Zorgen over cyberaanvallen en kwetsbare computernetwerken zijn terecht, maar focus liever op oplossingen
De staat van cybersecurity en cyberweerbaarheid lijkt zorgwekkend, maar het is zeker geen verloren strijd. Ondanks het beeld dat vele security-incidenten en media-aandacht schetsen. Maar dan moet er wel een gevoel van urgentie komen zodat gehandeld wordt naar aanleiding van de informatie over kwetsbaarheden die er is. Structuren, samenwerkingsverbanden, notificatiediensten, professionals, vrijwilligers en heel veel kennis zijn al beschikbaar, houdt directeur Octavia de Weerdt van NBIP ons voor.
Cyberdreigingen staan in de top-3 van dreigingen waar Nederlanders zich zorgen over maken zo blijkt onderzoek van Instituut Clingendael. Dat is, gezien de recente verslaggeving dat duizenden computernetwerken in Nederland kwetsbaarheden hebben die al lang gedicht hadden moeten zijn, geen onterechte vrees. Als zelfs bij defensie kwetsbaarheden voorkomen en worden misbruikt, dan moet alles wel zo lek als een mandje zijn, zo is de beeldvorming.
Er is zonder twijfel sprake van een serieus en zorgelijk probleem. Maar in plaats van te vervallen in angst en paniek, is het nuttiger ons te richten op structurele oplossingen. Die zijn namelijk voorhanden, alleen beseffen bedrijven en organisaties zich dat nog niet altijd voldoende. Hetzelfde geldt voor het feit dat er ook actie van hen nodig is om systemen veilig te houden.
Onzichtbaar probleem
Wat is nu eigenlijk het probleem? Kwetsbare systemen zijn een risico voor de Nederlandse samenleving. Niet alleen economisch, maar ook vanuit het oogpunt van veiligheid. Zowel cybercriminelen als statelijke actoren hebben het voorzien op Nederlandse systemen. Een goede cyberweerbaarheid is daarom van levensbelang. Problemen bij niet-vitale bedrijven die het gevolg zijn van cybercriminaliteit, kunnen ook bij vitale en kritieke bedrijven (energie, telecom etc.) voor problemen zorgen, waardoor de maatschappelijke gevolgen groot kunnen zijn. Dat komt voor een belangrijk deel doordat kwetsbaarheden in computernetwerken worden misbruikt. Het minste dat ieder bedrijf en organisatie dus kan doen, is zich laten informeren over kwetsbaarheden en dreigingen en naar die informatie te handelen. Dat is niet altijd eenvoudig, maar daarom niet minder belangrijk.
Extra vervelend is dat deze kwetsbaarheden vaak onbekend en dus onzichtbaar zijn: bij het maken van software en computerapparatuur worden onbedoeld beveiligingslekken over het hoofd gezien. Als je als eerste weet hebt van zo’n lek, dan kun je die misbruiken. Daarom zoeken zowel cybercriminelen als zogeheten ethische hackers hiernaar. De ene groep om ze te misbruiken, de andere, zoals de vrijwilligers van het Dutch Institute for Vulnerability Disclosure (DIVD), om ze te rapporteren zodat ze gedicht kunnen worden.
Organisaties kunnen kortom geïnformeerd worden over dreigingen, kwetsbaarheden en beveiligingslekken (zodra) die bekend zijn, of daar is al sprake van. En zij kunnen vaak ook handelingsperspectief krijgen hoe zij die kwetsbaarheden moeten verhelpen. Bijvoorbeeld via het initiatief Clean Networks voor ISP's, hosters en andere service providers. Toch kunnen we bijna dagelijks lezen over geslaagde hacks, ransomware-aanvallen en het misbruik van bekende beveiligingslekken. Hoe kan dat?
Notificatie en gedragscode
In Nederland wordt veel gedaan om kwetsbaarheden te vinden en partijen die getroffen zijn te informeren. Hierbij wordt nauw samengewerkt tussen sectorale initiatieven en de Rijksoverheid, in het bijzonder de ministeries van Justitie & Veiligheid (JenV) en Economische Zaken en Klimaat (EZK). Er zijn op dit terrein echt stappen gezet de laatste jaren. Er worden nu veel meer organisaties en bedrijven op de hoogte gesteld door melders van kwetsbaarheden dan een aantal jaar geleden.
Een voorbeeld hiervan is het Clean Networks initiatief. Dit is tot stand gekomen dankzij een brede samenwerking van overheid, de Nederlandse internetsector en non-profit initiatieven om internetmisbruik in netwerken van ISP’s en hosters te bestrijden. Het opsporen van kwetsbaarheden, het notificeren van getroffenen en het verhelpen van die kwetsbaarheden wordt in dit initiatief samengebracht in een technische oplossing. Hiermee worden automatisch de juiste meldingen met voorgestelde oplossingen aan getroffen partijen gestuurd.
Deelnemers committeren zich aan een gedragscode, zodat ook zij een verantwoordelijkheid dragen voor het schoon maken en houden van hun systemen. Er wordt een keurmerk ontwikkeld zodat zichtbaar wordt wie zich actief inspant om narigheid op te ruimen, en wie het met die risico’s niet zo nauw neemt. Het project wordt medegefinancierd door de Europese Unie en is internationaal toonaangevend voor hoe deze problematiek aangepakt kan worden. Zo fungeert Clean Networks als CSIRT (Computer Security Incident Response Team) voor Nederlandse ISP’s en de hostingsector.
Clean Networks is zeker niet het enige project dat kwetsbaarheden meldt aan organisaties. Ook het Nationaal Cyber Security Centrum (NCSC) en het Digital Trust Center (DTC) verzorgen meldingen voor respectievelijk kritieke & vitale infrastructuur en voor het mkb. Daarnaast zijn er sectorale initiatieven, bijvoorbeeld voor de haven van Rotterdam en voor cybersecuritybedrijven.
Organisaties die dat willen, kunnen kortom geïnformeerd worden over kwetsbaarheden en beveiligingslekken (zodra) die bekend zijn. En, zoals in het geval van Clean Networks, kunnen zij ook handelingsperspectief krijgen hoe zij die kwetsbaarheden moeten verhelpen. Toch kunnen we bijna dagelijks lezen over geslaagde ransomware aanvallen en het misbruik van bekende beveiligingslekken. Hoe kan dat?
Onbewust onbekwaam
Waar het nog aan ontbreekt, is een breed besef dat kwetsbaarheden zich bij iedere organisatie kunnen voordoen en dat daar naar gehandeld moet worden. Lange tijd konden dit soort risico’s door veel organisaties genegeerd worden zonder grote consequenties. Meestal is dit geen opzet, maar zijn organisaties onbewust onbekwaam.
De tijd dat dit zonder al te grote gevolgen kon, ligt achter ons. Wie nu niet weerbaar is en actief stappen in onderneemt, gaat daar een keer de prijs voor betalen. Hetzij door een incident, hetzij omdat er steeds meer toezicht en handhaving komt op de informatiebeveiliging van organisaties en hoe daarmee wordt omgegaan. Als er een groot incident is, dan betalen we voor onbewuste onbekwaamheid of nalatigheid allemaal de prijs. Elk bedrijf of organisatie heeft daarom een verantwoordelijkheid om kwetsbaarheden te dichten.
Kennis verzilveren
Nederlandse bedrijven en organisaties kunnen sneller meters maken om de weerbaarheid ten aanzien van beveiligingskwestbaarheden te vergroten. Brancheorganisaties kunnen hun leden en achterban beter informeren over de verantwoordelijkheid die zij hebben, de risico’s die zij lopen en hoe ze die kunnen verkleinen. Bij meldpunten en melders zelf en de overheid ligt de schone taak om het belang van notificatie en het ondernemen van actie nog beter over het voetlicht te brengen. En voor individuele bedrijven en organisaties geldt dat informatiebeveiliging en dus ook het actief dichten van kwetsbaarheden nu echt hoog op de agenda moet als dat nog niet het geval is.
Er is genoeg kennis voorhanden. Overheid en sectorale initiatieven staan klaar om iedereen op weg te helpen. Het is nu tijd voor actie.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee