulp van gratis beschikbare tools.

Niveau 2 (opportunistische bedreigingtest): deze gaat uit van een ervaren hacker die op een eenvoudige, maar gerichte wijze met automatische en handmatige middelen aanvallen uitvoert op willekeurige systemen.

Niveau 3 (doelgerichte bedreigingentest): deze test simuleert een doelgerichte aanval op systemen door een ervaren hacker. Dit is de meest gekozen diepgang voor onder andere penetratietesten.

Niveau 4 (geavanceerde bedreigingentest): deze test simuleert een aanval door een zeer ervaren hacker met uitgebreide middelen en mogelijkheden.

De audits worden normaliter in fasen uitgevoerd. Meestal wordt gestart met een voorbereiding om een beeld te krijgen van de netwerken en apparaten, etc. Vervolgens vinden de meer specifieke toetsen plaats. Hierbij dient te worden uitgegaan van o.a. de ISO 27001 en de ISO 18028 (standaard voor netwerkbeveiliging), conform de PTES (Penetration Testing Execution Standard). Webapplicaties dienen getest te worden op kwetsbaarheden die zijn opgenomen in de OWASP- en WASC-TC standaarden, waaronder ‘SQL-injection’, ‘cross-site-scripting’ en configuratiefouten in de website. Er wordt normaliter getest op ten minste 300 mogelijke kwetsbaarheden.

Simpele vuistregel is dat de kwaliteit van een pentest sterk wordt beïnvloed door de duur van de test (over welke periode mag de test worden uitgevoerd) en welke software-tools de pentester gebruikt (‘hoe meer’ is in dit geval vaak ook ‘hoe beter’).

Nu je wat meer zicht hebt op de wijze waarop je een pentest kunt vormgeven, ben je wellicht ook beter in staat je af te vragen wat jij voor je organisatie nodig hebt en wat dus wanneer bij jouw behoefte aan zekerheid past!

Ben je benieuwd naar het magazine van Noord-Limburg Business? Kijk dan op deze link!

Alleen een back-up maken is niet voldoende

Randsomware-aanvallen, datalekken, hoge boetes; de afgelopen maanden zijn grote bedrijven die hiermee te maken kregen uitvoerig in het nieuws gekomen. Maar ook het mkb loopt grote risico’s indien de cybersecurity en het naleven van de AVG intern niet op orde zijn. Gelukkig weet NewDay op een overzichtelijke manier de risico’s in kaart te brengen en om te zetten in een praktische oplossing.

Cyber security

Het mkb is de afgelopen jaren steeds meer aan het automatiseren geslagen. Dat is volgens Alex Klaassen van IT Risk organisatie NewDay een positieve ontwikkeling. “Maar ik merk ook dat ondernemers op het gebied van cybersecurity flink achterblijven. Gemak en efficiëntie staan vaak voorop, maar daar betaal je de prijs voor in de vorm van diverse IT-risico’s. En die risico’s zijn nu actueler dan ooit. Sinds het uitbreken van de coronacrisis zijn er onder andere meer en nieuwe randsomware-aanvallen gedaan. Ook thuiswerken via remote desktop via een onvoldoende beveiligde verbinding is een veel genomen risico. Vergeet niet dat hacken tegenwoordig een serieus businessmodel is. Criminelen die zich hiermee bezighouden, verdienen makkelijk geld met weinig stappen. En op het moment dat het slachtoffer beveiligingsmaatregelen onderneemt en het de hacker iets meer moeite kost, is het nog steeds lucratief! Nu denken mkb’ers vaak wel aan het maken van een technische back-up, maar dat is bij een hack echt niet voldoende. Wat nu als de hacker je data op de bestaande servers vernietigt en de data op je back-up versleutelt? Ga je dan vijftig bitcoins betalen of je hele infrastructuur opnieuw opbouwen?”


Privacywetgeving

Een ander actueel thema is het naleven van de Algemene verordening gegevensbescherming (AVG). Organisaties die de AVG overtreden, riskeren een boete van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet. Ook kan de Autoriteit Persoonsgegevens, die controleert of de AVG wordt nageleefd, een dwangsom of een verwerkingsverbod opleggen, of een berisping of een waarschuwing afgeven. Alex: “Vanuit de privacywetgeving moet je kunnen aantonen dat je een grondslag hebt om de persoonsgegevens die binnen je bedrijf aanwezig ook daadwerkelijk te verwerken.”

Als het verwerken van de gegevens een hoog privacy risico oplevert voor de mensen van wie de organisatie gegevens verwerkt, dan ben je verplicht om een data protection impact assessment (DPIA) uit te voeren. “Met dit instrument worden vooraf privacy risico’s van een gegevensverwerking in kaart gebracht. Ook kan het aanstellen van een Functionaris gegevensbescherming (FG) verplicht zijn. Bijvoorbeeld wanneer er bijzondere informatie over iemands gezondheid, ras, politieke opvatting of geloofsovertuiging wordt verwerkt. Of wanneer de gegevens worden gebruikt voor bijvoorbeeld profilering van mensen, het maken van risico-inschattingen, cameratoezicht of personeelsvolgsystemen.”
 

Actueel dossier

In aanloop naar de inwerkingtreding van de AVG op 25 mei 2018 hebben veel bedrijven de nodige stappen ondernomen, “maar deze stappen waren te vaak vooral cosmetisch van aard”, zegt Alex. “Men liet een blik op het personeelsregister en de klantgegevens werpen, of liet de jurist een nieuw contract en een privacyverklaring opstellen. Of men huurde een ethical hacker in om te toetsen of er lekken in de beveiliging waren. Dat zijn allemaal gefragmenteerde oplossingen. Privacy is echter te omvattend om eendimensionaal aan te pakken, het is vervlochten met je bedrijfsvoering. Bovendien hebben veel bedrijven na de invoering van de AVG de aandacht voor dit onderwerp (deels) losgelaten. Maar een ondernemer moet wel te allen tijde met een actueel dataregister kunnen aantonen dat hij of zij zorgvuldig met persoonsgegevens omgaat. Dat geldt ook voor elke nieuwe bedrijfsactiviteit waarbij een nieuwe verwerking van persoonsgegevens plaatsvindt.”

Specialisme voor het mkb

De diensten die NewDay aanbiedt om bedrijven te helpen bij het op orde brengen en houden van cyber- security en naleving van de privacywetgeving, zijn gebaseerd op zeer specialistische kennis. Deze wordt normaal gesproken met name voor grote bedrijven, organisaties zoals ziekenhuizen en overheidsinstellin-gen zoals gemeenten ingezet. Alex benadrukt echter dat hij met NewDay ook het mkb wil helpen. “Middel- en kleine organisaties zijn vanwege onze kennis, expertise en klantenkring soms bang dat ze een lawine aan informatie over zich heen krijgen. Voor deze partijen hebben we juist een aantal standaardtools ontwikkeld die een gedegen risicoanalyse maken op het gebied van privacyrisico’s, cybersecurity, compliance en/of IT-security. Aan de hand van die analyses weet je concreet welke onderdelen al goed geregeld zijn, welke bedrijfsonderdelen risicogebieden vormen en hoe je deze risico’s het beste af kunt dekken. Bij het maken van deze analyse kan een multidisciplinair team worden betrokken van juristen, ethical hackers, data-analysten en informatiebeveiligingsdeskundigen. Indien nodig schakelen we ook een communicatiedeskundige in om de boodschap op de juiste manier te verwoorden en deze intern te verspreiden. Uiteindelijk komt er, afhankelijk van de omvang van de bedrijfs-activiteiten en de gevonden risico’s, een document op tafel te liggen met een plan van aanpak en een duidelijk takenpakket per afdeling. Zo kan een hr-manager voor de privacy-aspecten rond het personeelsbestand bepaalde kpi’s ontwikkelen, bijvoorbeeld welke onderdelen relateren aan de privacywetgeving.”


IT-audits

Naast het controleren of bedrijven zelf voldoen aan de huidige eisen op het gebied van cybersecurity en het naleven van de AVG, kunnen ook bedrijven die in-formatiesystemen aanbieden aan derden bij NewDay terecht. “Aan de hand van een IT Audit of EDP Audit vellen we op een onafhankelijke en deskundige manier een oordeel over de kwaliteit van de ICT-beveiliging, signaleren we tekortkomingen en geven we advies over mogelijke verbeteringen. Denk aan een ISAE 3402-ver-klaring voor IT-dienstverleners waarmee zij onder andere kunnen aantonen dat zij met hun producten en diensten voldoen aan bepaalde wet- en regelgeving en die van de partners. Bedrijven die producten en diensten met een Di-giD-aansluiting leveren aan de overheid, moeten jaarlijks een DigiD audit laten doen. De audit moet worden uitgevoerd onder verantwoordelijkheid van een register IT auditor.”


Column

De komende edities zal Alex in een column nader ingaan op deze onderwerpen. “Met dit verhaal en de columns wil ik het mkb een duidelijk beeld geven van de risico’s die zij lopen en hoe NewDay hierbij kan helpen. Ik hoop hiermee de zogenoemde risk appetite van ondernemers aan te spreken. Ik begrijp maar al te goed dat een ondernemer onderneemt voor eigen rekening en risico. Maar als je pas tot actie overgaat wanneer je ervaringsdeskundige bent geworden, is de schade natuurlijk al berokkend.”

Ben je benieuwd naar het magazine van Noord-Limburg Business? Kijk dan op deze link!

Practice makes perfect!

Verwarring en te weinig. Dat zijn mischien wel de juiste woorden om de situatie te beschrijven waar we op dit moment nog met z’n allen in zitten. Er was te weinig beademingsapparatuur, te weinig mondkapjes, te weinig mensen die tijdig konden prikken, te weinig vaccinaties en ook te weinig goede beveiliging van onze digitaal opgeslagen (test)informatie. Hierdoor ontstond verwarring: bij de mensen in de zorg, bij de mensen in de handhaving, bij rechters en advocaten en bij heel veel mensen zoals jij en ik. Wellicht veroorzaakt door te weinig ervaring van te veel mensen binnen de verschrikkelijke situatie van dit moment.

Er zijn meer organisaties die een belangrijk ‘leermomentje’ hadden zoals de GGD en Gemeente Hof van Twente. Ook kreeg een ziekenhuis weer een boete van de Autoriteit Persoonsgegevens omdat te veel mensen te veel toegang hadden, net als een retailonderneming in Duitsland die van haar privacy-toezichthouder een miljoenenboete ontving. Het resultaat van te weinig maatregelen en te weinig ervaring is hier verwarring én financiële schade.

Dit zijn allemaal op zichzelf staande gebeurtenissen. Maar wel met een belangrijke overeenkomst; het was voor al deze mensen bij al deze organisaties de eerste keer. Maar accepteren dat iets niet goed is gegaan omdat ‘het de eerste keer’ is, is naar mijn mening vandaag de dag steeds gevaarlijker. De dynamiek waarin we leven, zorgt er nu eenmaal voor dat iedereen van ons wellicht zeer regelmatig ‘een eerste keertje’ heeft. Dat geeft het leven ook wel een beetje jus. Maar het ongehinderd kunnen leren van ‘een eerste keertje’, wordt tegenwoordig steeds lastiger. We knopen alles digitaal aan elkaar, iedereen kan vrijwel direct alles van iedereen volgen en de belangen worden vaak steeds groter. Een explosief mengsel waarbij soms een relatief klein foutje maken steeds vaker serieuzere consequenties tot gevolg heeft.

Maar dat is toch vaak de realiteit, zul je misschien wel zeggen. Als iets ons voor de eerste keer overkomt, kán het toch niet anders dan dat we daar meer van zullen leren dan wanneer we het al meerdere malen hebben ervaren? Eens, maar er is wel iets wat in de buurt komt. Veel organisatie hebben procedures, regels en richtlijnen over hoe te handelen in een dergelijke en uitzonderlijke, maar impactvolle situatie. Of ze zouden deze naar mijn mening in passende vorm moeten hebben. Vaak worden deze opgesteld door specialisten en verdwijnen ze in de digitale la. Op het moment dat deze dan toegepast dienen te worden, is het voor velen de eerste keer. De eerste leerervaring is bovendien direct tijdens een wellicht directe bedreiging van het bedrijf. Niet de meest ideale situatie zul je begrijpen.

Wij proberen onze klanten steeds meer bewust te maken van een – in ieder geval gedeeltelijke – oplossing voor deze ‘onervarenheid’: de Spelsimulatie. Door een ‘spel’ te spelen dat voldoende dicht bij de realiteit komt, leer je in een gecontroleerde omgeving hoe een procedure werkt, maar ook hoe mensen zijn geneigd te handelen. Wij en enkele van onze klanten hebben inmiddels positieve ervaringen mogen opdoen door bijvoorbeeld met de inzet van acteurs en realistische locaties in de ‘bijna werkelijkheid’ te ‘spelen’. De snelheid en kwaliteit van de besluitvorming gaat hiermee met drastische schreden omhoog. De kans op fouten zoals in de hierboven aangehaalde voorbeelden gaan een stuk omlaag. Practice makes perfect is tenslotte niets voor niets een cliché.

Ben je benieuwd naar het magazine van Noord-Limburg Business? Kijk dan op deze link!

Terug naar het nieuwe normaal?

Zo, corona zit er weer op. Degenen die het willen, zullen inmiddels wel gevaccineerd zijn. De meeste maatregelen zijn afgeschaft of in ieder geval versoepeld en, naast dat velen van ons zich al het verheugen op de komende versoe-pelde zomermaanden, is ook het denken aan het ‘normaal’ weer begonnen.

Wat gaat dat ‘normaal’ worden? Weer het ‘oude’ normaal of nemen we iets mee van de afgelopen periode? De meningen lopen uiteen. Niet meer naar kantoor, want dat is overkomelijk gebleken. Ook niet meer in de file om allemaal op hetzelfde moment ongeveer op dezelfde plek te zijn. Er schijnt zelfs alweer nagedacht te worden over een nieuwe belasting die de financiële tegemoetkoming te belasten die sommige werkgevers aan hun werknemers betalen. Zelf denk ik dat de mensen althans de meesten van ons in de kern sociale wezens zijn en dat we elkaar straks weer snel zullen opzoeken. Gelukkig maar! Ook denk ik dat veel mensen echte gewoontedieren zijn en dus ook weer snel in gebruikelijke patronen zullen belanden.

Kroonjuwelen

Op het moment van schrijven van dit stukje is het vaderdag. Vanochtend ben ik feestelijk wakkergemaakt door opgewekt gezang van vrouw en kinderen, mijn kroonjuwelen. Nog interessanter en belangrijker zijn uw ‘kroonjuwelen’, zoals ze ook wel worden genoemd bij het beveiligen van uw belangrijkste ‘assets’. Deze belangrijkste assets zijn voor steeds meer bedrijven hun digitale informatie. We geven onderdelen daarvan de naam ‘kroonjuweel’ om daarmee aan te geven dat zij van enorme betekenis zijn voor bijvoorbeeld uw bedrijfscontinuïteit of uw onderscheidend vermogen vormen. Het is dus van belang juist deze ‘kroonjuwelen’ extra goed te beschermen. En toch zien we dat in deze periode van thuiswerken ook deze kroonjuwelen het soms zwaar hebben gehad. Ze komen steeds vaker in de verkeerde handen. Gek toch? Ik weet uit eigen ervaring als ouder dat wanneer het over mijn kroonjuwelen zou gaan, geen moeite te veel zou zijn. Zeker gek als je ziet welke soms zeer basale maatregelen grote probleem hadden kunnen voorkomen. Het is echt soms ronduit pijnlijk te zien hoe eenvoudig de weg is geplaveid naar de bewuste kroonjuwelen.

Misverstand

Een hardnekkig misverstand welke ik vaak tegenkom, is dat ‘kwaadwillende derden’ (hackers) via de meest geavanceerde technieken ‘maanden’ bezig zijn om bij u binnen te komen. Wellicht een teleurstelling voor u, maar in de praktijk is het (te) vaak kinderlijk eenvoudig. Een ander veel voorkomend misverstand is dat deze kwaadwillende ‘maar wat aan het experimenteren zijn’. Ook dat is niet waar. Er zitten veelal zeer professionele bedrijven achter met afdelingen, personeel, processen en procedures inclusief een helpdesk om u te ondersteunen bij bijvoorbeeld de aanschaf van bitcoins om hen te betalen. Met deze ‘business’ proberen derden met zo min mogelijk inspanning zo veel mogelijk geld te verdienen.

Simpele maatregelen

Dat kwaadwillenden derden makkelijk kunnen binnenkomen, is het slechte nieuws. Het goede nieuws is dat een paar vaak simpele en weinig kostende maatregelen het hen dusdanig moeilijk maakt, dat hun kostenbaten-afweging voor hen niet goed uitpakt. Middels een korte scan van één dag zijn deze risico’s en daarmee ook de mogelijke maatregelen voor u bloot te leggen. Ik hoop dat we inderdaad dadelijk weer naar het oude normaal terug kunnen, maar wel verrijkt met een hoger digitaal bewustzijn en expliciete zorg voor ons aller kroonjuwelen. Laat dit dan maar het nieuwe normaal zijn!

Ben je benieuwd naar het magazine van Noord-Limburg Business? Kijk dan op deze link!

Leveranciersmanagement, ontzorging tegen cybersecurity?

Veel bedrijven maken gebruik van ‘IT-leveranciers’. Zeker in het mkb zien we eigenlijk niet anders. Dat is ook zeer begrijpelijk. Niet elke mkb-ondernemer heeft daar interesse in of kennis van en met de huidige technologie hoeft dat ook niet altijd. Helaas zie ik dat het ondanks de beste intenties van alle betrokken partijen te vaak misgaat. Ook op het gebied van ‘cybersecurity’. Deze tips verkleinen een mogelijke valkuil.

1. Stel een goed contract op waarbij het voor partijen en een deskundige derde klip en klaar is welke IT-dienst wordt geleverd en wie welke verantwoordelijkheden heeft. Dit klinkt simpel maar is soms door de complexiteit van de dienst en de juridificering van een contract soms toch echt lastig.

2. Neem in deze overeenkomst ook een hoofdstuk op over ‘informatiebeveiliging’, of iets soortgelijks.

3. Werk in dit hoofdstuk concreet uit wat partijen moeten doen en probeer weg te blijven van algemene nietszeggende juridisch vocabulaire als ‘in overeenstemming met de wet’ of ‘marktconform’. Dit zijn termen gebruikt door juristen die helaas onvoldoende inhoudelijk zijn onderlegd om dit type overeenkomst voldoende concreet te maken.

4. Sluit bij het specificeren van deze verplichtingen met betrekking tot informatiebeveiliging aan bij een standaard voor informa-tiebeveiliging (zoals de ISO 27001, de NIST, OWASP, CobiT, etc), maar laat het hier niet bij. Werk in een bijlage nader uit op welke wijze door een leverancier invulling wordt gegeven aan een dergelijke standaard. Spreek bijvoorbeeld af dat een leverancier niet zonder expliciet akkoord van de klant op dat moment toe-stemming krijgt om bepaalde werkzaamheden uit te voeren en daarna de toegang weer goed te vergrendelen (hier ging het mis bij de hack op het Hof van Twente).

5. Dwing af dat er door de leverancier expliciete periodieke waarborgen worden verstrekt. Enkel een ISO 27001 certificaat is eigenlijk al niet meer voldoende. Denk ook aan een ‘3402-verklaring’ of een ‘SOCII/SOCIII’rapport. Maar ook meer specifiek als de resultaten van een periodiek (minstens eens per drie maanden) uitgevoerde pentest en/of vulnerability scan, de resultaten van de door de leverancier uit te voeren ‘Control Risk Self Assessment’.

Deze tips helpen je niet alleen bij het verkleinen van de kans dat je het slachtoffer wordt van hackers. Ze helpen je ook om aantoonbaar te voldoen aan de verplichtingen van de privacy wet voor diegene die persoonsgegevens verwerkt. En welke organisatie doet dat feitelijk niet?

Ben je benieuwd naar het magazine van Noord-Limburg Business? Kijk dan op deze link!

Het wachtwoord, de moeder van (vrijwel) alle cyber security maatregelen

In 2021 heb ik geprobeerd het bewustzijn van mijn lezer op het gebied van privacy en cybersecurity te vergroten door middel van beschouwende stukjes over mijn ervaringen en een inhoudelijke toelichting hier en daar. Inmiddels heb ik begrepen dat de ‘gemiddelde mkb’er’ (ik wist niet dat deze bestond) het vooral waardeert als er concrete tips worden gegeven die eenvoudig in de praktijk toepasbaar zijn. Nu ben ik zelf ook van mening dat veel cyberonheil vaak voorkomen had kunnen worden door soms in mijn ogen simpele maatregelen. Daarom staan deze simpele maatregelen dit jaar centraal in mijn columns.

De eerste maatregelen die mits goed uitgevoerd al heel veel hackers buiten de deur houdt, is het gebruik van een goed wachtwoord. Volgens het Virizon Data Breach Investigations Report zijn gecompromitteerde wachtwoorden goed voor 81% van alle hacks. Het National Institute of Standards and Tech-nology (NIST) heeft deze vraag naar wachtwoorden behandeld in een specifieke publicatie. Dus wat te doen:

1. Het gaat niet om de complexiteit van het wachtwoord, maar de lengte. Daarom wordt een minimale lengte van acht karakters geadviseerd.

2. Te frequente verplichte wijziging van wachtwoorden maakt de wachtwoorden slechter. Deze zijn te moeilijk te onthouden waardoor er patronen worden gebruikt die een hacker ook kan bedenken.

3. Laat het wachtwoord zien als het wordt ingevoerd. Dit voorkomt de typo’s, waardoor mensen weer kiezen voor te korte/simpele wachtwoorden.

5. Gebruik geen ‘wachtwoord hints’. Door onder andere social media of ‘social engineering’ zijn de antwoorden van deze hints makkelijk(er) te vinden.

4. Gebruik ‘multi-factor-authenticatie’.

Ben je benieuwd naar het magazine van Noord-Limburg Business? Kijk dan op deze link!

Cyber risk, het tackelen van een meerkoppige draak

Hoe staat het eigenlijk écht met de ‘cyberweerbaarheid’ van het mkb in Nederland? Ik heb in 2021 diverse malen aangehaald dat er een reëel probleem is en dat voor het ‘tackelen’ van dit probleem vaak meer nodig is dan nu gebeurt of staat te gebeuren. Inmiddels is er echter een boek gepubliceerd met daarin diverse wetenschappelijke onderzoeken met betrekking tot cybersecurity in het mkb (“Van Theorie naar praktijk, de geleerde lessen van 4 jaar onderzoek naar cybersecurity in het MKB”, De Haagse Hogeschool, Rutger Leukfeldt e.a.). Ik kan u het boek van harte aanbevelen, maar op deze plek wil ik graag enkele van de geleerde lessen in mijn eigen woorden met u delen.

-Eén op de vijf onderzochte bedrijven geeft aan het slachtoffer te zijn geweest waarbij zij schade hebben ondervonden.

-Er is een grote behoefte aan hulp en dan met name in de vorm van informatie en gratis tooling.

-Uit eerder onderzoek is naar voren gekomen dat mkb-bedrijven niet bekend zijn met het uitvoeren van risico-analyses. Doordat ze geen goed zicht hebben op het risico dat ze lopen, weten ze ook niet welke maatregelen ze zouden kunnen of moeten nemen.

-Ook het eigen personeel levert een cyberrisico op (bewuste en onbewuste handelingen).

-Het merendeel van de deelnemers bij een van de onderzoeken bleek feitelijk helemaal geen risicomodel te gebruiken. Een simpel te gebruiken risicomodel is daarom al een hele verbetering.

-Mkb’ers lijken zich zeer wel bewust van de cyberrisico’s, maar onderschatten de kans dat zij zelf slachtoffer worden en de gevolgen daarvan.

-Ook is onderzocht hoe met mkb’ers gecommuniceerd zou moeten worden om de cyberweerbaarheid te vergroten. Een opmerkelijke daarbij voor mij was dat mkb’ers meer geneigd zijn zelfbeschermende maatregelen te nemen als dit vanuit hun (sociale) omgeving van hen wordt verwacht.

Lastige combinatie

Ruim twintig jaar ben ik inmiddels actief op het gebied van cybersecurity en aanpalende gebieden binnen het mkb. In deze periode heb ik gezien dat IT-risico’s en mkb een vaak lastige combinatie zijn. Onderzoeken zoals hierboven zijn in ieder geval voor mij van groot belang. Ze geven mij meer inzicht in de vraag waarom wij binnen het mkb omgaan met het cyberrisico zoals we dat (in al haar nuances en verschillen) dagdagelijks doen. Ik leer bijvoorbeeld uit bovenstaande dat het bij herhaling benoemen van die risico’s niet meer zo nodig is. Meer van belang is om uit te leggen met welke (soms simpele) maatregelen veel leed voorkomen kan worden. Ook de constatering dat ‘mkb’ers’ (als er al zo iemand bestaat) blijkbaar gevoelig zijn voor de sociale verwachting, is voor mij een eyeopener. Wellicht dat meer gerichte communicatie van simpele maatregelen op een bredere groep dan deze mkb’er een volgende stap zijn in het ‘tackelen’ van de meerkoppige draak die cyberrisico heet.

Wellicht dat ik hier in mijn toekomstige publicaties ook een bijdrage aan kan leveren. Voor nu houden mijn columns in het Noord-Limburg Business magazine echter op. Ik wil u als lezer graag bedanken voor uw interesse en hoop dat wij elkaar eens mogen treffen bij het ‘tackelen van deze meerkoppige draak’!

Ben je benieuwd naar het magazine van Noord-Limburg Business? Kijk dan op deze link!

Ondernemer, ga gezamenlijk ondernemen tegen cyber risks!

Weer is er een grote hack in het nieuws: VDL. Weer wordt een grote organisatie vrijwel lam gelegd en loopt de bedrijfscontinuïteit gevaar. Weer wordt er door diverse gremia gewaarschuwd voor dit gevaar en weer blijkt uit allerlei onderzoeken dat er zeker in het mkb te weinig wordt gedaan én dat soms de meest basale maatregelen ontbreken. Al enkele jaren wordt geroepen dat ‘het mkb’ een ‘sitting duck’ is voor hackers en toch blijven de cijfers van het aantal mkb’ers dat succesvol is gehackt constant en hoog. De aanbieders van diensten die hulp bieden bij bescherming tegen deze risico’s uiten zich ook veelal in dezelfde bewoordingen; het risico wordt pas echt serieus genomen op het moment dat het geen risico meer is maar een voldongen feit.

Hoe komt het toch dat zelfs een kleine moeite op dit vlak om dit soort risico’s inzichtelijk te krijgen en te verkleinen of te elimineren zo lastig blijkt? Dit heeft in een aantal gevallen een hele plausibele verklaring. Eén daarvan is het gebruik van maatwerk automatisering. Veel mkb’ers zijn niet gisteren hun bedrijfsprocessen gaan automatiseren. Daar zijn ze soms al jaren mee bezig. Al voordat ‘internet’ en ‘de cloud’ een breed en bekend fenomeen was. Samen met softwareleveranciers is jarenlang een grote hoeveelheid kennis en geld geïnvesteerd om een applicatie te bouwen die specifiek is voor de bedrijfsprocessen van deze mkb’er.

In deze applicaties zit dus heel veel kennis, tijd en geld én ze leveren ook vandaag nog steeds veel toegevoegde waarde voor de desbetreffende onderneming. Ze zijn vaak echter niet gebouwd met behulp van de laatste technologieën en zijn soms zelfs niet gebouwd ‘om aan het internet gehangen te worden’. Toch gebeurt dat. Men wil immers vooruit, maar men wil ook de gedane investering (en wellicht het concurrerend voordeel) niet weggooien. Dus is het vaak: “zo lang het goed gaat, gaat het goed”. In de IT is vaak niks zo permanent als een tijdelijke oplossing.

Het merendeel van de ‘gaten’ in de afweer hebben nog vaak hun oorsprong in ‘overblijfselen’ uit letterlijk de vorige eeuw. Veel (grotere) softwareleveranciers zijn zich dit bewust en accepteren het dus niet meer als je bij hun software niet tijdig een update doorvoert of een ‘security patch’ installeert. In een verouderde versie blijven hangen, kan in deze gevallen vaak niet meer. Maar in andere gevallen wel. En dan kunnen er geen updates meer ‘gedraaid’ worden. Want dat wordt dan een hele nieuwe systeemimplementatie en dan kunnen er ook geen security patches meer worden doorgevoerd, want die zijn niet ‘compatible’ met de software in productie. Zie hier een beknopt voorbeeld van een ‘sitting duck’ voor een niet te overijverige hacker.

Wat te doen? Allereerst begint het met goed inzicht in de specifieke situatie, de risico’s maar ook de mogelijke oplossingen met hun voor- en nadelen. Soms is het mogelijk om de verouderde applicatie ‘stand-alone’ te laten draaien (niet op het netwerk welke aan het internet is verbonden). Soms blijken er al standaardoplossingen te zijn die het maatwerk heel dicht naderen. Maar, zo hoor ik regelmatig, “daar hebben wij toch niet de tijd en kennis voor om dit allemaal goed uit te zoeken”. Natuurlijk kom ik graag helpen, maar veel belangrijker is volgens mij dat deze mkb’ers zich meer gaan organiseren op dit vlak. We zien dat er allerlei overlegstructuren zijn bij banken, verzekeraars, accountants, ziekenhuizen en overheden, etc om (specifieke) kennis te delen en zich zo beter te kunnen wapenen tegen deze gemeenschappelijke dreiging. En met een toenemend succes. In het mkb zijn deze nog steeds (te) schaars en (te) beperkt in omvang. Wanneer gaat de rasondernemer, waar de gemiddelde mkb’er zich op laat voorstaan, eens gezamenlijk iets ondernemen om dit gevaar te keren en kijkt deze daarbij over de schutting van de eigen onderneming? Ik hoop snel, en help graag elk initiatief op dit vlak te ondersteunen.

Ben je benieuwd naar het magazine van Noord-Limburg Business? Kijk dan op deze link!