Eind volgend jaar wordt een reeks nieuwe Europese regels van kracht waar bedrijven, nutsvoorzieningen en overheidsinstellingen aan moeten voldoen. NIS2 (17 oktober 2024) en DORA (17 januari 2025) moeten ervoor zorgen dat organisaties weerbaarder worden tegen cyberaanvallen, hun risico’s beter beheren en grondiger rapporteren over eventuele incidenten en hun reactie daarop.
Vanuit zijn rol als Chief Security Advisor bij Tanium werkte Zac Warren vijf programma’s uit die organisaties kunnen opzetten om hun risico’s te beheren en om compliant te worden. Misschien kunnen ze niet allemaal in één keer opgezet worden. Maar met de hoogdringendheid en de harde deadlines, doen organisaties er goed aan minstens enkele van deze adviezen te volgen.
Er zijn grote gelijkenissen tussen DORA en NIS2, ook al slaat DORA in de eerste plaats op de ‘operational resilience’ van financiële dienstverleners en richt NIS2 zich op kritieke infrastructuur zoals overheden, zorginstellingen, transport en energievoorziening. Beide Europese richtlijnen willen de aandacht voor cyberbedreigingen opkrikken, organisaties laten onderzoeken waar ze kwetsbaar zijn (en daarbij ook kijken naar hun volledige supply chain), actie ondernemen om hun weerbaarheid te verhogen en op een goede manier communiceren over inbreuken. Wat zijn nu precies die vijf programma’s die Zac Warren uitwerkte?
1. Maak een inventaris van alle IT asset
Heb je een volledig en up-to-date overzicht van alle IT-assets die zich binnen je organisatie bevinden? Weet je of alle endpoints voorzien zijn van de meest recente besturingssystemen en iedere veiligheidspatch effectief uitgerold is? Is het antwoord twee keer ja, dan bevind je je in een exclusief clubje, want in onderzoek van Tanium geeft 94% van de IT-managers aan dat er zich onbekende toestellen in hun netwerk bevinden. Organisaties moeten hun huidige werkwijzen voor het beheer van IT-middelen evalueren en domeinen identificeren die voor verbetering vatbaar zijn. De verzamelde informatie kan vervolgens worden gebruikt om een uitgebreid programma te ontwerpen en te implementeren dat het vinden van bedrijfsmiddelen automatiseert, om zo naleving van de vereisten van de NIS2-richtlijn te garanderen.
2. Zorg voor een betere cyberhygiëne en bewustwording
Een programma rond cyberhygiëne en bewustwording richt zich op het bevorderen van best practices op het gebied van cyberbeveiliging en het vergroten van het bewustzijn onder werknemers om security-problemen te voorkomen. Veel cyberincidenten ontstaan bij een eindgebruiker, bijvoorbeeld omdat deze in een phishing-val trapt of op een foute link klikt. Het goed voorlichten van alle medewerkers en het constant herhalen van de boodschap is één ding. Maar je kan niet alle verantwoordelijkheid bij de eindgebruiker leggen. Het opleggen van sterk wachtwoordbeheer, het verplichten van software updates en het implementeren van multifactor authenticatie maakt evengoed deel uit van de cyberhygiëne van een organisatie.
3. Controleer of alle patches doorgevoerd zijn
We haalden het daarnet al aan: het constant updaten van software en het implementeren van de patches die software vendors aanbieden is een cruciaal onderdeel van een goede cyberbeveiliging. Niet-gepatchte endpoints zijn een zegen voor hackers. Daarom is het noodzakelijk om niet alleen de patches uit te rollen, maar ook goed te controleren of die uitrol wel op ieder toestel goed geslaagd is. Een converged endpoint management (XEM) oplossing kan daar wonderen verrichten.
4. Maak een plan voor incidentdetectie en -respons
Hoe goed een bedrijf zich ook beveiligt, toch is het zo goed als onmogelijk om iedere cyberaanval te voorkomen en af te weren. Daarom is het belangrijk om incidenten snel te detecteren en ze ook te beantwoorden. Stel daarom een plan met soorten en typen aanvallen, hoe kritiek die aanvallen kunnen zijn – afhankelijk van de data of infrastructuur die bedreigd wordt – en op welke manier de organisatie moet ingrijpen bij een dergelijk incident. Maak een gedetailleerd plan van de stappen die genomen moeten worden. Zorg voor een scherpe omlijning van alle rollen en verantwoordelijkheden, zodat duidelijk is wie welke actie moet ondernemen. Een van die acties zal zijn het rapporteren naar overheden over het incident, zoals NIS2 en DORA eisen. De regelgeving is hier heel strikt, wie zijn verantwoordelijkheid niet neemt, loopt kans op forse boetes.
5. Analyseer netwerktrafiek in real time
Incidenten detecteren en lessen trekken uit incidenten is een ander cruciaal punt. Niet alle organisaties beschikken over een centraal systeem voor security monitoring dat alle security events bijhoudt en analyseert. Een goede analyse van wat er allemaal op het netwerk en in de applicaties gebeurt, geeft aanleiding om acties te ondernemen om de beveiliging aan te passen of te verbeteren.
Technologie speelt een sleutelrol bij het voldoen aan de vereisten van DORA en NIS2, maar het draait niet alleen om technologie. Net zo cruciaal zijn processen, policies en best practices. Door de vijf programma’s op te zetten die Zac uitwerkte, maken organisaties grote stappen om hun cyberweerbaarheid te verhogen en minder kwetsbaar te worden voor cyberaanvallen. Maar tegelijk zorgen ze er ook voor dat ze compliant zijn met NIS2 en DORA, en kunnen ze door alle programma’s goed te documenteren ook hun compliance bewijzen.
Dit is een ingezonden bijdrage van Wytze Rijkmans, Regional Vice President van Tanium. Voor meer informatie over de diensten van het bedrijf kan je hier terecht.