Efficiënt en effectief data beveiligen

De wereldwijde ransomware aanvallen van afgelopen zomer lieten zien hoe kwetsbaar het bedrijfsleven is voor cybercriminaliteit. In enkele gevallen duurde het langer dan een week voordat de getroffen organisaties hun bedrijfsactiviteiten konden hervatten.

“Je kunt een hack niet altijd uitsluiten”, stelt Lieuwe Jan Koning, founding partner van de Nederlandse cybersecurityspecialist ON2IT. “Maar je kunt wel de kans en vooral de impact ervan aanzienlijk beperken. Het is een kwestie van een goede risicoanalyse en het vervolgens nemen van de juiste maatregelen om die risico’s zoveel als mogelijk uit te sluiten en in ieder geval de gevolgen daarvan in te dammen. Wij noemen deze strategie: Zero Trust.”

Hoe kun je het risico en de impact van zo’n hack beperken.

“IT-security heeft veel weg van watermanagement. Het grootste deel van Nederland ligt onder zeeniveau. Dat risico is onderkend en er zijn maatregelen genomen om ons te beschermen tegen het water. Nederland is verdeeld in een aantal stukken en om al die stukken zijn dijken gebouwd. In enkele gevallen, als het gaat om heel kwetsbare delen en/of een heel kostbare inhoud, is een extra dijk gebouwd. De dijken zijn niet overal even hoog. Bij het bepalen van de hoogte is rekening gehouden met het lokale risico. In feite is voor alle delen van ons land een risicoanalyse uitgevoerd en zijn op basis daarvan maatregelen genomen. Als nu een dijk doorbreekt, blijft de schade beperkt tot dat ene deel. In de IT-security noemen wij die stukken securityzones of segmenten. Hoe uitgebreid die beveiliging van een segment is, hangt af van de kwetsbaarheid en de waarde van de data in dat segment. Het draait, net als bij de dijken, om een goede analyse en een doordachte strategie.”

“Er hoeft maar één iemand te zijn die in een mailtje op een verkeerde link klikt en je bent de sigaar.”

Wat is het uitgangspunt bij die strategie?

“Wij gaan uit van het Zero Trust principe. Geen enkel mailtje, geen enkele site, geen enkele verbinding buiten een securityzone is te vertrouwen. Je zegt in feite tegen alles nee. En vervolgens bepaal je in welke gevallen en onder welke voorwaarden een ‘nee’ een ‘ja’ kan worden. Verder leg je om ieder stukje een slotgracht. Data binnen die slotgracht is alleen toegankelijk voor wie binnen die slotgracht werkzaam is en alleen voor wie een speciale pas heeft en na inspectie. Bijkomend voordeel van zo’n grondige aanpak is dat je als organisatie ook impliciet voldoet aan wet- en regelgeving, zoals de GDPR die mei 2018 van kracht wordt.”

In hoeverre is die wetgeving strenger?

“Je moet kunnen aantonen dat je alles hebt gedaan om een datalek te voorkomen en dat je state-of-the-art technologie gebruikt. Als bedrijf moet je dus echt onderzoek hebben gedaan naar de risico’s van datalekken en naar de mogelijke gevolgen daarvan. Gaat het bijvoorbeeld om patiëntgegevens of financiële gegevens van particulieren en ondernemers dan moet je hele goede maatregelen hebben genomen. En je moet ook doorlopend evalueren of er na verloop van tijd wellicht aanleiding is om aanvullende maatregelen te nemen en het beleid aan te scherpen.”

Zijn al die maatregelen niet enorm kostbaar?

“Het is inderdaad heel makkelijk om heel veel geld te besteden aan allerlei beveiligingsmaatregelen. Dat moet je dus niet zomaar doen.  Voor een optimaal resultaat gaat het erom dat wat je doet ook daadwerkelijk het cyberrisico aantoonbaar vermindert. Verder is het de kunst om met zo min mogelijk kosten een zo goed mogelijke beveiliging te realiseren. Daarom werk je bij Security Risk Management met een aantal stappen: Eerst bepaal je welke data je beheert of verwerkt en in hoeverre de GDPR daarop van toepassing is. Daarna beoordeel je hoe belangrijk en kwetsbaar die data zijn. Dan onderzoek je hoe je de risico’s en de gevolgen van een datalek kunt beperken. En tot slot ga je over tot implementatie van de gekozen maatregelen. Vervolgens evalueer je op regelmatige basis de genomen maatregelen en neem je indien nodig nadere stappen. Als je dat slim aanpakt, kun je zelfs een besparing op je IT-securitykosten realiseren De security zit dan al in het ontwerp en wordt er niet achteraf ‘opgeplakt’. Bij een aantal relaties zijn dankzij onze Zero Trust aanpak de compliance kosten gehalveerd. Ook hebben zij hun TCO aanzienlijk kunnen verlagen door niet zelf alle kennis in huis te halen, maar dit via Managed Services uit te besteden.”

“Je kunt een hack nooit 100% voorkomen. Maar je kunt wel de impact daarvan beperken.”

Is er nog voldoende tijd om voordat de wet van kracht wordt maatregelen te nemen?

“Als het goed is, hebben veel grotere bedrijven een Data Security Officer die verantwoordelijk is voor het Security Risk Management. Toch zijn er nog maar weinig bedrijven die kunnen aantonen dat ze de juiste maatregelen hebben genomen om hun gegevens te beschermen en dat die maatregelen effectief zijn. Daarom is het ons advies de deskundigheid in te roepen van een externe specialist. Vreemde ogen dwingen en leiden tot nieuwe inzichten. En je hebt liever dat iemand die je daartoe opdracht geeft je SRM beoordeelt, dan dat een hacker dat doet.”

Hoe beoordeelt een expert als ON2IT het SRM van een organisatie?

“Daarvoor hebben wij het ON2IT Security Framework ontwikkeld, een strategie om van beleid tot operationeel niveau te komen. Die aanpak, waarbij wij onder meer gebruikmaken van de meest innovatieve technologie die op dit moment beschikbaar is, is bewezen succesvol. Wij investeren sinds onze oprichting veel in de ontwikkeling van ons managementplatform. Dit geeft onze relaties inzicht in risico’s en speelt een belangrijke rol bij het beschermen van gegevens en het naleven van regels en wetten. Onlangs hebben wij voor die manier van werken een Global Award ontvangen. Palo Alto Networks, een Amerikaanse cybersecurityexpert, heeft 5.500 organisaties beoordeelt en slechts acht daarvan ontvingen een Global Award. Daar zijn wij enorm trots op.”

Werkt die aanpak ook als een bedrijf ‘in de cloud’ werkt?

“Onze aanpak werkt in de cloud net zo goed als on-premise. De security van de cloud infrastructuur zelf is goed beveiligd. Maar voor de data en dus ook de security in de cloud blijf je zelf verantwoordelijk. Je moet dus je data op dezelfde manier beoordelen en beveiligen als wanneer je die in een datacentrum onderbrengt.”


Auteur: Lieuwe Jan Koning
CTO ON2IT