Cyberaanval

Verplicht melden cyber aanvallen: is uw organisatie daar op ingericht?

In oktober 2016 heeft de Tweede Kamer een wet aangenomen die organisaties binnen vitale sectoren en Rijksoverheid verplicht tot het melden van ernstige digitale veiligheidsincidenten, of cyberaanvallen bij het Nationaal Cyber Security Centrum (NCSC). Voor Ralph van Houdt, project en verander manager bij MareVisie, en Jan Kaper, ICT architect bij MareVisie, komt dit niet als verrassing.

Cyber security is niet alleen techniek

Bij cyber security denken veel mensen alleen aan de techniek, zoals firewalls, encryptie en virusscanners. En als het mee zit wordt ook al gedacht aan de ‘human factor’, maar dan vooral aan de direct zichtbare kant zoals het geheimhouden van wachtwoorden of het verliezen van USB sticks.”, aldus Jan Kaper. “Maar als je het goed wil doen, dan moet je cyber security echt inbedden in de organisatie. Daar horen ook processen bij om te monitoren en verdachte zaken te signaleren, zodat je adequaat in kan spelen om potentiële bedreigingen.

Cyber security inbedden in uw organisatie

Het inbedden van cyber security is voor veel organisaties lastig. Ralph van Houdt daarover: “Procedures worden vaak gezien als bureaucratisch en als men de noodzaak niet ziet, wordt het gezien als verloren tijd en zonde van het geld. Om zo’n verandering echt door te voeren moet de noodzaak helder zijn, maar dat is lastig als het gevaar van een cyberaanval niet direct zichtbaar is voor mensen. Die verandering in denken en doen vraagt tijd en aandacht en kun je niet afdwingen met het rondsturen van memo.

Jan Kaper vergelijkt dit met de situatie thuis. “Veel mensen weten dat een goede virusscanner op de PC noodzakelijk is en bij aanschaf wordt die voor geïnstalleerd meegeleverd. Als de licentie verloopt, duurt het vaak wel even voor er weer een nieuwe virusscanner geïnstalleerd wordt. Men heeft er even geen tijd voor en verwacht niet op dubieuze sites te komen, heeft nog geen virus gehad, en denkt dat het wel mee zal vallen.

Melden van incidenten is een goede zaak

Juist omdat mensen er nog niet mee te maken gehad hebben, zien ze de echte noodzaak niet terwijl ze wel het belang onderkennen. Men realiseert zich echter niet dat de virusscanner die men had misschien wel heel veel heeft voorkomen. Bovendien wordt door de makers van de virusscanners wereldwijd gekeken naar virussen en dat gaat veel breder dan die enkele PC.”, aldus Ralph van Houdt.

Jan Kaper trekt dit door naar organisaties: “Cyber security is een ‘rat race’ waar je de tegenstander telkens een stapje voor moet blijven. Tegenstanders zullen op zoek gaan naar de zwakste schakel en afhankelijk van hun doel, kunnen ze verschillende organisaties als doelwit hebben. Door cyber security incidenten te melden bij het NCSC, kan sneller van elkaars ervaringen geleerd worden en kun je een blok vormen tegen de kwaadwillende partijen. Dat vraagt wel van die organisaties dat ze potentiële dreigingen weten te herkennen en registreren, zodat ze ook daadwerkelijk gemeld kunnen worden.

MareVisie helpt op gebied van cyber security

MareVisie helpt haar klanten bij het inbedden van cyber security in de organisatie, door de combinatie van kennis en kunde op het gebied van project management, ICT proces management, verander management en ICT architectuur. “Recent hebben we een van onze klanten nog ondersteund met het neerzetten van een cyber security framework, dat naast techniek ook awareness en interne procedures omvatte.”, aldus Ralph van Houdt.