Inzichten uit de VS: hoe Nederlandse overheidsinstanties voortaan cyberdreigingen aanpakken
Inzicht in cyberweerbaarheid wordt steeds belangrijker voor overheidsorganisaties, aangezien ook zij geconfronteerd worden met de toenemende complexiteit van bedreigingen in het digitale landschap. Hun verantwoordelijkheid strekt zich uit over het beveiligen van uiteenlopende aspecten zoals clouddiensten, kritieke infrastructuur en toeleveringsketens.
Om deze uitdagingen beter te begrijpen en aan te pakken, organiseerde CISO-Rijk dit voorjaar een werkbezoek aan de Verenigde Staten. Tijdens bezoeken aan overheidsinstanties en technologiebedrijven werden waardevolle lessen geleerd, bestaande relaties aangehaald en best practices gedeeld. Deze inzichten zullen helpen de digitale weerbaarheid binnen de Nederlandse overheid verder te versterken.
Net als vorig jaar werden tal van overheidsorganisaties bezocht. Denk aan het California Cybersecurity Integration Center, afdelingen van het Department of Defense en lokale besturen. Daarnaast werden de banden aangehaald met gebruikersgroepen en met instellingen als het National Institute for Technology. Verder stonden ontmoetingen op de agenda met diverse leveranciers, zoals Microsoft en Tanium. Tanium ondersteunde dit werkbezoek inhoudelijk door gesprekken met overheden op te zetten rondom haar best practises.
Het opdoen van nieuwe ideeën en het uitwisselen van ervaringen was uiteraard één van de hoofddoelen van het werkbezoek, net als het versterken van de interdepartementale en interbestuurlijke samenwerking tussen de deelnemers. Voor iedere overheidsorganisatie, ongeacht het niveau, is het verhogen van de digitale weerbaarheid een prioriteit, zoals ook bepaald in de i-Strategie door het CIO-Beraad van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties.
Nieuwe bedreigingen en nieuwe verplichtingen
Net als iedere andere organisatie stellen ook de diverse overheidsdiensten vast dat het aantal bedreigingen toeneemt en het aanvalsoppervlak almaar breder wordt. Daarom bekeken de CISO’s en CIO’s tijdens het recente werkbezoek de beveiliging van cloud-diensten, afhankelijkeden van connectiviteit binnen de kritieke infrastructuur (bijvoorbeeld via OT en IoT) en de risico’s die in de supply chain schuilen. Dat alles uiteraard ook binnen het kader van nieuwe (inter)nationale regelgeving zoals CRA en NIS2, die een breder aantal overheidsorganisaties verplicht hun kritische ketenafhankelijkheden te bepalen voor de continuïteit van de bedrijfsprocessen.
Recent onderzocht de Algemene Rekenkamer dat er binnen de Nederlandse Rijksoverheid veel verschillende cloud-omgevingen worden gebruikt. Het gaat dan om interne en externe cloud-leveranciers, maar evengoed om softwareleveranciers die hun software ‘as a service’ aanbieden. Het spreekt voor zich dat de verantwoordelijken voor deze omgevingen zich bewust moeten zijn van de gevaren die de cloud kan opleveren voor gevoelige privé- en overheidsgegevens. Tijdens het werkbezoek wezen diverse leveranciers van threat intelligence erop dat in de cloud vergelijkbare fouten gemaakt worden als on-premise. Ook bleek bij het werkbezoek dat aloude situaties als het niet corrigeren van fouten, onvoldoende logging en back-ups trage responstijden bij incidenten en het ontbreken van multi-factor authenticatie (MFA) ook in cloud-omgevingen worden gemaakt. Voor een adequate bescherming van data in de cloud is het dus net zo essentieel om te weten welke softwareversies waar draaien. Vandaar het belang van bijvoorbeeld een Software Bill of Materials (SBoM) en een Configuration Management Database (CMDB), evenals het automatisch patchen als onderdeel van asset management. Met uiteraard als basisvereiste een goede inventarisatie van alle assets zoals endpoints.
Aandacht voor OT en IoT
Operationele Technologie (OT) wordt een steeds belangrijker doelwit van cyberaanvallen. De meeste aanvallen op OT komen binnen via het klassieke IT-gedeelte van OT, zoals servers en besturingssystemen. Dat vraagt om het implementeren van geïntegreerde beveiligingsmaatregelen die zowel IT, OT als IoT kunnen identificeren en beschermen. Apparaten zijn niet ontworpen met beveiliging in gedachte, maar vergroten wel een aanvalsoppervlak waar cybercriminelen misbruik van kunnen maken. OT en IoT moet dus eveneens meegenomen worden in een holistische aanpak van de beveiliging.
Secure-by-design
Een bijzonder positieve ontwikkeling is de belofte die een 70-tal technologiebedrijven maakten aan het US Cybersecurity and Infrastructure Security Agency (CISA) om beveiliging in hun producten in te bouwen vanaf de vroegste stadia van het ontwerpproces. Het gaat dan onder meer om het weren van standaardwachtwoorden en het verhogen van het gebruik van MFA. De deelnemers aan het werkbezoek stelden zich wel vragen bij de afdwingbaarheid van deze Secure by Design-belofte.
De uitwisselingen tijdens het bezoek toonden aan dat geïntegreerde en proactieve benaderingen essentieel zijn voor het effectief beveiligen van moderne, gedistribueerde IT-omgevingen. Ook het benadrukken van zero trust-principes, het belang van goed getrainde teams (zie ook een eerdere blog over de menselijke aspecten van cybersecurity) en geavanceerde technologieën bleek cruciaal. Op basis van deze bevindingen kunnen de deelnemers deze inzichten nu toepassen binnen hun eigen organisaties om de digitale weerbaarheid te vergroten. Het verder uitwisselen van ervaringen tussen de verschillende beleidsniveaus kan deze weerbaarheid alleen maar verder versterken.