Omgaan met cyberaanvallen: best practices voor CISO’s

Nederlandse organisaties zijn uiterst kwetsbaar voor digitale aanvallen, waarschuwde de Nationaal Coördinator Terrorismebestrijding en Veiligheid recent in het Cybersecurity Beeld Nederland. Hoe gaan Chief Information Security Officers met de nieuwe cyberrisico’s om en
wat kunnen anderen daarvan leren? Paul Oor, Chief Security Officer van Conclusion, en Jan Willem Schoemaker, CISO bij het Erasmus MC, vertellen over de ontwikkelingen, uitdagingen en best practices.

“De Chief Information Security Officer (CISO) is verantwoordelijk voor het gehele proces van informatiebeveiliging en beheert daarvoor het Information Security Management System. Daarmee speelt de CISO een sleutelrol in het omgaan met cyberrisico’s en de manifestatie van digitale dreigingen”, zegt Jan Willem Schoemaker, CISO en Business Continuity Manager bij het Erasmus MC,

over de betrokkenheid van CISO’s bij de omgang met cyberrisico’s. Het Cybersecurity Beeld Nederland (CSBN), waarvan de Nationaal Coördinator Terrorisme­bestrijding en Veiligheid (NCTV) recent de nieuwe editie presenteerde, maakt een onderscheid tussen risico’s, die verwijzen naar de kans dat een incident plaatsvindt, en de daadwerkelijke manifestatie daarvan.

Jan Willem Schoemaker - CISO bij het Erasmus MC.

“De rol van de CISO is om het hele proces van digitale weerbaarheid in kaart te brengen en de maatregelen te organiseren om de organisatie voor te bereiden op risico’s en incidenten”, vindt Schoemaker. “De CISO is nadrukkelijk niet degene die maatregelen in de praktijk invoert, maar houdt het overzicht over het hele proces van risicomanagement. Het gaat dan om het samenstellen van een gebalanceerde mix van maatregelen om risico’s te beperken, maar bijvoorbeeld ook om de voorbereiding op cyberaanvallen en de borging van de bedrijfscontinuïteit tijdens incidenten.” Bij grote incidenten kan de CISO ook een rol spelen in het crisismanagement en het advies daarover aan de directie.

Prioriteren

“CISO’s zijn zich terdege bewust van de risico’s van cyberaanvallen. De uitdaging is om de organisatie ervan te overtuigen om prioriteit te geven aan de risico’s”, zegt Paul Oor, Chief Security Officer bij Conclusion, dat de expertise van 25 Nederlandse ondernemingen bundelt die actief zijn op verschillende terreinen van IT-dienstverlening. “De verhalen in de media over spionage door China en Rusland zorgen voor meer bewust­wording van de problematiek”, denkt Oor. “Maar we beseffen niet altijd hoe groot onze afhankelijkheid van ICT is geworden. Denk alleen al aan wat er zou gebeuren als kwaadwillenden de stoplichten in een stad uitzetten of de stroomvoorziening van een ziekenhuis uitschakelen.”

Volgens het CSBN 2019 ligt zelfs ontwrichting van de Nederlandse samenleving op de loer. “Een incident in een netwerk kan leiden tot een keten van incidenten en uiteindelijk uitval van bijvoorbeeld gas, water of elektra. Door het bijna volledig verdwijnen van analoge alternatieven en de afwezigheid van terugvalopties is de afhankelijkheid zo groot geworden, dat aantasting kan leiden tot maatschappij ontwrichtende schade”, aldus het rapport.

Awareness op managementniveau

De NCTV is niet de enige die waarschuwt voor cyberrisico’s. Volgens recent onderzoek van KnowBe4 is bijna een derde van de organisaties vatbaar voor phishing. Ruim de helft van de directeuren die deelnamen aan onderzoek van het internationale advocatenkantoor Allen & Overy en het consultancybureau Willis Towers Watson, zeiden in 2018 een cyber­incident te hebben meegemaakt. In 2017 was dit minder dan een derde. De verwachting van de onderzoekers is dat deze dreiging alleen nog maar toeneemt.

Een beroep op fear, uncertainty & doubt is niet altijd de beste manier om de awareness van securityrisico’s aan te vliegen, zegt Oor, die eerder onder andere werkte als Chief Security Officer bij Atos. “Maar CISO’s hebben wel de verantwoordelijkheid om te vertellen welke reële risico’s er zijn. Bovendien kunnen CISO’s hun collega’s erop wijzen dat het van essentieel belang is dat de organisatie zorgvuldig met data, persoonsgegevens en andere assets omgaat - en dat preventie zeker niet kansloos is. Ze hebben ook een voorbeeldrol om respect te creëren voor de mensen die zich dagelijks inzetten om de organisatie en informatie veilig te houden.” In de driedaagse praktijkcursus CISO als strategische business partner van IIR komen al deze issues aan bod.

“Het is belangrijk dat CISO’s op managementniveau aangeven welke risico’s er spelen, wat eraan gedaan wordt en wat de organisatie verder nog kan ondernemen”, vult Schoemaker aan. Publicaties zoals het CSBN helpen volgens Schoemaker, die naast CISO ook gastdocent is van de praktijkcursus Security voor privacy professionals en in november spreekt tijdens het Dataprotectie & Privacy Congres in Utrecht, om het management te informeren over de trends, risico’s en lessen van andere organisaties.

Oplossingen voor digitale weerbaarheid

Een grote uitdaging voor CISO’s is om naast het versterken van awareness ook oplossingen aan te dragen die de digitale weerbaarheid van de organisatie vergroten. Oor: “Dat betekent vooral dat security goed in de organisatie wordt ingebed. Securitymanagement moet voortdurend op de agenda staan, óók als dat voor de organisatie soms lastig is - en de aanpak niet erg sexy klinkt.”

Een gestructureerde risico-aanpak is essentieel, zegt ook Schoemaker. “Identificeren, beschermen, detecteren, reageren en herstellen zijn hiervan de basisonderdelen. Normenkaders voor cybersecurity, zoals van het NIST, helpen ook om gestructureerd aan de slag te gaan.” Tijdens de zesdaagse opleiding Informatiebeveiliging van IIR vertellen experts onder leiding van hoofddocent Brenno de Winter over alle relevante technische, organisatorische en juridische fundamentals.

Paul Oor - Chief Security Officer bij Conclusion.

Voor een groot deel berust de voorbereiding op cyberaanvallen op routinematige activiteiten, zoals continue updates, scans op kwetsbaarheden en PEN-tests, aldus Oor. “Dat lijkt misschien saai, maar moet wel gebeuren. Automatisering kan trouwens wel helpen om veelvoorkomende controles uit te voeren.” Schoemaker vult aan: “Je moet goed weten wat de kwetsbaarheden van de organisatie zijn. Naarmate we als organisaties afhankelijker zijn van digitale systemen, wordt het steeds moeilijker om een IT-middel na een cyberaanval compleet stil te leggen om te onderzoeken wat er is gebeurd.”

“Know your enemy”, vat Schoemaker zijn advies samen. “Het worst case scenario is dat een organisatie zich niet bewust is dat er iets is misgegaan. De gemiddelde tijd die het organisaties kost om een hack of datalek te ontdekken, ligt eerder in dagen of weken dan in minuten of uren. Actuele kennis over trends, technieken en modus operandi kan bijdragen aan een betere weer­baarheid.” Zo hebben banken met succes actie ondernomen tegen phishing, maar hebben daders de modus operandi hierop aangepast. Het CSBN 2019 signaleert dat phishing e-mails voor leken steeds moeilijker zijn te herkennen, waardoor detectie via software belangrijker wordt.

Oefenen met preventie

Oor adviseert CISO’s om te focussen op doelgroepspecifieke oplossingen. “Aan de hand van aansprekende voorbeelden kan voor specifieke doelgroepen worden aangegeven wat er kan misgaan, wat er moet worden gedaan om risico’s beheersbaar te maken en wat de beste manier is om op een incident te reageren.” Bij het Erasmus MC is hiervoor een Computer Emergency Response Team (CERT) ingesteld, die opleidingen, trainingen en oefeningen organiseert.

E-learning is nog altijd een veelgebruikte methode om basiskennis over security te creëren. Maar voor effectieve kennis­ontwikkeling zijn doelgroepgerichte, eigentijdse leermethoden zoals gamification onmisbaar, zegt Oor. “In een simulatie kunnen mensen echt ervaren hoe preventie werkt. Daardoor blijven adviezen beter hangen en ontstaan vaak nieuwe ideeën en inzichten.”

Slimme samenwerking

De CISO doet er goed aan om actief de samenwerking met collega’s op te zoeken, zegt Oor. Bijvoorbeeld met (andere) security officers en IT-ontwikkelaars. “Als Chief Security Officer ondersteun ik de kennis­uitwisseling tussen onze security officers en let ik op de synergie en consistentie tussen de security policies en werk­wijzen van de diverse ondernemingen.” Via oefeningen met blue teams en red teams kunnen verschillende profes­sionals bovendien elk vanuit hun eigen perspectief en rol de kwetsbaarheden van systemen testen.

Toetsen

Daarnaast liggen er mogelijkheden om met andere bedrijven, overheden en universiteiten samen te werken. Initiatieven zoals de Cybersecurity Raad (CSR), het Nationaal Cyber Security Centrum (NCSC) en het Digital Trust Center (DTC) maken zich sterk voor dergelijke samenwerking. Schoemaker: “De samenwerking met alle stakeholders helpt om nieuwe kennis op te doen én te toetsen hoe de digitale weerbaarheid van de organisatie ervoor staat.”