partnermenu

zoeken binnen de website

Partnerpagina KPN

KPN logo

Security ratings bieden inzicht in digitale weerbaarheid

door: Remco Geerts

artikelen | 23 april 2020

De Baseline Informatiebeveiliging Overheid (BIO) en het GGI-Veilig programma van de VNG stellen gemeenten in staat om structureel met informatiebeveiliging aan de slag te gaan. Maar heeft u voldoende inzicht in waar uw gemeente zou willen of moeten staan? En heeft u een plan hoe GGI-Veilig kan helpen om de doelstellingen van de gemeente te realiseren?

security ratings KPN

Beeld: Dreamstime

Mede door recente incidenten is er op directie- en bestuursniveau meer bewustzijn ontstaan en worden er andere vragen gesteld aan de Security Officer. Welk risico loopt uw organisatie? Hoeveel risico wilt u nemen en tegen welke kosten? Wordt uw budget effectief besteed en neemt u de juiste maatregelen? Wat is het effect van de maatregelen die u al heeft genomen en hoe goed doet u het ten opzichte van vergelijkbare gemeenten? Allemaal vragen en uitdagingen waar niet eenvoudig antwoord op te geven is; antwoorden waar veel gemeenten behoefte aan hebben.

Rectificatie: onjuiste URL

In het partnerartikel van KPN in iBestuur magazine #34 staat een onjuiste URL. Om van KPN Security kosteloos inzicht te verkrijgen in de security rating van uw organisatie, klik hier.

Lees hier (PDF, 222 kB) een aangepaste versie van het KPN-verhaal in magazine #34.

De afdeling Advisory van KPN Security helpt de risico’s in kaart brengen, stap voor stap de digitale weerbaarheid te vergroten en securitybeleid te ontwikkelen van reactief naar risicogebaseerd. Transparant naar gemeenteraad en inwoners en in balans met de budgettaire mogelijkheden en de plannen voor digitalisering.

De ‘GGI-Veilig Security Roadmap’ helpt bij het beantwoorden van vragen als:

  • Wat is gegeven mijn organisatorische doelstellingen mijn ambitie voor cybersecurity?
  • Wat verwachten de ketenpartners en toezichthouders van mij?
  • Wat is de huidige status van mijn cybersecurity-inrichting in mijn organisatie?
  • In hoeverre sluiten de getroffen maatregelen aan met de BIO?
  • Welke acties moet ik ondernemen, en op welke termijn, om naar een hoger volwassenheidniveau te komen en aantoonbaar in control te zijn?
  • Wat is de impact van deze acties op mijn budget, planning, resources en doelstellingen?

Het GGI Veilig programma moet ervoor zorgen dat gemeenten digitaal weerbaarder worden. Door de juiste controls en processen in te richten zal de volwassenheid verder toenemen, neemt de kans op incidenten af en bent u beter voorbereid om dreigingen te weerstaan.

Security ratings

Maar hoe meten en bepalen we objectief of de gemeenten daadwerkelijk veiliger worden en groeien in volwassenheid? Die vraag vond KPN zo interessant, dat wij een initiatief zijn gestart waarbij we op basis van verifieerbare big data analyse continu gaan meten en analyseren wat de ontwikkelingen zijn. Dit initiatief geeft antwoord op vragen als:

  • Wat is het gemiddelde beveiligingsniveau van gemeenten?
  • Neemt het aantal kwetsbaarheden dat van buitenaf zichtbaar is af?
  • Zien we het aantal malware infecties afnemen?
  • Welke trends zien we per gemeente, hoe verhouden de grote, middelgrote en kleine gemeenten zich tot elkaar en zien we opmerkelijke verschillen per provincie?
  • Wat is het resultaat van de verbeterinitiatieven die gemeenten starten?

KPN maakt dit inzichtelijk met zogenaamde security ratings. Vergelijkbaar met de financiële ratings waarmee de kredietwaardigheid van organisaties wordt geverifieerd. De publiek beschikbare data die hiervoor gebruikt worden zijn gebaseerd op de sporen die iedere organisatie op het internet achterlaat. Dagelijks worden meer dan 70 miljard security events uit 120 bronnen geanalyseerd en gekoppeld aan de publieke IP-adressen van 200.000 organisaties wereldwijd, waaronder de Nederlandse gemeenten. De security rating die door middel van een algoritme berekend wordt, geeft een dagelijks actuele indicatie van de performance van uw security controls en -processen.

Advanced, Intermediate, Basic

Onderzoek heeft aangetoond dat organisaties met een ‘basic’ rating, statistisch gezien 4 tot 5 keer meer kans hebben op een datalek, dan organisaties met een ‘advanced’ rating. De rating van een organisatie wordt gegenereerd op basis van drie soorten gegevens (risico vectoren):

Infecties zijn aantoonbaar succesvolle cyberaanvallen. Voorbeelden zijn de aanwezigheid van botnets, spam en malware. Hoewel een infectie niet gepaard hoeft te gaan met gegevensverlies, is het altijd een indicatie dat uw organisatie is gecompromitteerd.

• De mate van hygiëne is een indicatie voor de zorgvuldigheid waarmee een onderneming stappen heeft ondernomen om een cyberaanval te voorkomen. De risicovectoren geven inzicht in een aantal belangrijke veiligheidsconfiguraties die inzicht geven in hoe effectief een onderneming deze heeft geïmplementeerd. Zo kan een goede configuratie van DNS-instellingen bijdragen aan het voorkomen van e-mailgerelateerde aanvallen als spoofing. Kwetsbaarheden die langere tijd worden waargenomen, of vaak voorkomen, geven een indicatie dat het patchmanagementproces onvoldoende geborgd is.

Gebruikersgedrag kijkt naar ‘file sharing’ activiteiten van media en software via peer-to-peer kanalen door uw medewerkers. Zodra gebruikers op deze manier bestanden downloaden, loopt de organisatie verhoogd risico doordat zulke bestanden vaak besmet zijn met ongewenste software en/of malware.

Plaatje 1 security ratings KPN

Om een beeld te geven waar de Nederlandse gemeenten nu staan, heeft KPN een analyse gedaan van 203 gemeenten en shared service centers, die samen vrijwel alle gemeenten vertegenwoordigen. De gemiddelde rating bedraagt 750, waarbij op dit moment 16 gemeenten een rating hebben op niveau basic.

Plaatje 2 security ratings KPN

Het verloop van de ratings over het afgelopen jaar is vrij stabiel. We zien een geleidelijke stijging van het aantal gemeenten die van een intermediate naar een advanced rating zijn gegroeid. Het aantal gemeenten met een basic rating blijft over het jaar ongeveer gelijk.

Vergeleken met alle organisaties binnen de Nederlandse overheid zien we dat de gemiddelde rating van de gemeenten in lijn is met de nationale rating voor de publieke sector en iets hoger is dan de gemiddelde rating voor de gezondheidszorg.

Remco Geerts is manager Advisory bij KPN Security

tags:

Reactieformulier

De met een * gemarkeerde velden zijn verplicht. U ziet eerst een voorbeeld en daarna kunt u uw bijdrage definitief plaatsen. Uw e-mailadres wordt niet op de site getoond. Reacties zonder achternaam worden verwijderd. Anoniem reageren alleen in uitzonderlijke gevallen in overleg met de redactie. U kunt bij de vormgeving van uw reactie gebruik maken van textile en er is beperkt gebruik van html mogelijk.