Vorig jaar schetste het Cybersecuritybeeld Nederland 2022 (CSBN 2022) al een zorgwekkend beeld: cyberaanvallen zijn aan de orde van de dag en aanvallen door statelijke actoren zijn “het nieuwe normaal”. Eén jaar later is dit beeld helaas niet veranderd. De digitale dreiging is onverminderd en verandert continu.
Het CSBN 2023 roept organisaties dan ook op het onverwachte te verwachten. Maar hoe bereid je jouw organisatie hierop voor? Op basis van een aantal ‘rode draden’ geeft het Samenhangend Inspectiebeeld cybersecurity vitale processen een aantal aanbevelingen.
Meer aandacht voor digitale weerbaarheid en risicomanagement
Organisaties hebben steeds meer aandacht voor het versterken van hun eigen digitale weerbaarheid én die van hun leveranciers. Maar “door snelle digitale en maatschappelijke ontwikkelingen is wat vandaag veilig is, morgen onvoldoende.” Bij succesvolle cyberaanvallen wordt vaak gebruikgemaakt van zwakke plekken in de beveiliging. Zwakke plekken die door het toepassen van basismaatregelen voorkomen of in ieder geval beperkt hadden kunnen worden.
De toezichthouders schrijven in het Samenhangend Inspectiebeeld dat risicomanagement de belangrijkste rode draad is om organisaties te beschermen tegen cyberaanvallen. Het is een middel om te sturen op de veranderende dreiging, het helpt bij het juist beleggen van de verantwoordelijkheid bij het management en het is een integraal onderdeel van een goed Information Security Management System (ISMS). Een ISMS borgt het risicomanagementproces op basis van een plan-do-check-act (PDCA) cyclus en zorgt voor een basisniveau van cybersecurity.
Over het Samenhangend Inspectiebeeld cybersecurity vitale processenJaarlijks bundelen de toezichthouders die toezicht houden op de vitale aanbieders en -processen hun resultaten in het Samenhangend Inspectiebeeld. Naast de bevindingen van het afgelopen jaar, schetst het Inspectiebeeld ook conclusies en verbeterkansen. Dit is met name interessant met het oog op de Europese netwerk- en informatiebeveiliging richtlijn 2 (NIS/NIB). De NIS2 wordt momenteel nog omgezet in Nederlandse wet- en regelgeving, maar één ding is zeker: de NIS2 gaat een grote impact hebben op veel organisaties en het aantal toezichthouders. Het grootste verschil tussen NIS2 en de oorspronkelijke NIS-richtlijn - en daarmee de Nederlandse Wet beveiliging netwerk- en informatiesystemen (Wbni) - ligt in de reikwijdte. NIS2 breidt de sectoren die onder de richtlijn vallen namelijk flink uit. In Nederland komt dat neer op zo’n 6000 extra organisaties. |
Digital Identity
Op het gebied van Digital Identity hebben organisaties binnen risicomanagement vooral aandacht voor het buitenhouden van onbevoegden en kwaadwillenden. Een aantal onderwerpen hebben volgens de toezichthouders meer aandacht nodig:
- Toegang voor eigen medewerkers: Ongeautoriseerde inzage of -toegang, ook wel bekend als insider threat, leidde in 2022 tot meerdere incidenten. Regelmatig bleken zowel preventie als detectie onvoldoende te zijn ingericht.
- Toegang voor leveranciers: Leveranciers krijgen vaak toegang tot delen van de complexe digitale infrastructuur. Bij uitgebreide leveranciersketens of bij leveranciers buiten Europa brengt dit, extra risico’s met zich mee. Veel organisaties hebben onvoldoende zicht op de toegang van leveranciers en hun activiteiten.
- Identificatie op afstand: Veel klanten en leveranciers worden op afstand geïdentificeerd en geautoriseerd. De risico’s van applicaties die hiervoor worden gebruikt zijn niet altijd duidelijk. Een ander belangrijk risico zijn aanvallen op nieuwe identificatieprocessen, waarbij de aanvallers vaak even innovatief zijn als de gebruikte applicaties.
Het verkleinen van de scheefgroei tussen cybercriminaliteit en onze digitale weerbaarheid is en blijft complex. Het vraagt om een gestructureerde visie, commitment van het management én om een samenspel tussen people, process en technology. Het goed inrichten van Digital Identity is daarbij essentieel.
Wil jij de digitale weerbaarheid van jouw organisatie vergroten, maar weet je niet goed waar je moet beginnen? Wij helpen jouw organisatie met:
- Het in kaart brengen waar jouw organisatie nu staat op het gebied van Digital Identity en welke risico’s je nu loopt. Door een vergelijking met de gewenste situatie te maken, zetten wij uiteen welke stappen gezet moeten worden om jouw organisatie naar een hoger volwassenheidsniveau te tillen. → Business Consultancy
- Het in kaart brengen van alle identiteiten binnen jouw organisatie, zowel van medewerkers, leveranciers en klanten, als ‘dingen’. En het optimaliseren en – waar mogelijk – automatiseren van de bijbehorende processen. → Workforce Identity
- Het efficiënt en veilig inrichten van het beheerproces en de benodigde toegang van jouw leveranciers. → Third-Party Access