Cybersecurity:
hoe wordt het behapbaar?
42
|
KEYNOTES – 02
C YBERSECURIT Y: HOE WORDT HE T BEHAPBA AR?
Bijna alle organisaties hebben hun primaire proces, of een groot deel ervan, gedigitaliseerd. Voorheen kochten we onze boeken, kleding en cosmetica in ‘fysieke’ winkels, nu zijn er ook de webshops. Wie bezoekt er tegenwoordig nog een reisbureau? De meeste vakanties worden online geboekt. En bankieren met acceptgiro kaarten is allang passé; Ruim driekwart van de Nederlanders bankiert via internet en daarmee behoren we tot de top van Europa. Belastingaangifte en kinderopvangtoeslag regelen we ook via internet, aan de keukentafel op een moment dat het ons schikt. Deze digitalisering van de ‘business’ vereist dat organisaties hun digitale veiligheid goed op orde hebben. DOOR: MARIJKE STOKKEL EN ANDRE SMULDERS
De continuïteit van de dienstverlening is deels afhankelijk van hoe de beveiliging van websites is geregeld. Als een website platligt of als communicatielijnen met andere organisaties verstoord worden, loopt de dienstverlening ook vast. Ook in relatie tot het imago, het vertrouwen dat klanten, leveranciers en andere partijen in de organisatie hebben, speelt cybersecurity een cruciale rol. Een gehackte website, verstoord SCADA systeem of een datalek waarbij klantgegevens op straat liggen, biedt de buitenwereld weinig vertrouwen. Op bestuurlijk of directieniveau ontbreekt het echter veelal aan voldoende instrumenten om hier invulling aan te geven. Het thema is ingewikkeld, waardoor velen zich er het liefst verre van houden. Of dreigen te verzuipen in technische details, zoals: zou mijn organisatie onderdeel zijn van het Citadel botnet? Kan mijn database gehackt worden met een sql-injectie? Het prangende en actuele dilemma voor bestuurders en directieleden: “Hoe zorg ik ervoor dat mijn organisatie beschermd is tegen cyberaanvallen, zonder dat ik meegezogen wordt in de inhoud?” Door de complexe thematiek ziet men zich vaak genoodzaakt om deze taak uit te besteden aan specialisten en erop te vertrouwen dat de organisatie dan veilig is. Geen comfortabele situatie, want het is dan nauwelijks te overzien of er voldoende gedaan wordt en de uiteindelijke verantwoordelijkheid verdwijnt daar niet mee. Immers, wanneer er sprake is van een incident, wordt de bestuurder of directeur ter verantwoording geroepen.
C YBERSECURIT Y: HOE WORDT HE T BEHAPBA AR?
Een lastige situatie. Maar niet onoverkomelijk. Dit artikel geeft bestuurder, directeur of CIO praktische handvatten om cybersecurity beheersbaar te maken in een organisatie. Nieuwe dienstverlening, nieuwe sturing Uitgangspunt is dat de nieuwe digitale organisatie vraagt om een nieuwe manier van sturen op risico’s en veiligheid. Wij hebben hiertoe een aanpak ontwikkeld. Maar laten we starten met het begrip cybersecurity. Wij hanteren de definitie uit het Cybersecurity beeld Nederland, ontwikkeld door het Nationaal Cybersecurity Centrum (NCSC) en partners: ‘Cybersecurity’ is het vrij zijn van gevaar of schade veroorzaakt door verstoring of uitval van ICT of door misbruik van ICT. Het gevaar of de schade door misbruik, verstoring of uitval kan bestaan uit beperking van de beschikbaarheid en betrouwbaarheid van de ICT, schending van de vertrouwelijkheid van in ICT opgeslagen informatie of schade aan de integriteit van die informatie. Een greep uit de soorten cyberaanvallen voor organisaties: het stelen van vertrouwelijke informatie, die –afhankelijk van de motieven van de daders- publiek wordt gemaakt of gebruikt voor eigen gewin; een website ontoegankelijk maken middels een dDos-aanval, met ernstige consequenties voor (online) dienstverlening; en malafide inhoud verspreiden via websites met veel bezoekers. Dit soort aanvallen komt met grote regelmaat voor en vormt een serieuze dreiging voor publieke en private organisaties.
KEYNOTES – 02
|
43
De aanpak die is ontwikkeld om bestuurders en directieleden handvatten voor cybersecurity te geven, bestaat uit drie stappen. 1. Start met focus op doelstellingen en cruciale belangen 2. Doe de uitwerking samen met specialisten 3. Zorg voor een goede response
1. Start met focus op doelstellingen en cruciale belangen Waarom is cybersecurity een complex onderwerp voor bestuurders en directieleden? Omdat zij veelal de traditionele methode van risicomanagement hanteren, die zich kenmerkt door het in kaart brengen van alle risico’s en vervolgens het voorschrijven hoe deze beheerst moeten worden. Met als uitgangspunt het vermijden van risico’s. Voorheen, toen de risico’s overzichtelijker waren, werkte dit nog, tegenwoordig heeft dit twee grote nadelen. Allereerst neemt de kans op het verliezen van focus toe door de grote veelheid van kwetsbaarheden, risico’s en maatregelen, waardoor men wordt geconfronteerd met zaken die onbegrijpelijk zijn en waarvan de relevantie moeilijk is vast te stellen. Het tweede nadeel heeft te maken met de technische verwevenheid van veel organisaties, zoals door outsourcen van onderdelen of door ketensamenwerking waarbij organisaties onderling gegevens uitwisselen. Het inzicht dat een bestuurder of directeur heeft in de manier waarop zijn samenwerkingsrelaties producten en diensten leveren, neemt steeds verder af. Maar er bestaat wel een risico dat deze partijen hun digitale veiligheid niet op orde hebben, en dat dit impact heeft op de eigen organisatie. Blindstaren op het beheersen van maatregelen is zinloos, want de baas van de ene organisatie kan niet bepalen welke maatregelen samenwerkingsrelaties dienen te nemen. Deze partijen hebben immers hun eigen (bestuurlijke) verantwoordelijkheid. Tot slot bestaat traditioneel de neiging om zoveel mogelijk te rapporteren over risico’s, omdat dat nu eenmaal mogelijk is en een versterkt gevoel van veiligheid geeft. Bijvoorbeeld: ‘deze maand hebben we 200 virussen tegengehouden’, of: ‘we hebben nu 20 procent van ISO 27001 ingevoerd. Wordt de
44
|
KEYNOTES – 02
organisatie hiermee daadwerkelijk digitaal veiliger? Nee, denken wij, het leidt af van waar het om gaat, namelijk het beheersen van risico’s. Beter is het om te beginnen bij de essentie: wat zijn de belangrijkste doelstellingen van de organisatie? Een optimale dienstverlening? Winst maken? Nieuwe klanten? Vervolgens zijn risico’s te koppelen aan die doelstellingen. Wat is het risico als ik mijn doel niet haal? Of als het doel overschreden wordt (80.000 mensen die naar je feestje willen komen in plaats van de gewenste 80)? Hoe concreter het doel is geformuleerd, hoe inzichtelijker de risico’s worden. De omvang van het risico wordt bepaald door de ernst en de mate van het niet kunnen behalen van die doelstelling. Risico’s zijn daarmee inherent verbonden aan de doelstellingen van een organisatie(onderdeel). Alles wat niet of nauwelijks een relatie heeft met de doelstellingen zou niet de prioriteit moeten hebben in analyses, rapportages of maatregelen. Zorg dat duidelijk is wie of wat een belangrijke bijdrage levert aan het behalen van de gestelde doelen. Indien de organisatie daarvoor afhankelijk is van derden, moet met hen afspraken voor het realiseren van de doelen gemaakt en het beheersen van de risico’s. Een voorbeeld: een belangrijk doel van een organisatie kan zijn om een zo hoog mogelijke omzet te behalen met de online dienstverlening. Een risico daarop is ontoegankelijkheid van de website, bijvoorbeeld door een technische storing, virus of dDos aanval. De vraag is: van wie is de organisatie afhankelijk om deze risico’s te minimaliseren? Wellicht is het beheer van de website uitbesteed, en is de organisatie afhankelijk van de leverancier bij het realiseren van de doelstelling. Er dienen dan afspraken te worden gemaakt met de leverancier om risico’s te beheersen. Van belang is de wijze waarop dit gebeurt. Sommige bestuurders/directeuren zeggen eenzijdig tegen hun leverancier: ‘de website mag nooit uitvallen, regel maar dat dit ook niet gebeurt.’ Dit is niet de juiste gang van zaken. Een bestuurder is en blijft uiteindelijk verantwoordelijk voor het behalen van de doelstellingen. Deze verantwoordelijkheid, plus die van de risico’s, is niet zonder meer neer te leggen bij de externe leveran-
C YBERSECURIT Y: HOE WORDT HE T BEHAPBA AR?
cier. De bestuurder kan de vraag stellen, waarop de leverancier aangeeft wat ervoor nodig is om dit te realiseren. Vervolgens bepaalt de bestuurder of deze investering de moeite waard is en om een overeenkomst af te sluiten met de leverancier. Naast het operationaliseren van doelstellingen en blootleggen van mogelijke (cybersecurity) risico’s, is het nuttig om een inventarisatie te maken van de cruciale belangen van de organisatie. Een cruciaal belang heeft betrekking op informatie, is (bijna) nergens anders te verkrijgen, is niet openbaar en is aantrekkelijk voor andere partijen omdat zij er op een of andere wijze hun voordeel mee kunnen doen. Voorbeelden van cruciale belangen zijn: financiële gegevens, klantenbestanden, personeelsdossiers of personeelsgevoelige informatie over eigen medewerkers, intellectueel eigendom en handelsstrategie. Door in analyses risico’s te laten relateren aan deze belangen kan ook sneller focus aangebracht worden om te bepalen waar aandacht naar toe zou moeten gaan om de weerbaarheid van de organisatie te versterken. Risico’s zijn er genoeg, maar welke zijn daadwerkelijk van invloed op mijn doelstellingen en belangen: dat is de vraag. Als er geen relatie is, is een risico ook niet relevant. Een methode om belangen te inventariseren is de methode Kwetsbaarheidsanalyse spionage of KWAS. Deze is ontwikkeld door de AIVD voor spionage, maar met enige aanpassingen ook van toepassing op ICT-veiligheid. De combinatie van beide methoden (doelstellingen en belangen) geeft vrij snel een totaalbeeld van de meest relevante (cybersecurity) risico’s in een organisatie. 2. Doe de uitwerking samen met specialisten De rol van ict in organisaties is veranderd. Voorheen was deze vooral ondersteunend: gechargeerd gezegd zorgde de afdeling ict ervoor dat het netwerk draaide, kreeg ze vastgelopen pc’s weer aan de praat en hield ze virussen tegen. Tegenwoordig speelt ict een essentiële rol hij het behalen van business doelstellingen. Aangezien de meeste bestuurders en directeuren voor het realiseren van hun doelstellingen direct afhankelijk zijn van een goed werkende, veilige, digitale omgeving, dienen zij direct betrokken te zijn bij het ict-beleid. En hebben zij hun ict- en security specialisten serieus
C YBERSECURIT Y: HOE WORDT HE T BEHAPBA AR?
nodig. De CIO functionaris kan zorgen voor een brug tussen beide werelden. Wij pleiten voor een formeel moment waarin bestuurder en ict-afdeling met elkaar het gesprek aangaan en de intentie uitspreken om gezamenlijk voor een optimale ict veiligheid van de organisatie te zorgen. Het idee is dat de betrokkenen met elkaar gaan communiceren om gedreven vanuit de belangrijkste doelstellingen en cruciale belangen van de organisatie de juiste acties nemen op verschillende niveaus. De directie door de belangrijkste doelstellingen te formuleren, de CIO door vast te stellen welke data/processen/systemen hierbij betrokken zijn en de ict-specialisten door focus te leggen op de daaruit voortkomende belangrijkste systemen. Samen kunnen ze de belangrijkste risico’s inzichtelijk maken en daar een aanpak voor ontwikkelen. 3. Zorg voor goede respons Het is de neiging van veel bestuurders om het digitale veiligheidsbeleid vooral te richten op het beperken van risico’s, om zo incidenten te voorkomen. Dat is op zich lovenswaardig, maar preventie van cyberaanvallen is maar tot op zekere hoogte mogelijk. Doordat er enorme belangen mee gemoeid zijn, en omdat actoren en aanvalsmethoden zo snel veranderen, is het volgens de experts niet de vraag óf maar wanneer je geraakt wordt door een ict-incident (aldus o.a. cybersecurity expert Bruce Schneier). Daarom is het van belang om binnen uw organisatie goed voorbereid te zijn op een mogelijke aanval. Denk aan het volgende: 1. Opstellen van een crisishandboek Het doel van een crisishandboek is om incidenten die zich voor zullen doen dusdanig te beheersen dat de impact ervan geminimaliseerd kan worden. Een crisishandboek kan de volgende zaken bevatten: • Scenario’s van grootschalige incidenten en crises. Wat kan er mogelijk gebeuren? Wat zijn passende reacties? Wie dient betrokken te worden? De organisatiedoelstellingen met bijbehorende risico’s vormen hierbij een goede basis. • Ook op basis van de risicoanalyse: welke klanten/diensten krijgen prioriteit? Hoe moet de beperkte capaciteit verdeeld worden? Vergeet hierbij de toets aan uw doelstellingen niet!
KEYNOTES – 02
|
45
• Lijsten van klanten, burgers, leveranciers, samenwerkingspartijen, pers. Het is belangrijk om deze klaar te hebben liggen (en regelmatig te updaten), zodat stakeholders snel zijn te informeren ten tijde van een crisis. • Communicatieparagraaf. Via welke media communiceert de organisatie met het publiek? Valt sociale media hier ook onder? • Een escalatiesystematiek: welke opschalingscriteria gelden er? • Het formuleren van een crisisteam inclusief crisisrollen. 2. Implementeren van crisishandboek Het is één ding om een crisishandboek op te stellen, maar het is ook van belang dat deze tussen de oren zit van de medewerkers. Tijdens een incident is er geen tijd om het handboek uit de kast te pakken, de stofdoek erover heen te halen en rustig door te lezen. Middels workshops en oefeningen kan het crisishandboek geïmplementeerd worden in de organisatie. 3. Regelen uitwijk (zowel fysiek als ict) Bij een calamiteit is het belangrijk dat de organisatie binnen een bepaalde tijd weer operationeel is. Dit betreft ook de beschikbaarheid van de ict-systemen en data. Back-ups kunnen veilig buiten de deur worden bewaard. Zodra er zich een noodsituatie voordoet, vormen zij de basis van de uitwijkomgeving. 4. Monitoren wat er over de organisatie gezegd wordt op social media Een crisis begint soms als een klein incident, maar kan razendsnel escaleren. Sociale media spelen hier een cruciale rol. Het kan geen kwaad om de vinger aan de pols te houden en te monitoren wat er over de organisatie, diensten en producten gezegd wordt. Hiervoor bestaan verschillende tools. Zo krijgt de organisatie een ‘crisis in de dop’ vroeg in het zicht en is er mogelijkheid om bijtijds te reageren. Bent u in een grootschalig incident of crisis beland? Denk dan aan de volgende zaken: • Het is in de externe communicatie belangrijk de juiste toon te vinden en aan te sluiten bij de beleving van het publiek. • Communiceer transparant: wees duidelijk over wat u wel en niet weet.
46
|
KEYNOTES – 02
OVER DE AUTEURS: Marijke Stokkel is senior consultant, Ordina consulting.
[email protected]. Twitteraccount: @MarijkeStokkel Andre Smulders is senior consultant TNO. andre.
[email protected]. Twitteraccount: @ldr404
• Deel dilemma’s. • Laat zien wat u doet om het probleem op te lossen. • Neem zowel het inhoudelijke probleem, als de beeldvorming mee in de berichtgeving. Ook al stelt een incident feitelijk weinig voor, door negatieve beeldvorming kan het mogelijk wel escaleren Afrondend Dit artikel biedt praktische handreikingen om invulling te geven digitale veiligheid. Allereerst: houd het dicht bij de organisatie en start vanuit de doelstellingen van de organisatie. Dat maakt het thema behapbaar. Door deze doelstellingen vervolgens met specialisten uit te werken, komen de voor de organisatie relevante risico’s en maatregelen voor het voetlicht. Houd in ieder geval rekening met een mogelijke cyberaanval op uw organisatie: als deze voorbereid tegemoet wordt getreden, verkleint dit de kans op escalatie. Bronnen: 1. ‘Nederland in Europese top met internetbankieren’ http://www.cbs.nl/nl-NL/menu/themas/vrije-tijd-cultuur/publicaties/artikelen/archief/2012/2012-3662-wm.htm 2. Het DigiNotarincident. Waarom digitale veiligheid de bestuurstafel te weinig bereikt.’ De onderzoeksraad voor veiligheid. Den Haag, juni 2012; p 84 3. Cybersecuritybeeld Nederland (CSBN-2), juni 2012 https://www.ncsc.nl/dienstverlening/expertise-advies/kennisdeling/trendrapporten/cybersecuritybeeld-nederland.html 4. ‘Korte tijd malware verspreid via nu.nl’ http://www.nu.nl/media/2763447/korte-tijd-malware-verspreidvia-nunl.html 5. ‘Cyberaanvallen binnen twee jaar grootste bedrijfsrisico’ http://www.nu.nl/internet/2972814/cyberaanvallen-binnentwee-jaar-grootste-bedrijfsrisico.html 6. Kwetsbaarheidsanalyse Spionage, AIVD https://www.aivd.nl/actueel/@2290/spionage-0/ 7. “You can’t defend. You can’t prevent. The only thing you can do is detect and respond.” http://www.famousquotes.com/author/ bruce-schneier/sf 8. ’10 tips voor online crisiscommunicatie en issue management’ http://www.frankwatching.com/archive/2010/05/11/10-tips-vooronline-crisiscommunicatie-en-issue-management/ 9. Gouden tips voor crisiscommunicatie. http://www.nctv.nl/onderwerpen/crisisbeheersing/crisiscommunicatie/tools-tips/
C YBERSECURIT Y: HOE WORDT HE T BEHAPBA AR?
