De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) sprak in het Cybersecuritybeeld Nederland 2018 harde woorden. Veel organisaties hebben hun veiligheid niet op orde. De digitale weerbaarheid van Nederland staat daardoor onder druk. Met welke basismaatregelen kunnen we het tij keren?

´Uit incidenten blijkt dat organisaties niet altijd basismaatregelen treffen´, zo stellen de auteurs van het Cybersecuritybeeld Nederland 2018 (CSBN 2018). En dat kost het bedrijfsleven veel geld, blijkt ook uit de voorbeelden die in het rapport worden aangehaald. Zo moest maritiem transportbedrijf Maersk vorig jaar een schade van 300 miljoen euro incasseren als gevolg van de NotPetya-aanval. Die schade zou waarschijnlijk beperkter zijn geweest als ‘hygiënefactoren’ zoals netwerksegmentatie en veilig gebruik van beheeraccounts zouden zijn geregeld.

9 basisprincipes

Als DGDO geven we je hierbij 9 basisprincipes om gezond en veilig digitaal te werken en ondernemen.

1. Inventariseer kwetsbaarheden

Inventariseer elke 6 maanden welke apparatuur, software, netwerkverbindingen en gegevens je in huis hebt en wat de kwetsbaarheden zijn. Dit is nodig om te bepalen welke beschermende maatregelen nodig zijn. Die kwetsbaarheden kun je bijvoorbeeld in kaart brengen met een pentest of een vulnerabilityscan.

2. Kies voor veilige instellingen

Veel apparatuur en software wordt geleverd met een standaard gebruikersnaam en wachtwoord, zoals ‘admin, admin’. Voor kwaadwillenden is het dan een koud kunstje om binnen te dringen. Een ander probleem is dat functies en diensten die niet worden gebruikt automatisch ‘aan’ staan. Let hierop bij de installatie!

3. Voer updates uit

Cybercriminelen kunnen misbruik maken van kwetsbaarheden die niet zijn gedicht. Zorg daarom dat apparaten en software zijn voorzien van de meest recente updates en patches.

4. Beperk de toegang

Zorg ervoor dat werknemers alleen toegang hebben tot de systemen en data die ze nodig hebben voor hun werkzaamheden. Zo verkleint u de kans op misbruik en ongelukken.

5. Zorg voor bescherming tegen malware

Dat kan bijvoorbeeld door medewerkers te attenderen op de gevaren van phishing, gebruik te maken van antivirusprogramma’s of de installatiemogelijkheden van software te beperken. Zo voorkom je dat malware schade veroorzaakt aan apparaten, software of data.

6. Scan e-mail

Volgens het CSBN 2018 blijft e-mail een populair middel voor het uitvoeren van digitale aanvallen. Ruim 90% van de malwarebesmettingen vindt per e-mail plaats. Daarnaast is phishing een groot probleem en is ook CEO-fraude een groeiende dreiging. Scanning van binnenkomende e-mail mag dan ook niet ontbreken.

7. Beveilig mobiele devices

Primaire bedrijfsprocessen lopen steeds vaker via mobiele apparaten, en daarmee ook gevoelige bedrijfsgegevens. Basishygiëne is dan ook niet mogelijk zonder de mobiele apparaten zoals smartphones, tablets en laptops te beheren en beveiligen.

8. Investeer in monitoring

Bovenstaande maatregelen leveren inzicht op in wat er zich afspeelt in de digitale omgeving. Het zal tot alarmen bij kwetsbaarheden en incidenten leiden. Daar hoort onlosmakelijk bij om voorbereid te zijn in wie zo’n signalering gaat afhandelen. Monitoring dus en als onderdeel daarvan een response plan. Vaak wordt monitoring als een groot en complex thema gezien, maar het is belangrijk om gewoon te beginnen en in kleine stapjes uit te breiden. Een eerste stap is het verzamelen en interpreteren van en reageren op de meldingen die bijvoorbeeld door de firewall worden gegenereerd, zoals het NCSC ook voorschrijft. Dit vereist wel specialistische kennis waarvoor vaak gekozen wordt voor outsourcing.

9. Zorg voor een continu proces

En last-but-not-least is het allerbelangrijkste om security onder controle te krijgen door te streven naar doorlopende verbetering. Activeer de ‘plan-do-check-act’ (PDCA)-cyclus om te leren van de incidenten en kwetsbaarheden en steeds beter te worden. In het huidige tijdperk van digitale transformatie is security niet meer een optie, maar een grondvoorwaarde. Het is tijd om een visie te ontwikkelen waarin security onderdeel is van integraal kwaliteitsmanagement op de gedigitaliseerde bedrijfsprocessen. Dat betekent ook dat security constant moet verbeteren. Alleen zo wordt je daadwerkelijk digitaal steeds weerbaarder.


Deze is geschreven door DGDO en verscheen eerder op: https://degezondedigitaleorganisatie.nl/9-basisprincipes-voor-veilig-digitaal-ondernemen