Vijf pijlers van een effectieve cyberbeveiliging

Cyberaanvallen kunnen aanzienlijke financiële verliezen, juridische problemen en reputatieschade met zich meebrengen. Het belang van een degelijke en allesomvattende security-oplossing kan dus niet onderschat worden. We spraken erover met Patrick Gillis, hoofd van B2B ICT Product Solutions, Business Development & Solution Design, en Tom Meekers, Solution Architect IT bij Orange Belgium. Zij leggen uit waarom een dergelijke oplossing bestaat uit 5 fases: Identify, Protect, Detect, Respond en Recover.

Om maar met de deur in huis te vallen: met welke soorten cyberaanvallen worden bedrijven momenteel het meest geconfronteerd?

Patrick: Dat zijn duidelijk phishing, ransomware en het uitbuiten van kwetsbaarheden in software die niet op tijd geüpdatet is. Die cyberbedreigingen blijven nog steeds toenemen. Volgens het Centrum voor Cybersecurity België (CCB) is het aantal ransomware-incidenten het afgelopen jaar met 75% gestegen. De kosten van een cyberaanval worden door deze organisatie geschat op gemiddeld 250.000 euro.

De gemiddelde tijd tot detectie van een cyberaanval is wel lichtjes gedaald, tot 102 dagen. Dat blijft lang: een cybercrimineel kan dus gemiddeld meer dan drie maanden zijn gang gaan. Ik wil daarom iedere organisatie, inclusief kmo's, aanraden om na te gaan of ze wel voldoende maatregelen nemen om de risico's te beperken. Er bestaan gelukkig heel wat effectieve security-oplossingen om dergelijke aanvallen af te weren. Met NIS2 hebben we nu ook een Europese wetgeving die hier aandacht aan besteedt en die zaakvoerders zelfs verantwoordelijk stelt als ze niet de gepaste maatregelen nemen.

Hoe beginnen organisaties daar best aan? Hoe kunnen ze weten welke maatregelen ze moeten nemen om zich te beschermen tegen cyberaanvallen?

Tom: Bedrijven hoeven niet van nul te beginnen. Het Amerikaanse National Institute of Standards and Technology (NIST) heeft met zijn Cybersecurity Framework al in 2014 een leidraad gepubliceerd om cybersecurityrisico's in organisaties te verminderen. De Europese NIS2-richtlijn is in essentie een vertaling naar de Europese wetgeving. Daarnaast heeft het CCB met zijn CyberFundamentals Framework een reeks concrete maatregelen voor Belgische organisaties opgesteld. Het doel is om gegevens te beschermen en het risico op cyberaanvallen te verminderen. Dat CyberFundamentals Framework bouwt onder meer voort op het NIST Cybersecurity Framework en neemt ook de vijf pijlers waaruit elke bescherming moet bestaan, over. Dat zijn concreet: Identify, Protect, Detect, Respond en Recover. Deze pijlers staan ook centraal in ons security-aanbod.

Wat houdt die eerste pijler Identify precies in?

Patrick: Voordat je iets kan beveiligen, moet je eerst weten wat je moet beveiligen. Bij veel bedrijven is dit de moeilijkste stap. Vaak ontbreekt er een inventaris van laptops, servers, netwerktoegangen en processen. Als bedrijven onze hulp vragen, starten we meestal met een IT assessment om in kaart te brengen welke assets er zijn.

Tom: We nemen ook de risico's onder de loep: welke risico's loopt het bedrijf met zijn assets en wat zijn de grootste risico's? We kijken daarnaast naar leveranciers, want je moet ook de risico's van de hele toeleveringsketen bekijken, iets wat ook in NIS2 benadrukt wordt. Uiteindelijk moet het bedrijf na deze stap weten welke apparaten en infrastructuur het heeft en wat moet beschermd worden.

Protect is dan de tweede stap?

Tom: Dat klopt. In deze stap spelen IT-oplossingen die helpen om servers en gebruikers te beschermen, een belangrijke rol. Denk maar aan technologieën zoals multifactorauthenticatie, identity management, access control en wachtwoordbeheerders.

Patrick: De menselijke factor is ook belangrijk in deze stap. Maar liefst 82% van de beveiligingsinbreuken ontstaat door menselijke fouten. Gebruikers klikken goedgelovig op gevaarlijke links, kiezen te eenvoudige wachtwoorden en gaan slordig om met gevoelige gegevens. Daarom voeren we in deze fase ook een security awareness training in, waarbij werknemers leren om phishingaanvallen te herkennen en bewust te zijn van hun rol in de cyberveiligheid van hun organisatie. Bescherming gaat dus niet alleen over technologie, maar ook over mensen.

Wanneer wordt overgegaan op de pijler Detect?

Patrick: Er zullen onvermijdelijk aanvallen zijn die door de beschermlaag heen breken. In dat geval gaan we naar de Detect-fase. Daar knelt het schoentje vaak, denk maar aan het cijfer dat ik eerder vermeldde. De gemiddelde tijd tot detectie van een cyberaanval bedraagt maar liefst 102 dagen. Dat is veel te lang.

Tom: Meer nog dan bij het beschermen van een bedrijf, is technologie hier onontbeerlijk Cyberaanvallen zijn talrijk en vinden de klok rond plaats, het is onbegonnen werk om mensen 24/7 naar een dashboard te laten kijken om een aanval te detecteren. We raden bedrijven dan ook aan om gebruik te maken van endpoint detection & response-tools (EDR). Die tools monitoren toestellen continu en alarmeren ons bij verdachte activiteiten. Met extended detection and response (XDR) beoordelen we niet alleen de activiteiten op individuele toestellen, maar correleren we ook meldingen van verschillende endpoints en security-oplossingen voor een vollediger beeld van de eventuele aanval.

Na Detect komt dan Respond. Hoe reageren bedrijven best op een cyberaanval?

Tom: Detect en Respond hangen binnen cybersecurity nauw samen. Veel tools verenigen zelfs Protect, Detect en Respond in één oplossing. Het reageren op een aanval is deels te automatiseren met software, maar er is altijd nog menselijke tussenkomst nodig. Zo kunnen cybercriminelen activiteiten uitvoeren die sterk lijken op die van een systeembeheerder. Een tool kan dan wel een melding geven dat er een verdachte activiteit is, maar een analist van ons Security Operations Center (SOC) moet steeds nagaan of het om de systeembeheerder of een aanval gaat.

Patrick: Wanneer we een cybersecurity incident response-plan voor een klant opstellen, integreren we steeds de Protect, Detect als Respond-stappen. Veel bedrijven beschikken niet over een dergelijk plan of weten niet hoe het te gebruiken. Het is nochtans belangrijk om bij een incident doortastend en gericht te kunnen reageren. Hoe ga je communiceren naar klanten? Welke experts zijn er nodig om op de aanval te reageren? Allemaal zaken waar op voorhand moet worden over nagedacht.

Uiteindelijk belandt een bedrijf bij de Recover-stap. Wat gebeurt er in die laatste pijler?

Tom: Een cyberaanval kan heel wat schade aanrichten. Het herstel maakt deel uit van het incident-responseplan. Bedrijven hebben een disaster recovery plan nodig dat verder gaat dan de stekker uittrekken. Vaak wordt Recover gezien als louter schadebeperking in de eerste uren na een incident . Dat is natuurlijk belangrijk, maar te beperkt. Het kan maanden duren om alle systemen weer volledig operationeel te krijgen, de reputatieschade te herstellen en verbeteringen aan te brengen zodat een volgende aanval vermeden kan worden. Ook daarvoor moet een plan klaarliggen.

Hebben jullie nog adviezen voor bedrijven die zichzelf willen beschermen?

Patrick: Wat opvalt, is dat niet alleen grote bedrijven slachtoffer worden van cyberaanvallen. Cybercriminelen richten hun vizier op elke onderneming, ongeacht de grootte. Ook belangrijk is dat NIS2 de verantwoordelijkheid voor cyberbeveiliging bij de bestuurders legt. Ze moeten maatregelen rond beveiliging nemen, ervoor zorgen dat de kennis over cyberbeveiliging voldoende breed is in hun bedrijf en ook incidenten melden aan het CCB.

Tom: Eigenlijk moet cyberbeveiliging in het DNA van elk bedrijf zitten. Bescherming moet van bovenaf komen, met een beveiligingsbeleid en een daaraan gekoppeld budget. Maar ook alle medewerkers moeten door trainingen doordrongen zijn van het belang ervan. Cyberbeveiliging is niet alleen de taak van de IT-manager of CISO, maar van elke werknemer.