NIS2 is vooral een unieke kans om cyberweerbaarheid van overheden te verhogen
Veel organisaties staan open voor aanbevelingen rond cyberveiligheid. Dat merken we ook bij overheden. En dat is goed nieuws. Uit recent onderzoek blijkt echter dat die aanbevelingen te weinig leiden tot concrete acties, laat staan dat er sprake is van een toename van de budgetten voor cybersecurity. Hoewel we zien dat veel overheden bekend zijn met de NIS2-richtlijnen, is er van een concrete toepassing ervan vaak nog nauwelijks sprake.
Op IT-afdelingen is men er inmiddels wel aan gewend: zaken als GDPR of YZK (herinnert u zich dat nog?) zorgen eerst voor een lichte paniek, maar blijken uiteindelijk best mee te vallen. ‘De wereld is niet vergaan op 1 januari 2000, dus zal het bij NIS2 ook wel loslopen – toch?’ is nu ook de redenering rond NIS2. De wereld zal inderdaad als gevolg van NIS2 niet meteen tot stilstand komen. Maar een cyberaanval kan dat bij overheidsorganisaties wél doen! Een security-incident kan uw organisatie namelijk aardig in de problemen brengen. Want daar gaat het immers om: NIS2 gaat vooral over wat we cyberweerbaarheid zijn gaan noemen. Of noem het desnoods gewoon: IT-security. En dat blijft een topprioriteit, los van NIS2. Want ransomware, phishing of diefstal van persoonlijke data kunnen iedere organisatie zwaar in de problemen brengen. Denk maar aan de recente hack bij de politie of de phishing-mails die uit nepaccounts van de gemeente Den Haag gestuurd werden.
NIS2 is een prachtige kans
Natuurlijk is NIS2 voor veel organisaties momenteel een verplichte oefening. En uiteraard kunnen ze boetes krijgen indien ze niet compliant zijn. Dus gaat men heus wel met NIS2 aan de slag. We zullen wel moeten, want het is verplicht. Het gevaar van regelgeving is echter dat bedrijven deze simpelweg zien als een ‘checkbox item’: we doen wat we kennelijk verplicht zijn te doen en gaan daarna over tot de orde van de dag.
Maar zo werkt het natuurlijk niet.
Het doel van NIS2 is niet dat we moeten voldoen aan wat nieuwe eisen die een handvol bureaucraten in Brussel hebben bedacht. Slimme organisaties zien NIS2 eerst en vooral als een kans om eindelijk eens de boel op orde te brengen en de cyberhygiëne van de organisatie verder te verbeteren. En voor wie heel pragmatisch is: iedere CISO of security-specialist kan natuurlijk de vele berichten over de nieuwe regels prima aangrijpen om eindelijk een hoger budget voor cybersecurity los te weken.
Automatisering is cruciaal
Maar hoe pak je het verbeteren van de cyberhygiëne dan precies aan? De laatste tijd hebben we bij Tanium veel contact met onze Nederlandse ServiceNow-partner Plat4Mation. Met ServiceNow werken we als Tanium al langer samen. Dat ServiceNow nu ook strategisch heeft geïnvesteerd in Plat4Mation maakt de samenwerking alleen maar meer logisch. Een goede afweer tegen cyberbedreigingen kan je alleen uitbouwen met een holistische aanpak, waarbij je rekening houdt met zowel processen, technologie, mensen als data. Dat zijn precies ook vier aspecten die perfect aangepakt worden door de combinatie van Tanium, Plat4Mation en ServiceNow.
Net als Plat4Mation merken wij dat veel overheden te weinig zicht hebben op hun IT-omgeving. Dat is een groot probleem, want het doel van iedere goede cybersecurity-strategie is immers dat je de organisatie moet beschermen. Dan moet je natuurlijk wel weten wat je nu precies moet beschermen. Maar hoeveel overheden beschikken over een CMDB die 100% accuraat is en exact weergeeft wat er in de organisatie omgaat? Niet zo vreselijk veel, vrees ik. Zeker met de huidige explosie aan endpoints kan een CMDB bijna per definitie niet up-to-date zijn, tenzij je gebruik kan maken van real-time data, die zorgt voor automatische updates.
Bij veel organisaties is het vastleggen van informatie over het IT-landschap in de loop van de jaren erg versnipperd geraakt. IT Operations heeft een deel van de informatie, de security-afdeling beschikt over een ander deel van de data, HR legt allerlei gegevens vast, noem maar op. Zolang die niet samenkomen in één enkel dashboard, heeft de CISO helaas nauwelijks zicht op alle apparaten die in de organisatie gebruikt worden. Bovendien wordt veel van de genoemde data handmatig bijgehouden, in een spreadsheet of een Word-document. Op die manier is het onvermijdelijk dat de informatie compleet verouderd is.
Dat levert gevaarlijke situaties op. Je hebt namelijk geen ‘single source of truth’. De kwaliteit van de data is moeilijk in te schatten en de impact op de organisatie van een mogelijke cyberaanval is volstrekt onduidelijk, zelfs op het moment dat de aanval daadwerkelijk plaatsvindt. Laat staan dat je zonder kleerscheuren een audit doorkomt. Het zal duidelijk zijn dat de automatische verwerking van real-time data cruciaal is voor een goede security-aanpak.
Bewustwording
Eerder had ik het al over de holistische aanpak, waarin ook mensen een belangrijk element vormen. En we weten allemaal dat mensen meestal de zwakste plek zijn in cyberbeveiliging – ook bij de overheid. Vaak komen bedreigingen binnen door phishing, doordat een medewerker op malafide links klikt of tegen beter weten in, een onbekend exe-bestand installeert.
Tegelijkertijd vormen diezelfde medewerkers ook weer de eerste verdedigingslinie tegen cyberaanvallen. Indien iedereen alert is en als een team samenwerkt, kunnen veel problemen voorkomen worden. Als er een verdachte mail binnenkomt, is het de taak van de ontvanger om dat meteen te melden, zodat snel organisatiebreed een waarschuwing kan worden uitgestuurd. Naast het gebruiken van slimme tools, is het bewust maken van alle medewerkers een belangrijke taak van de security-afdeling. Niet alleen om problemen te voorkomen, maar ook om snel te kunnen ingrijpen wanneer het mis gaat. Is er een datalek, dan moet dat meteen bekend gemaakt worden. Intern, maar ook naar de autoriteiten toe.
Onlangs stelde ENISA, het Europees agentschap voor cybersecurity, vast dat de NIS-richtlijnen wel degelijk een positieve impact hebben op de IT-beveiliging van Europese organisaties. In die zin dragen NIS en NIS2 dus absoluut bij aan een verhoogde cyberwaakzaamheid. Maar dan mag je je er niet zomaar makkelijk van af maken – grijp NIS2 daarom aan als een kans om de hele cyberweerbaarheid van de organisatie aan te pakken en verder te verbeteren.