De publieke sector heeft het zwaar als het op cybersecurity aankomt. De sector staat voor verschillende uitdagingen die ze tegelijkertijd moeten aanpakken. Denk bijvoorbeeld aan de komst van NIS2, waar nog veel onduidelijkheden over zijn, het gebrek aan cybersecurity-specialisten, verouderde infrastructuur, beperkt budget en datalekken.
Waarom is cybersecurity in de publieke sector zo'n grote uitdaging?
Cybersecurity in de publieke sector brengt verschillende uitdagingen met zich mee. Hieronder benoem ik enkele redenen waarom dit zo is.
Onduidelijkheden over de NIS2-richtlijn
Hoewel het bekend is dat NIS2 eraan komt, is er nog veel onduidelijkheid over de exacte inhoud van de nieuwe Europese cybersecurity-wetgeving. Dit zorgt voor bezorgdheid bij veel gemeenten en andere organisaties die onder deze richtlijn vallen. De Rijksoverheid heeft nog geen helderheid verschaft over de exacte eisen, waardoor het moeilijk is om tijdig te starten met de voorbereidingen. Uit onderzoek van AG Connect, Binnenlands Bestuur en iBestuur blijkt dan ook dat slechts 10 van 80 gemeenten concrete stappen maken om zich voor te bereiden op NIS2.
Naast de onduidelijkheid over de richtlijn, vergt de implementatie van de nieuwe cybersecuritywetgeving ook aanzienlijke tijd en budget. Gemeenten hebben meer tijd nodig om zich voor te bereiden en de benodigde maatregelen te treffen. De Vereniging van Nederlandse Gemeenten (VNG) pleit dan ook bij het kabinet om gemeenten van een structureel budget te voorzien voor de implementatie en uitvoering van NIS2. Een motie genaamd "Geen NIS2 in de keten, voordat we iets weten" is hiervoor ingediend. Voor veel gemeenten ligt een behoorlijke uitdaging in het verschiet omdat veelal de volwassenheid van de organisaties tekortschiet én er nog geen voorbereidingen zijn getroffen.
Het is te verwachten dat er eind 2023 meer informatie wordt vrijgegeven over de inhoud van NIS2. Zodra dit het geval is, zullen wij deze informatie delen op onze website.
Baseline Informatiebeveiliging Overheid (BIO)
De BIO is het basisnormenkader voor informatiebeveiliging binnen alle overheidslagen wat sinds 2019 van kracht is. Dit is gebaseerd op de informatiebeveiligingsstandaarden ISO 27001 en ISO 27002 en dient verplicht door overheidsorganisaties geïmplementeerd te worden.
Door de BIO te omarmen en implementeren wordt de informatieveiligheid vergroot. Op dit moment wordt er gewerkt aan BIO 2.0 wat in 2024 van kracht zal gaan. Gezien vele overheidsorganisaties nu nog niet voldoen aan de BIO doordat zij dit nog niet geïmplementeerd hebben is de kans aanzienlijk dat dit ten koste gaat van de informatieveiligheid.
Ook al is er nog veel onduidelijkheid over NIS2 zoals eerder gesteld, het conformeren aan de BIO is een noodzakelijke vereiste en kan direct in gang gezet worden. De normenkaders zijn transparant, duidelijk en specifiek zodat dit toegepast kan worden. Het positieve effect is dat het direct de informatieveiligheid verbeterd waardoor het aantal incidenten aanzienlijk verlaagd kan worden, dit ten gunste van de organisatie, ook in het kader van kostenbesparing.
Zero trust model
In veel organisaties wordt er gebruik gemaakt van het verouderde Castle and Moat verdedigingsconcept om de kroonjuwelen te beschermen, waar uitgegaan wordt van het principe dat eenieder buiten het netwerk niet te vertrouwen is en geen toegang kan krijgen, binnen het netwerk de gebruikers wél automatisch worden vertrouwd. Dit houdt vaak in dat aanvallers (kan ook intern) vrij spel krijgen als zij eenmaal toegang tot het netwerk hebben verworven omdat dit als een vertrouwde zone/omgeving wordt beschouwd.
Een eerste stap die genomen kan worden is het aanpassen van de architectuur gebaseerd op het principe dat niets te vertrouwen is. Volgens deze filosofie kan geen enkel apparaat, gebruiker of applicatie die met je architectuur probeert te communiceren, als veilig beschouwd worden. Integendeel zelfs, want je uitgangspositie is om alles te zien als een potentiële bedreiging die verificatie vereist. De bedoeling van een zero trust architectuur is om laterale dreigingsverplaatsingen (verschillende technieken die gebruikt worden door aanvallers) binnen een netwerk aan te pakken door gebruik te maken van micro-segmentatie en granulaire handhaving van perimeters, gebaseerd op gegevens, gebruiker en locatie. Dit staat ook bekend als het "never trust, always verify" principe, dat zero trust bepaalt.
Interne bewustwording, oftewel: The human wall
Er wordt terecht veelal aandacht geschonken aan oplossingen om aanvallen van buitenaf te voorkomen of te mitigeren. Echter veroorzaken interne medewerkers onbewust al dan niet bewust óók voor veel problemen omdat zij vaak gezien worden als de zwakste schakel. Medewerkers met geen of beperkte kennis van cyberdreigingen zijn een groot risico omdat zij een makkelijk doelwit zijn voor bijvoorbeeld phishingmails, brute force attacks en ransomware. Een voorbeeld hiervan is dat medewerkers van Gemeente Alkmaar slachtoffer zijn geworden van een BEC aanval met als gevolg een verlies van 236.000 euro.
Nu wordt er door veel experts een gezonde discussie gevoerd of het überhaupt zinvol is om meer bewustwording te creëren bij medewerkers. De tegenargumenten van experts die dit overschat vinden is dat mensen, mensen blijven en daardoor altijd wel fouten kunnen blijven maken en dat het beter is om meer te investeren in het beveiligen van systemen. Alhoewel het klopt dat mensen fouten kunnen blijven maken, lijkt het mij juist zinvol om de fouten zoveel mogelijk te beperken door hen te trainen op waar zij moeten letten. Daar waar je namelijk invloed op uit kan oefenen, levert dit direct waarde op.
Door securitytrainingen als onderdeel op te nemen in het beleid en dit aan te bieden aan medewerkers kan het percentage enorm verlaagd worden. Zij kunnen intern opereren als een menselijke muur wat een extra laag bescherming biedt tegen dreigingen. Tevens is het ook belangrijk dat naast de securitytrainingen de medewerkers continu op de hoogte worden gebracht van de nieuwste dreigingen.
Ontbreken van cybersecurity specialisten
Binnen de publieke sector is er een groeiende vraag naar cyberexperts, maar het tekort aan gekwalificeerd personeel blijft toenemen. Het binnenhalen en behouden van mensen met uitgebreide kennis op het gebied van cybersecurity is een gemeenschappelijke uitdaging voor organisaties. Het ontbreken van een Chief Information Security Officer (CISO) in sommige organisaties leidt vaak tot problemen, waaronder:
- Gebrek aan kennis en expertise: Een CISO fungeert vaak als het aanspreekpunt voor IT-beveiliging en cyberdreigingen. Als deze functie niet ingevuld is, kunnen de verantwoordelijkheden verspreid raken binnen de organisatie, wat tot vertragingen kan leiden bij het nemen van acties met betrekking tot cybersecurity.
- Onvoldoende beveiligingsmaatregelen: De kans is groter dat beveiligingsmaatregelen niet adequaat worden geïmplementeerd of bijgewerkt. Daarnaast kan een CISO de nodige maatregelen identificeren, zoals het opstellen en handhaven van beveiligingsbeleid, het uitvoeren van risicobeoordelingen, het implementeren van beveiligingscontroles en het trainen van medewerkers in beveiligingsbewustzijn. Het ontbreken van deze maatregelen kan de organisatie kwetsbaar laten voor cyberaanvallen en gegevenslekken zowel intern en extern.
- Gebrek aan begrip en bewustzijn: Het ontbreken van securityspecialisten kan leiden tot een gebrek aan begrip en bewustzijn van het belang van IT-security op het hoogste niveau van de organisatie. Dit kan resulteren in onvoldoende prioritering van beveiligingsinitiatieven en onvoldoende investeringen in beveiligingsmaatregelen en preventie.
Tijdens diverse gesprekken met CISO's kreeg ik te horen dat zij veelal te maken hebben gekregen met weerstand rondom budgetten voor IT-security én niet altijd de bevoegdheid hebben of hebben gekregen om beveiligingskwesties aan te pakken.
Dit kan te maken hebben met een gebrek aan autoriteit, een hiërarchische structuur die de besluitvorming bemoeilijkt of weerstand van andere afdelingen binnen de organisatie. Helaas kan dit zorgen voor een hogere werkdruk en de effectiviteit van hun rol belemmeren omdat de verwachting binnen de organisatie is dat beveiligingsproblemen wel opgelost worden.
Verouderde infrastructuur en legacy systemen
Bij verschillende overheidsorganisaties is het een bekend probleem: verouderde infrastructuur en legacy systemen. Vaak wordt gedacht: "Het werkt nog goed, dus waarom zou ik het vervangen?" Upgraden naar een nieuwe versie of het vervangen van systemen brengt vaak hoge kosten met zich mee, migreren is complex, je verliest mogelijk een specifieke functionaliteit die erg belangrijk is en er is een risico op verstoring van de dienstverlening.
Hoewel er redenen (EOL, EOS) kunnen zijn om met verouderde systemen te blijven werken, is het niet verstandig. Dergelijke systemen zijn namelijk erg kwetsbaar voor beveiligingsrisico's. Het ontbreken van patches of beveiligingsupdates maakt deze systemen een gemakkelijk doelwit voor aanvallers. Bovendien missen ze geavanceerde beveiligingsmechanismen die wel beschikbaar zijn in moderne systemen. Zwakkere authenticatieprotocollen, verouderde versleutelingsalgoritmen of beperkte mogelijkheden om beveiligingsincidenten te detecteren en erop te reageren, vergroten de kans op ongeautoriseerde toegang en schadelijke activiteiten. Dit kan organisaties ook vatbaarder maken voor aanvallen.
Het is belangrijk om te beseffen dat cyberdreigingen zich voortdurend ontwikkelen. Als organisatie kun je niet stil blijven staan. Het regelmatig evalueren, patchen en updaten van jouw systemen is essentieel om beveiligingsrisico's te minimaliseren. Indien mogelijk is het verstandig om over te stappen naar meer moderne en beter beveiligde systemen.
Beperkt cybersecurity budget
Beveiligingsmaatregelen en -initiatieven kunnen aanzienlijke kosten met zich meebrengen, zoals de aanschaf van beveiligingstechnologieën, het uitvoeren van penetratietests of het aantrekken van externe expertise.
Het is belangrijk om te blijven lobbyen voor meer middelen op dit gebied. Bewustmaking van het management en bestuur over de risico's en gevolgen van beveiligingsincidenten is essentieel om het belang van cybersecurity te benadrukken.
Een effectieve manier om het belang van cybersecurity te onderstrepen, is door beleidsmakers te wijzen op de kosten en schade die kunnen voortvloeien uit datalekken en cyberaanvallen. Een suggestie is om ze bijvoorbeeld de podcast "Sh*t ik ben gehackt" te laten beluisteren, waarin de CISO van de Gemeente Haarlemmermeer in gesprek gaat met Nomios over een hack die zij hebben meegemaakt.
Door de impact van beveiligingsincidenten duidelijk te maken en te laten zien hoe deze gevolgen kunnen worden beperkt door een adequaat cybersecuritybudget, kunnen beleidsmakers worden overtuigd om meer middelen toe te wijzen aan cybersecurity. Het is belangrijk om het gesprek gaande te houden en het bewustzijn over het belang van een robuuste beveiligingsinfrastructuur te vergroten. Op die manier kunnen organisaties beter gewapend zijn tegen de toenemende dreigingen van cyberaanvallen en gegevenslekken.
Cybersecurity in de publieke sector naar een hoger niveau
De eerder besproken problemen en uitdagingen spelen wellicht niet allemaal bij jouw organisatie, maar de kans is groot dat bepaalde punten jouw aandacht hebben getrokken. Gelukkig zijn er diverse oplossingen beschikbaar voor deze uitdagingen om ervoor te zorgen dat de kroonjuwelen beschermd worden. Hieronder licht ik de meest belangrijke toe.
Een SOC voor toegang tot cyberexperts
Als jouw organisatie niet over de expertise en tooling beschikt om een eigen Security Operations Center (SOC) op te zetten, dan is het overwegen van een extern SOC een verstandige keuze. Een Managed SOC biedt organisaties toegang tot externe cybersecurityexperts die jouw cloudomgeving, apparaten, logs en netwerk voortdurend monitoren op bedreigingen. Deze experts worden onderverdeeld in 3 verschillende niveau's: Tier 1, Tier 2 en 3.
Waar de Tier 1 experts zich voornamelijk bezighouden met het monitoren van alerts, is dat bij Tier 3 anders omdat zij proactief op zoek gaan naar dreigingen en kwetsbaarheden. Deze analisten worden praktisch de heilige graal gevonden, zij zijn immers dé experts op het gebied van complexe dreigingen en kwetsbaarheden. Het is belangrijk om te weten dat niet elke organisatie een tier 3 analist in huis heeft of aanbiedt.
Bij het selecteren van een extern SOC is het cruciaal dat de gekozen partij bekend is met de specifieke risico's waarmee jouw organisatie te maken heeft, alsook met jouw technische omgeving en bedrijfsstructuur. Pas als deze factoren goed in kaart zijn gebracht, kan een SOC effectief alle benodigde activiteiten uitvoeren.
Waar het hedendaags vaak fout gaat zijn de opgenomen afspraken door partijen in het kader van wat kritieke alerts moeten zijn. Veelal zie je dat de meeste alerts NIET kritiek genoeg zijn, maar wel gepusht worden door de opgenomen afspraken waardoor een hoeveelheid alerts waargenomen wordt. Het effect hiervan is dat de echte alerts die ertoe doen, minder goed opvallen en analisten veel tijd kwijt zijn om het koren van het kaf te scheiden.
Zorg voor goede, duidelijke en realistische afspraken zodat een SOC het meest effectief ingezet kan worden.
Managed Detection & Response
Managed Detection & Response (MDR) is een waardevolle dienst die door een extern SOC kan worden geleverd. Door het toepassen van automation creëer je kortere responsetijden. Dit is zeer belangrijk omdat aanvallers óók met automation werken en de aanvallen in zeer korte tijd plaatsvinden. Dit is te realiseren door automatisch in te grijpen via API-koppelingen. Bijvoorbeeld door een account te deactiveren of een firewall poort te sluiten.
Deze aanpak biedt organisaties een beter begrip van hun beveiligingsomgeving en vergroot hun mogelijkheden om bedreigingen op te sporen en er effectief op te reageren. Realtime, 24/7 monitoring is doorgaans een standaard kenmerk van MDR, evenals incident response op potentiële cyberaanvallen. Veel MDR-aanbieders gaan zelfs nog een stap verder door cybersecurity-advies en on-demand, 24-uurs toegang tot een deskundig beveiligingsteam aan te bieden.
De toegevoegde waarde die geboden wordt voor de analisten zit in het automatiseren van routinematige taken. Hierdoor kunnen zij zich focussen op de meer complexe en strategische aspecten van cybersecurity. Door de automatisering van basistaken zoals het scannen van logs en het identificeren van standaarddreigingen, hebben analisten meer tijd om diepgaand onderzoek te doen naar ongebruikelijke patronen en geavanceerde dreigingen. Dit verhoogt niet alleen de efficiëntie, maar ook de effectiviteit van het beveiligingsteam.
Daarnaast helpt MDR bij het opbouwen van een meer proactieve beveiligingshouding. Door voortdurende monitoring en snelle respons kunnen potentiële bedreigingen worden geneutraliseerd voordat ze ernstige schade kunnen aanrichten. Dit vermindert niet alleen de kans op datalekken en cyberaanvallen, maar verbetert ook de algehele cyberveerkracht van de organisatie.
Neem contact op met onze security experts
Ons team is beschikbaar voor een gesprek of videovergadering. Neem contact op om jouw beveiligingsuitdagingen te bespreken, aanbieders te vergelijken of om van gedachten te wisselen over jouw komende IT-projecten. Wij zijn er om jou te helpen.
SOC visibility triad
De SOC visibility triad (zichtbaarheidstriade) is een krachtige aanpak die SOC-analisten helpt om de benodigde zichtbaarheid te verkrijgen in steeds complexere IT-omgevingen. Het maakt gebruik van drie essentiële oplossingen: SIEM (Security Information and Event Management), EDR (Endpoint Detection and Response) en NDR (Network Detection and Response). Door deze drie oplossingen gecombineerd te gebruiken, versterken ze elkaar en zorgen ze voor een uitgebreide beveiligingsdekking (circa 95-99%). Analisten maken gebruik van het Mitre ATT&CK framework als referentiekader maar staren zich hier niet blind op. Dit framework biedt een gestructureerde en uitgebreide kennisbasis van verschillende aanvalstechnieken die door aanvallers worden gebruikt.
De laatste overgebleven percentages dichten kost gigantisch veel tijd en effort. Een efficiënte manier om dit aan te pakken is om met een consultant een risico gebaseerde aanpak op te stellen waarbij de kritische bedrijfsprocessen worden geïdentificeerd. De servers/assets die zich in het kritieke pad bevinden labelen als kroonjuwelen en dit onboarden op het SIEM.
De consultant en de applicatiebeheerder bepalen samen de diverse dreiging scenario's wat omgezet moet worden in detectie use cases op het SIEM platform. Op deze manier worden blinde vlekken geminimaliseerd, terwijl het vermogen om dreigingen snel te detecteren, te onderzoeken en erop te reageren wordt gemaximaliseerd.
Threat Intelligence
Naast het hebben van een sterke Managed SOC en MDR-diensten, is het integreren van Threat Intelligence een goede toevoeging om de verdediging van jouw organisatie naar een hoger niveau te tillen. Het is hiermee mogelijk om data te verzamelen, analyseren en interpreteren zodat een beter beeld verkregen wordt van de tactieken, het doel en het gedrag van een aanvaller.
Met de verkregen inzichtelijke data kun je proactief reageren op potentiële dreigingen en preventieve maatregelen nemen zodat het een stuk lastiger wordt om aangevallen te worden.
Certificeringen
Het is belangrijk dat de organisatie waarmee je gaat samenwerken om de cybersecurity te professionaliseren voldoet aan (inter)nationale normen en best practices op het gebied van cybersecurity. Dit waarborgt dat deze partij een gedegen en gestructureerde aanpak hanteert om de vertrouwelijkheid, integriteit en beschikbaarheid van hun gegevens en systemen te garanderen. Het geeft je het vertrouwen dat jouw partner voldoet aan strenge eisen en beveiligingsmaatregelen, waardoor de risico's van datalekken, cyberaanvallen en operationele storingen worden verminderd.
Daarnaast laat dit ook zien dat zij zelf cybersecurity hoog in het vaandel hebben staan. Wat dat betreft is ''practice what you preach'' een mooie leidraad en startpunt voor een eventuele samenwerking. Maak duidelijke afspraken, beoordeel de beveiligingsmaatregelen, controleer de tools en zorg dat zij in het bezit zijn van de belangrijkste certificeringen. Belangrijke ISO certificeringen waar je aan kan denken zijn:
- ISO 27001: dit is de internationale standaard voor informatiebeveiliging. Het biedt richtlijnen voor het opzetten, implementeren, onderhouden en continu verbeteren van een Information Security Management System (ISMS).
- ISO 9001: dit is een internationale norm voor kwaliteitsmanagement. Hoewel deze certificering niet specifiek gericht is op cybersecurity, kan het toch een indirecte rol spelen bij het versterken van de cybersecurity in een organisatie. Organisaties die ISO 9001 gecertificeerd zijn, houden zich namelijk bezig met risicomanagement, continue verbetering van processen en bewustwording en betrokkenheid van medewerkers.
- ISO 22301: Bedrijfscontinuïteit is van het grootste belang, vooral in de wereld van cybersecurity. Het ISO 22301-certificaat geeft aan dat een organisatie goed voorbereid is op noodsituaties en verstoringen. Ze kunnen snel herstellen, zelfs in onverwachte omstandigheden, wat de veerkracht van jouw bedrijf vergroot en de impact van incidenten minimaliseert.
- ISO 14001: Voor een duurzamere toekomst ISO 14001 is een norm voor milieumanagement. Het benadrukt het belang van milieuvriendelijke praktijken en het minimaliseren van onze ecologische voetafdruk. Door samen te werken met een organisatie die ISO 14001 gecertificeerd is, draag je bij aan een duurzamere toekomst en laat je zien dat milieubewustzijn een prioriteit is. Dit heeft ook niet direct een invloed op cybersecurity, maar wil wel mooi meegenomen.
- SOC2: Betrouwbare beveiligingspraktijken SOC2 (Service Organization Control 2) is een certificering die de beveiligingspraktijken en -controles van dienstverlenende organisaties beoordeelt. Het bevestigt dat de partner voldoet aan strikte normen voor gegevensbeveiliging, vertrouwelijkheid en privacy. Hierdoor kun je erop vertrouwen dat jouw gegevens in veilige handen zijn.
100% bescherming is onhaalbaar
De realiteit is dat het onmogelijk is om je voor 100% te beschermen tegen cyberaanvallen, welke vorm ze ook aannemen. Zelfs de meest deskundige cybersecurity-experts erkennen dit. De vraag is niet of je aangevallen gaat worden, maar wanneer. De complexiteit van IT-omgevingen, de menselijke factor, beperkte middelen en voortdurend veranderende omgevingen dragen allemaal bij aan dit uitdagende landschap.
Echter, betekent dit niet dat jouw organisatie geen inspanningen moet leveren om de beveiliging te verbeteren. Integendeel, het is van cruciaal belang om proactieve maatregelen te nemen. Denk hierbij aan het implementeren van beveiligingsprotocollen, het bevorderen van bewustwordingstrainingen voor medewerkers en het regelmatig evalueren en bijwerken van je beveiligingsmaatregelen. Door een gelaagde beveiligingsaanpak te hanteren en risicobeheerpraktijken toe te passen, kun je de impact van cyberaanvallen aanzienlijk verminderen en snel reageren op incidenten. Zo ben je beter voorbereid om de toenemende uitdagingen van het cyberlandschap het hoofd te bieden.
Een volgende stap in cybersecurity
Het is van cruciaal belang dat organisaties in de publieke sector zich bewust worden van de risico's en de mogelijke gevolgen van beveiligingsincidenten. Hoewel 100% bescherming tegen cyberaanvallen misschien onhaalbaar is, betekent dit niet dat er geen inspanningen moeten worden geleverd om de beveiliging te verbeteren.
Mijn advies is om elkaar zoveel mogelijk op te zoeken, met elkaar in gesprek te gaan en samen te werken, want jullie hebben dezelfde uitdagingen. Blijf als overheidsorganisatie ook inzetten op het aannemen van talenten en specialisten, waar nu een tekort van zijn. Als laatst wil ik benadrukken dat eerst de volledige bedrijfsvoering op orde moet zijn voordat overgegaan wordt tot automatiseren.
Onze organisatie is gespecialiseerd in het adviseren en ondersteunen van overheidsorganisaties op het gebied van het verbeteren van de beveiliging. Denk dan aan:
- 24/7 volledige security monitoring;
- Ondersteuning bij detectie, incident & response;
- Assessments;
- Beheren van end to end securityoplossingen zoals EDR, NDR, SIEM.
Samenwerking is wat ons betreft de sleutel tot succes.
Wil je meer weten over dit onderwerp?
Onze experts en salesteams staan voor je klaar. Laat je contactgegevens achter en we nemen spoedig contact met je op.
Gerelateerde updates
Mist AI
Verouderde netwerken vormen bedreiging voor het Nederlandse bedrijfsleven
Het Nederlandse bedrijfsleven is kwetsbaar voor storingen en cyberaanvallen door verouderde en complexe netwerken. Recente incidenten onderstrepen de urgentie van het moderniseren van IT-infrastructuur.
SOC
Waarom een SOC uitbesteden zinvol is
Uitbesteding aan een SOC biedt gespecialiseerde expertise op het gebied van cybersecurity, continue bewaking en kosteneffectief risicobeheer.
NIS2
NIS2 vraagt van industriële bedrijven grote inspanningen om hun OT-omgevingen te beveiligen: Waar te beginnen?
Duizenden industriële bedrijven krijgen te maken met de implementatie van NIS2, waarbij de uitdagingen per bedrijf sterk verschillen. Wij presenteren je 12 stappen om naleving te bereiken.
Arnaud Masson