Security Campagne - Blog Banner - Should Know your Security
Security
Jan Robijns
Security
06/04/2024
8 min

Wat te doen om jouw IT Security te verbeteren?

06/04/2024
8 min

Hoe kan je het hackers zo moeilijk mogelijk maken?

Online risico’s en bedreigingen met grote gevolgen voor zowel overheden, bedrijven als personen nemen snel toe. Het Ministerie van EZK plaatste vorig jaar een uitgebreide blog over het cybersecuritybeeld voor Nederlandse ondernemers. De digitale dreiging is onverminderd groot, mede door een scheefgroei met onze weerbaarheid ertegen.

Hoe komt die scheefgroei? En wat kan je doen om het hackers zo moeilijk mogelijk te maken?

Eigenlijk zijn hackers ons bijna altijd een stap voor. De eerste en belangrijke les in de IT: Elk IT-netwerk is te kraken. De meeste innovaties op security gebied zijn eigenlijk een reactie op een reeds uitgevoerde aanval. Hackers bedenken een nieuwe methode, vervolgens wordt de IT-beveiliging aangepast op die nieuwe methodiek. Er is dus bijna altijd een periode waarin hackers hun gang kunnen gaan totdat er weer een oplossing is bedacht.

Deze zogenoemde ‘zero-day’ aanvallen, exploits of virussen zijn de problemen die door het beveiligingsnet vallen. Ze bevatten de tot nu toe onbekende zwakheden of methodieken om een IT-omgeving aan te vallen. Meteen na het ontdekken gaan de security specialisten koortsachtig aan het werk om het spreekwoordelijke gat te dichten. Daarom zijn er zo vaak updates voor virusscanners, firewalls en andere beveiligingssoftware. Snelheid is hierbij van belang. Het tijdig patchen van je netwerk apparatuur dus ook!
Maar deze updates hebben vooral nut voor organisaties die nog niet zijn aangevallen. De ongelukkige gastheer tijdens een zero-day attack is al met succes aangevallen. Verlies van data, dienstverlening en bijna altijd reputatieschade zijn vaak het gevolg.

Een beetje doorgewinterde IT-er zal roepen; heuristische beveiliging! Ja, ik hoor het je zeggen. Absoluut een goede zet, maar helaas niet perfect.

Maar wacht even, wat houdt heuristische IT-security eigenlijk in?

Het is de kunst van het herkennen. Kijkend naar een goede virusscanner, dan bevat deze heuristiek. In een stuk data (een applicatie, e-email, bestand, etc.) wordt gekeken of kenmerken kunnen worden ontdekt die overeenkomen met bekende virussen.

Stel dat een bekend virus een liedje is, dan wordt bij heuristiek geluisterd of bij een nieuw liedje een van de coupletten herkenbaar is. Vindt de virusscanner daardoor dat het misschien wel een verdacht deuntje is, dan wordt het bestand als virus herkend. Deze methode kan ook bij de analyse van netwerkverkeer worden gebruikt. Hier maken o.a. Firewalls gebruik van om verdacht verkeer te kunnen ontdekken.

Een goede firewall (ook met heuristiek), virusscanners, Endpoint Detect and Response software (EDR), SIEM tooling én gezond verstand, DAT is toch zeker wel voldoende? Bijna! Security blijft namelijk deels gokwerk en, als een aanval heel ingenieus is, achter de feiten aanlopen. Je moet namelijk accepteren dat je ten eerste een keuze maakt uit een hele reeks beveiligingsmiddelen. Was het de juiste keuze? Dat deel is het gokwerk. Daarnaast moet de IT omgeving wel bruikbaar blijven door... nou ja... de gebruikers.

Bij alle middelen moet een balans worden gevonden tussen veiligheid en bruikbaarheid. Het veiligste netwerk heeft geen gebruikers en geen verbindingen naar buiten. De beste kluis heeft geen deur. Je hebt maximale veiligheid, maar praktisch is het niet. Dus zoeken we die balans. Dat brengt ons de tweede les die we kunnen leren: We kunnen de veiligheid nooit zo goed maken, dat de te kraken data onbereikbaar is.


Is er dan zo weinig mogelijk om je IT Security te verbeteren?

Er is heel veel mogelijk en precies daar zit de uitdaging. Er is niet één oplossing om een compleet beveiligd IT systeem te bereiken. De oplossing is een combinatie van veel factoren zoals bijvoorbeeld de juiste apparatuur, goed doordachte configuratie, slimme software, weloverwogen settings en de inrichting van het IT-netwerk. Dit zijn maar een paar aspecten die van belang zijn. Maar voordat je goed over security na kan denken, moet je wel eerst weten wat je hebt. Alles staat of valt bij hoe slim en zorgvuldig een IT-netwerk is ingericht.


Voordat we in het warme bad vol netwerk technische ideeën en oplossingen springen nemen we eerst een koude douche van regelgeving.
NIS2.
Je komt er niet om heen, want in oktober 2024 gaat NIS2 een rol spelen in het cyberleven van jouw organisatie.




NIS2 – Start tijdig met voorbereiden

(Een bijdrage van Aart de Wit en Anastasia Timmermans)

NIS2 heeft als doel om de digitale weerbaarheid van de EU-lidstaten te vergroten en de schade veroorzaakt door cyberaanvallen zo goed mogelijk te beperken. Alle EU-lidstaten hebben sinds 2022 twee jaar de tijd gekregen om de NIS2-richtlijn om te zetten in nationale wetgeving. Vanaf 18 oktober 2024 kunnen we dus in Nederland nieuwe wetgeving verwachten. In Nederland zal de NIS2-richtlijn geïmplementeerd worden in de vorm van de Cyberbeveiligingswet. Op het moment dat de Cyberbeveiligingswet wordt aangenomen, zal deze de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni) vervangen.

In deze blog zetten wij zo kort mogelijk voor je uiteen wat NIS2 inhoudt en wat je er voor moet doen. Ja, echt de lap tekst hieronder is zo kort mogelijk gehouden... En spoiler alert; het is droge stof. Maar als het cyberleven van jouw organisatie je lief is en je houdt het graag gezond, zal je er toch doorheen moeten.
Leuker kunnen we het helaas niet maken, hopelijk wel iets overzichtelijker.

De NIS2-richtlijn van de EU: Wat is het?

De NIS2-richtlijn, oftewel de tweede richtlijn inzake de beveiliging van netwerk- en informatiesystemen, is een belangrijk instrument van de Europese Unie (EU) om de digitale beveiliging te versterken en cyberincidenten te voorkomen. Het is een richtlijn die zich door middel van voorschriften richt op de beveiliging en weerbaarheid van netwerk- en informatiesystemen in de EU.

NIS2 versus NIS – een heel klein stukje historie

NIS2 bouwt voort op de eerste NIS-richtlijn, die in 2016 werd geïntroduceerd. Het belangrijkste verschil tussen NIS en NIS2 ligt in de reikwijdte van de richtlijn. Er zijn meer sectoren toegevoegd en daarnaast stelt de nieuwe richtlijn strengere beveiligingsnormen en meldingsvereisten bij incidenten.

Waar NIS alleen van toepassing was op essentiële diensten, zoals energie, transport en financiën, heeft NIS2 een bredere scope. Het omvat nu ook digitale dienstverleners, zoals cloudserviceproviders, online marktplaatsen en zoekmachines. Hiermee wordt de bescherming van netwerk- en informatiesystemen in een bredere context geplaatst.

Voor wie gelden de NIS-richtlijnen?

Zowel overheidsinstanties als bedrijven in verschillende sectoren moeten voldoen aan de NIS2-richtlijnen.
Overheidsinstanties hebben een dubbele taak: ze moeten niet alleen zelf voldoen aan de richtlijnen, maar ook toezicht houden op de bedrijven die essentiële diensten verlenen. Ze zijn verantwoordelijk voor het controleren of organisaties de juiste beveiligingsmaatregelen nemen en of ze incidenten op de juiste wijze melden.

Aan de andere kant moeten bedrijven die onder de NIS2-richtlijn vallen hun systemen op een adequate manier beveiligen en incidenten melden bij de bevoegde autoriteiten. Op deze manier wordt een effectieve samenwerking tussen overheid en bedrijfsleven bevorderd om, ja daar hebben we het weer, de digitale weerbaarheid te vergroten.

Of de NIS2 richtlijn ook voor jouw organisatie geldt, is afhankelijk van de sector waarin jouw organisatie actief is en de grootte van jouw organisatie.

Voor een zelfevaluatie kan je op de Regelhulp van het RVO (Rijksdienst voor Ondernemend Nederland) een online quiz invullen.

NIS2-richtlijn – Wat zijn de voorgeschreven verplichtingen?

De NIS2 stelt uitgebreidere eisen aan cybersecurity dan haar voorganger waarbij dit uiteindelijk neerkomt op het zorg dragen voor cybersecurity. De belangrijkste punten uit de nieuwe eisen zijn: 

  • Zorgplicht: Organisaties moeten zelf een risicobeoordeling uitvoeren en passende maatregelen nemen om hun diensten en informatie te beschermen.
  • Meldplicht: Organisaties moeten incidenten die de verlening van essentiële diensten sterk kunnen verstoren binnen 24 uur melden bij de toezichthouder. Cyberincidenten moeten ook worden gemeld bij het Computer Security Incident Response Team (CSIRT). Factoren zoals het aantal getroffen personen, duur van de verstoring en mogelijke financiële verliezen bepalen of een incident meldenswaardig is.
  • Toezicht: Organisaties die onder de NIS2-richtlijn vallen, worden onderworpen aan toezicht van een onafhankelijke toezichthouder. Het toezicht richt zich op de naleving van de verplichtingen, zoals de zorg- en meldplicht. Het exacte toezichtmechanisme en de toezichthouder voor de sector Overheid moeten nog worden bepaald, maar er wordt gestreefd naar gebruik van bestaande verantwoordingsstructuren

Goed voorbereid op NIS2 – Wat kan je doen?

Een rij aan verplichtingen. Maar waar moet je op letten om die cyber weerbaarheid te vergroten? Wat kan je doen ter voorbereiding op NIS2?
Ook hier weer een zo beknopt mogelijk overzicht.
Om goed voorbereid te zijn op NIS2 moet je zowel organisatorische als technische maatregelen nemen, denk aan:

  1. Een risicoanalyse en beveiliging van informatiesystemen;
  2. Beveiligingsaspecten op het gebied van personeel, toegangsbeleid en beheer van assets;
  3. Maatregelen op het gebied van bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen;
  4. Incidentenbehandeling;
  5. Basis cyberhygiëne en trainingen op het gebied van cyberbeveiliging;
  6. Beveiliging bij het verwerken, ontwikkelen en onderhouden van netwerken informatiesystemen, inclusief de respons op en bekendmaking van kwetsbaarheden;
  7. Beveiliging van de toeleveranciersketen;
  8. Beleid en procedures over het gebruik van cryptografie en encryptie;
  9. Het gebruik van multifactor-authenticatie, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen;
  10. Beleid en procedures om de effectiviteit van beheersmaatregelen van cyberbeveiligingsrisico’s te beoordelen.

Goed voorbereid op NIS2 – Technische maatregelen

Wat je allemaal over de hele IT-keten kan en moet doen gaat nu te ver om in deze blog te verwerken. Daarom houden wij het bij onze expertise – ICT Infrastructuur – en geven wij jou hieronder alweer een beknopt overzicht aan technische maatregelen.
Ter beveiliging van jouw ICT infrastructuur moet aan je de volgende netwerk technische maatregelen of oplossingen denken:

*Next-generation firewall
 
De Next Generation Firewall, een must in elk IT netwerk. Een krachtige netwerk security appliance die extra beveiliging toevoegt aan de traditionele firewall door:

  1. hacking preventie,
  2. zichtbaarheid van applicatie en gebruiker,
  3. SSL-inspectie,
  4. detectie van onbekende bedreigingen.

Blokkeert netwerkverkeer, services, netwerkpoorten en protocollen behalve die uitdrukkelijk zijn toegestaan en gedefinieerd als passend en noodzakelijk voor de organisatie. De aanschaf van de nieuwste NGFW is natuurlijk niet genoeg. Elke firewall fucntioneert immers zo goed als de ingestelde set policies…. En de meest recente software versie. Dus houd het patchen goed bij alsof het cyberleven van jouw organisatie er vanaf hangt. Want dat doet het.

*Identity en access control oplossing (IAM)

Tooling voor access management tot de data en resources van de organisatie door toepassing van identiteit en role- en/of attribute-based access controle.

*ZTNA (Zero Trust Network Access)

Controle voordat toegang tot het ICT-netwerk wordt verleend op

  • Identiteit van de gebruiker
  • Gezondheid van de apparaten
  • Appliance van de apparaten
  • Controle en validatie wordt per sessie uitgevoerd.

*Asset Management

Automatisch een uitgebreide, nauwkeurige inventarisatie van alle hard- en software in uw IT/OT-omgeving om vulnerabilities oftewel kwetsbaarheden pro-actief aan te pakken.

*Centralisatie monitoring en alerting

Monitoren en correleren van signalen uit het hele netwerk, identificeren en onderzoeken van verdachte activiteiten op de netwerkinfrastructuur om de cyberdefensie te optimaliseren.

ISO 27001 gecertificeerd – dat is toch genoeg?

ISO 27001 is de wereldwijd erkende norm op het gebied van informatiebeveiliging. De norm beschrijft hoe procesmatig met het beveiligen van informatie kan worden omgaan, met als doel om de vertrouwelijkheid, beschikbaarheid en integriteit van informatie binnen de eigen organisatie zeker te stellen. De norm bevat een stelsel van beheersmaatregelen om de cybersecurity en privacybescherming naar een hoger niveau te brengen.

De beheersmaatregelen van ISO 27001 komen overeen met de maatregelen van NIS2, voor zover wij nu de uitwerking van de NIS2 richtlijn kennen. De zorgplicht, meldplicht en het toezicht staan echter niet als zodanig in de norm. Hierop moeten de maatregelen die in het kader van ISO 27001 genomen zijn, worden getoetst en eventueel aangepast.

Rijksoverheid NIS2 Zelfevaluatie NL: https://regelhulpenvoorbedrijven.nl/NIS-2-NL/
De online quiz om te toetsen of de NIS2-richtlijn op jouw organisatie van toepassing is.

Digitale Overheid – NIS2-Richtlijn: https://www.digitaleoverheid.nl/overzicht-van-alle-onderwerpen/nis2-richtlijn/

Digitale overheid – Europese wet- en regelgeving: https://www.digitaleoverheid.nl/overzicht-van-alle-onderwerpen/europa/europese-wet-en-regelgeving/

Informatiebrochure Cyberbeveiligingswet: https://www.ncsc.nl/documenten/brochures/2024/5/21/cyberbeveiligingswet-informatiebrochure

Tot slot: op www.samendigitaalveilig.nl/voor-nis2-bedrijven staat:
“De NIS2 wet bestaat niet want die heet officieel de Europese NIS2 Richtlijn. In de loop van 2024 wordt de NIS2 ingebouwd in de Nederlandse Wbni. Dat is dus de Nederlandse wet. Omdat iedereen het heeft over de NIS2 gebruiken we die terminologie om spraakverwarring te vermijden. De nieuwe Wbni inhoud is nog niet erg bekend gemaakt maar zal, naar verwachting, in lijn liggen met de NIS2 richtlijn.”

De komende weken gaan wij het in deze blogreeks hebben over diverse aspecten van cyber security. Hierin gaan we niet alles behandelen en misschien zelfs niet altijd met grote diepgang. Het gaat erom dat de gedachtestroom op gang komt ......

Volg de LinkedIn page van Procyon Networks en houd de wekelijkse posts in de gaten.

Categorieën