'Grote cyberaanvallen beginnen vaak met kleine vergissingen'

Dit is een expertquote van Santosh Sharman, Kiwa, in het kader van ANP Expert Support. U kunt dit bericht, of delen hiervan gebruiken op uw kanalen. Aanleiding: Cyber Sessies - Hoe groot is de kans om te worden gehackt? (afl.2) | RTL Nieuws

Steeds meer organisaties worden het slachtoffer van internetcriminelen. Toch blijft cyberveiligheid voor veel bedrijven een ver-van-mijn-bed-show. Cybersecurityspecialist Kiwa geeft drie tips voor betere cyberveiligheid.

1. Definieer processen en procedures goed, implementeer deze en voer dan een dry-run uit

Als er geen gedefinieerde processen zijn en zaken ad hoc worden opgepakt, ontstaan al snel fouten die het risico op cyberincidenten vergroten. Ga na welke activiteiten goed gedefinieerde processen nodig hebben. Als voorbeeld nemen we het delen van patiëntinformatie tussen twee ziekenhuizen. Hier moet goed gedefinieerd worden wie wat mag delen en waarom, wat er gedeeld mag worden en hoe het gedeeld mag worden. Definieer het zo gedetailleerd mogelijk, zorg ook voor invoering van die processen en voer een dry-run uit om onvoorziene blindspots te signaleren.

2. Voer een risicoanalyse uit en handel dan op basis van de uitkomsten

Cyberveiligheid is een constante uitdaging. De digitale wereld bestaat uit een keten van hardware, software en mensen die binnen deze keten allemaal een eigen rol vervullen. Voor elke organisatie bestaat dit digitale domein uit hun eigen (soms bijna unieke) set van stakeholders, software en hardware. Daarom is het belangrijk om te weten welke risico’s er zijn. Voer dus als organisatie een risicoanalyse uit. Om een zo compleet mogelijk overzicht te krijgen van de risico’s zijn verschillende stappen noodzakelijk. Voer bijvoorbeeld een risicoanalyse uit zoals beschreven in de NIST Special Publication 800-30 Guide for Conducting Risk Assessments en combineer dit met reguliere pentesten.

3. Verhoog de cyber-awareness van medewerkers (en blijf dat doen)

Grote cyberaanvallen beginnen vaker dan gedacht door kleine simpele vergissingen die bijna geen fouten te noemen zijn. Zo kan een werknemer onbewust een rondslingerende usb-stick in een pc stoppen zonder er bij stil te staan dat hij hiermee een ransomwareaanval triggert. Door mensen binnen (en rondom) de organisatie bewuster te maken en te zorgen voor goede ‘cyberhygiëne’, wordt ervoor gezorgd dat risico’s op het ‘persoonlijke-fouten-vlak’ verkleind worden. Naast awareness trainingen is het ook belangrijk om medewerkers gelijk op de hoogte te brengen als de organisatie doelwit wordt van een cyberaanval, bijvoorbeeld als er phishingberichten naar collega’s worden gestuurd waarin iemand zich voordoet als de directeur. Als mensen op voorhand op de hoogte zijn van phishingberichten wordt het risico dat ze in die specifieke phishingaanval trappen een stuk kleiner.

Santosh Sharman is Product Manager IoT Security bij Kiwa