fbpx

Samenwerking overheid en bedrijfsleven moet leiden tot een hoge weerbaarheid

De weerbaarheid van IT-systemen is een belangrijk onderwerp. Doordat IT-infrastructuren in onze samenleving sterk met elkaar verweven zijn, is dit complex en veelomvattend. Daarmee is de noodzaak geboren om samen te werken voor digitale veiligheid en weerbaarheid. In het licht van de huidige ‘Log4j’- kwetsbaarheid nemen Lars Ploeg en Karl Baruel je graag mee in hun visie over hoe de overheid en het bedrijfsleven samenwerken.

Overheid

Alle mensen en organisaties moeten veilig ‘online’ kunnen zijn. Wat de Rijksoverheid daarom doet is kaders stellen en faciliteren. Dit doen zij door middel van drie organisaties, namelijk het Nationaal Cyber Security Centrum (NCSC), het Digital Trust Center (DTC) en het nationale Computer Security Incident Response Team voor digitale dienstverleners (CSIRT-DSP).

Nationaal Cyber Security Centrum (NCSC)

In Nederland is de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) verantwoordelijk voor het coördineren van cybersecurity. Het NCSC de uitvoeringsorganisatie van de NCTV en is het expertisecentrum voor cybersecurity in Nederland. Als er zich een dreiging of kwetsbaarheid voordoet in een IT-systeem geeft zij beveiligingsadvies aan (vitale) organisaties. Bedrijven binnen de vitale sectoren (bijvoorbeeld banken, water-, energie-, telecombedrijven) zullen voornamelijk met het NCSC schakelen.

Het NCSC is de afgelopen dagen veel op de voorpagina’s van het nieuws geweest vanwege een ernstige kwetsbaarheid in ‘Log4j’. Zij hebben daar sinds de melding zeer veel aandacht voor gevraagd. Daarbij voorziet zij organisaties op verschillende manieren van informatie. Zo heeft het NCSC een lijst op GitHub geplaatst met applicaties die kwetsbaar zijn, een HIGH/HIGH-beveiligingsadvies uitgebracht, dagelijkse updates over ontwikkelingen gerapporteerd en informatiesessies georganiseerd voor IT-professionals. Zij staan in tijden van crises dan ook 24/7 klaar om met haar partners de juiste organisaties, kennis en informatie met elkaar te verbinden.

Digital Trust Center (DTC)

Naast het NCSC, faciliterend voor de vitale sectoren, vervult het DTC deze rol voor de niet-vitale sectoren. Het DTC is in 2018 opgericht door het ministerie van Economische Zaken en Klimaat. Dit orgaan heeft als taak de Nederlandse bedrijven weerbaarder te maken tegen cyberdreigingen. Dit doen zij door kennis en informatie te delen en samenwerkingen te stimuleren.

Computer Security Incident Response Team voor digitale dienstverleners (CSIRT-DPS)

Naast het onderscheid dat de Rijksoverheid maakt tussen vitale (NSCS) en niet-vitale sectoren (DTC), besteedt zij nadrukkelijk aandacht aan digitale dienstverleners. Vanuit een Europese richtlijn die betrekking heeft op netwerk- en informatiebeveiliging is het CSIRT aangewezen voor digitale dienstverleners (online zoekmachines, online marktplaatsen en clouddiensten). Zij hebben een meldplicht bij het CSIRT voor incidenten met aanzienlijke gevolgen. Ook hebben de digitale dienstverleners een zorgplicht. Zij moeten de juiste beveiligingsmaatregelen treffen ten aanzien van hun informatie- en netwerksystemen. Het CSIRT ondersteunt en adviseert daarbij.

De drie organisaties werken erg nauw samen en ‘Log4j’ laat zien dat samenwerking ontzettend belangrijk is. Met het NCSC voorop doet de Rijksoverheid er alles aan om de Nederlandse digitale infrastructuur te beschermen en de schade te beperken.

Bedrijf

Ondanks alle inzet van de Rijksoverheid om de digitale infrastructuur ‘veilig’ te maken en te houden, ben jij als organisatie zelf verantwoordelijk voor de bescherming van jouw IT-infrastructuur. Jouw organisatie heeft verantwoordelijkheden en verplichtingen richting haar klanten, leveranciers en andere stakeholders. Daarnaast wordt het toepassen van erkende richtlijnen en frameworks steeds vaker verplicht door klanten en leveranciers. Een cyberdreiging kan niet alleen een groot risico geven op je dagelijkse bedrijfsvoering, maar ook op de concurrentiepositie in de markt.

Jouw organisatie wil zo veel mogelijk focus hebben op de core business, maar (cyber)dreigingen trekken de aandacht naar zich toe wanneer het mis gaat. Dit kost je bedrijf veel tijd en geld. Bij een goede voorbereiding ervaar je minder gevolgen van dergelijke onderbrekingen. Maar hoe kan jouw bedrijf zich dan beter voorbereiden?

De juiste mindset is een basiselement om security binnen je organisatie te verbeteren. Dreigingen en incidenten kunnen overal vandaan komen. Er zijn om die reden ook vele maatregelen denkbaar om dit te voorkomen. De maatregelen moeten, met de juiste afwegingen, passen binnen jouw organisatie. Het draait om de juiste balans/afstemming tussen de strategie, het securitymanagement en wensen en eisen van je klanten/leveranciers.

In relatie tot ‘Log4j’, zien we hoe belangrijk het is dat bedrijven haar IT-infrastructuur op de juiste manier beveiligen. De IT-infrastructuur wordt gezien als vanzelfsprekend, maar diezelfde infrastructuur is de ‘dragende muur’ van je organisatie. Als dat door een hacker onderuitgehaald wordt is het de vraag of de andere muren het nog houden of dat het hele plafond naar beneden komt.

IT-Partner

In dit artikel wordt duidelijk dat het bedrijfsleven verantwoordelijk is en de Rijksoverheid kaderstellend en faciliterend. Omdat het bedrijfsleven zich voornamelijk focust op haar core business is het onderhouden, beveiligen en monitoren van de IT-infrastructuur een tijdrovende taak. De Rijksoverheid voorziet alleen in informatie en advies en daarom is het belangrijk om de juiste IT-partner te vinden die de gaten kan opvullen. Zij brengen de juiste kennis en kunde om jouw organisatie weerbaar en veilig te maken.

Ordina’s ethical hackers, software engineers en incident response teams helpen organisaties om weerstand te bieden tegen de overvloed aan cyberrisico’s en om adequaat te reageren in geval van een succesvolle aanval of kwetsbaarheid.

Een actueel voorbeeld is natuurlijk de ‘Log4j’-kwetsbaarheid. Wij raden aan om de digitale omgeving direct en volledig te onderzoeken op ‘Apache Log4j’ en de kwetsbaarheden te detecteren en mitigeren. Het is belangrijk om zo snel mogelijk updates te installeren, de internetkoppeling en/of de betreffende software uit te schakelen.

Als jouw organisatie extra ondersteuning nodig heeft, dan biedt Ordina die.

  • Identificeren: ethical hackers van het Red Team brengen ‘Log4j’ in applicaties in kaart te brengen en te beoordelen of dit een risico vormt je organisatie.
  • Beschermen: ons Blue Team neemt maatregelen tegen verkeerd gebruik van ‘Log4j’. Het Blue Team beperkt de impact/schade van deze kwetsbaarheid.
  • Detecteren: zij detecteren ook aanvallen met slimme monitoring.
  • Reageren: als laatste assisteren zij in een snelle en effectieve beheersing.
  • Herstel en Nazorg: ons Security Strategy team evalueert het proces en rapporteert ‘lessons learned’.

Ordina denkt graag met je mee.

Voor meer informatie neem je contact op met Freek van Dieren, Freek.van.dieren@ordina.nl  of (06 2434 9339)