In januari van dit jaar werd de Technische Universiteit Eindhoven (TU/e) getroffen door een cyberaanval, waardoor systemen offline gingen en het onderwijs werd verstoord. Dit incident onderstreept dat cyberdreigingen niet alleen IT-systemen raken, maar ook de kernactiviteiten van organisaties kunnen ontwrichten. Dit soort ontwikkelingen benadrukt dat cybersecurity geen losstaand IT-thema is, maar een essentiële factor voor het waarborgen van de bedrijfscontinuïteit. De vraag die nu voorligt is, hoe je vanuit het perspectief van bedrijfscontinuïteit in kaart brengt wat je moet beschermen, en tegen wie.
Effectieve cybersecurity begint niet met tools, maar met inzicht. Meer specifiek: inzicht in je eigen bedrijfsvoering. Welke processen zijn essentieel voor je dagelijkse operatie, omzet, klantbelofte of reputatie? Voor een ziekenhuis zijn dat patiëntgegevens en zorgsystemen; voor een webshop het logistieke proces en betaalplatform; en voor een productiebedrijf de OT-systemen die machines aansturen. Stel jezelf per proces de vraag: wat gebeurt er als dit stilvalt, wat is de impact en wanneer wordt die impact onacceptabel? Impact is een breed begrip. Het gaat hierbij om zowel impact als financiële schade en de kans op claims, als ook om fysieke gevolgen; bijvoorbeeld vrachtwagens die niet meer kunnen lossen.
Wat wil je beschermen?
Maak vervolgens inzichtelijk welke systemen, data en medewerkers onmisbaar zijn voor deze processen. Laat IT, security en business hierbij samenwerken, zodat een volledig beeld ontstaat.
Denk aan:
- Klantdata en persoonsgegevens.
- Inloggegevens en authenticatiesystemen (de digitale sleutels tot je systemen).
- Intellectueel eigendom zoals broncode, ontwerpen of onderzoeksgegevens.
- Operationele systemen (OT) die fysieke processen aansturen.
- API’s of SaaS-platformen waar jouw dienstverlening van afhankelijk is.
- Fysieke systemen die van belang zijn voor de continuïteit van jouw processen.
In deze blog gaan we alleen in op de digitale middelen. Minstens zo belangrijk is de rol die medewerkers spelen. Wat je precies moet beschermen, verschilt dus per organisatie. Zorg daarom dat je weet welke assets essentieel zijn voor de continuïteit. Een Business Impact Assessment (BIA) helpt hierbij: je beoordeelt de impact van uitval of verlies van een asset op verschillende niveaus (financieel, juridisch, operationeel en strategisch). Zo werk je toe naar een duidelijke prioritering van je beveiligingsinspanningen.
Tegen wie bescherm je dit?
Zodra je weet wat belangrijk is, moet je weten tegen wie je dat beschermt. Wanneer het gaat om statelijke actoren, die vaak een politiek of economisch motief hebben, zoals sabotage of spionage, dan vraagt dat om een nog hoger niveau van beveiliging dan wanneer je met cybercriminelen, activisten of opportunisten te maken hebt. In meer detail kennen we de volgende typen:
- Statelijke actoren, met politieke of economische motieven zoals sabotage of spionage.
- Cybercriminelen, vaak uit op financieel gewin via ransomware of diefstal van waardevolle data.
- Activisten, die vanuit een ideologie handelen en als doel sabotage of ontwrichting hebben.
- Opportunisten, die zonder specifiek doel of intentie te werk gaan.
Wat we in deze blog niet inhoudelijk gaan behandelen zijn incidenten die bewust worden veroorzaakt door insiders, medewerkers of ex-medewerkers. De reden daarvoor is dat je hier specifiekere maatregelen kan treffen ten opzichte van de eerdere typen. Daarnaast kan een incident ook veroorzaakt worden door een ongelukkige samenloop van omstandigheden, denk bijvoorbeeld aan een medewerker die struikelt en in de val een kabel lostrekt.
Wanneer je kijkt naar de verschillende types cyberaanvallers en hun motieven, zie je verschillende soorten dreigingen, van financieel gewin tot politieke motieven. Niet elke dreiging komt dus uit dezelfde hoek en niet elke dreiging vraagt om dezelfde reactie. Een ransomware-aanval door een crimineel heeft een meer acuut karakter dan spionage. Door je dreigingsprofiel te bepalen, kun je gerichte maatregelen nemen.
Van inzicht naar actie
Er zijn een aantal basismaatregelen die altijd en voor elke organisatie gelden, denk aan:
- Multi-factor authenticatie (MFA), om toegangsbeheer te verbeteren.
- Segmentatie van je netwerk, om eventueel schadelijke elementen in te dammen.
- Back-ups en herstelprocedures.
- Bewustwordingsprogramma’s voor medewerkers, zodat zij bijvoorbeeld phishing eerder herkennen.
- Monitoring en detectie via een SOC of MDR-dienst, zodat vreemd netwerkverkeer kan worden gedetecteerd en hier actie op kan worden ondernomen.
Vervolgens is het belangrijk om je weerbaarheid nog verder te vergroten. Een mogelijke start is threat modelling, het in kaart brengen van je kritieke assets en dreigingen. Gebruik hiervoor bijvoorbeeld de BIO, ISO 27001, NIST of CIS-controls om passende maatregelen te koppelen aan de geïdentificeerde risico’s.
Hou voor ogen dat je niet begint met alles tegelijk. Start klein, begin met wat het meest bedrijfskritisch is en leg daar de focus op. Breid vervolgens stapsgewijs uit. Herzie je aanpak jaarlijks of bij ingrijpende wijzigingen zoals een overname, nieuwe wetgeving of veranderingen in de infrastructuur.
Weten wat telt, maakt je weerbaar
Cybersecurity bewijst zijn waarde als het aansluit op wat je als organisatie beschouwt als bedrijfskritisch en dus wil beschermen. Door te starten vanuit de bedrijfscontinuïteit maak je betere keuzes, die niet alleen logisch zijn voor IT, maar ook begrijpelijk voor de directie en de werkvloer. Je kunt niet alles beschermen en zeker niet alles tegelijk. Maar je kunt wél beginnen met wat het verschil maakt tussen stilstaan en doorgaan.
