Vitale infrastructuren zijn vaak doelwit van cyberaanvallen, maar hebben nog vaker hun cybersecuritymaatregelen niet op orde.

In veel gevallen geldt dat de huidige geïmplementeerde cybersecurity-oplossingen niet toereikend zijn om de veiligheid te waarborgen. De verschillen in cyberveiligheid en de interpretatie daarvan binnen de vitale sectoren zijn groot door het gebrek aan centrale regelgeving en kennisuitwisseling. Om de beveiliging van vitale infrastructuren te verbeteren, zijn snelle en ingrijpende maatregelen nodig. De volgende drie stappen bieden mogelijkheden om daarin te ondersteunen.

1. Niet alleen focus op preventie, maar ook op wat daarna komt
In de huidige en toekomstige digitale ontwikkelingen moet een organisatie in staat zijn om zo snel mogelijk potentiële risico’s te ontdekken. Actieve monitoring is daarmee onontbeerlijk. Lagen bouwen in de security-infrastructuur is nodig om goede bescherming te realiseren; alleen op die manier kun je preventie, detectie en reactie op cyberdreigingen bewerkstelligen. Veel bedrijven blijven hangen in preventie, maar zonder actieve monitoring of wanneer prev entiemaatregelen falen, gaat het alsnog mis. Actieve monitoring zou voor elke aanbieder van vitale infrastructuren verplicht moeten worden, het zorgt ervoor dat je een cyberaanval direct ziet wanneer deze plaatsvindt, zodat je adequaat kunt reageren.

2. Risico’s en impact boven budget
Een ander issue is de beschikbaarheid van budgetten. Grote bedrijven hebben veel te besteden en zetten stappen om hun security-infrastructuur te verbeteren. Kleine bedrijven blijven achter, omdat ze beperkte budgetten hebben of te veel afwachten wat de politiek gaat doen. Budgetten moeten echter nooit het uitgangspunt zijn voor cybersecuritymaatregelen. Vitale aanbieders moeten uitgaan van de ‘risk appetite’ (of risicobereidheid) en van de impact wanneer er iets fout gaat. Dat kwartje lijkt nog niet bij iedere organisatie te zijn gevallen.

3. Focus op kennisdeling is cruciaal
Centrale regelgeving vanuit de overheid is nodig om bedrijven bewust en actief te maken en geeft een standaard voor het niveau en de kwaliteit van de bescherming. Daarnaast is meer samenwerking tussen vitale aanbieders nodig. Bijvoorbeeld via een overheidgestuurd kennis- en expertisecentrum en marktconsultatie tussen publieke en private partijen. Het is namelijk een enorme uitdaging de juiste specialisten en kennis te vinden èn te behouden. Door onderling meer kennis en best practices te delen, kunnen vitale aanbieders stappen zetten in het verhogen van de veiligheid. Zulke initiatieven zijn nodig. Alleen op die manier kunnen we ervoor zorgen dat vitale processen in Nederland ècht goed beveiligd zijn tegen cyberdreigingen.


Deze bijdrage is geschreven door Beatrice Cadet, threat analyst bij RedSocks Security en verscheen eerder op https://www.agconnect.nl/blog/de-vitale-infrastructuur-nog-altijd-niet-opgewassen-tegen-cybercrime.