De mens is de zwakste schakel en de sterkste lijn van verdediging

9 oktober '24 - Informatiebeveiliging en privacy zijn voor iedere organisatie randvoorwaarden. Chief Information Security Officer (CISO) van De Nederlandsche Bank (DNB), Jeroen van Kesteren geeft een kijkje in de keuken in de inrichting van cybersecurity van DNB en legt uit waarom bescherming tegen cybercriminelen van toegevoegde waarde is voor iedere organisatie.

“De regelgeving die wij de sector opleggen, leggen we ook aan ons zelf op. Practice what you preach. Dat geldt onder andere voor de richtlijn Good Practice Informatiebeveiliging voor verzekeraars. Door zelf de regelgeving te implementeren, zijn we bewust waar de sector mee van doen heeft. Onze eigen kennis en ervaringen worden op deze manier ingezet binnen de financiële sector.” Binnen  DNB is de kerngroep Cyber actief. Daarin zijn alle afdelingen die zich binnen DNB met het onderwerp cyber bezighouden, vertegenwoordigd. De kerngroep overziet de bankbrede cyber-activiteiten binnen DNB en heeft overzicht van alle activiteiten rondom cyber binnen DNB. Binnen deze kerngroep worden ervaringen gedeeld en geëvalueerd zowel binnen als buiten DNB.

 

Cyberstrategie

Eind 2023 publiceerde DNB voor het eerst een cyberstrategie. Met deze strategie wil DNB de cyberweerbaarheid in Nederland een duwtje in de rug geven. Want cyberdreigingen veranderen continu. Zo spelen er wereldwijd veel activiteiten die invloed hebben op de cybersecurity. Vanuit politieke beweging bijvoorbeeld het conflict tussen Rusland en Oekraïne. Maar ook de opkomst van Artificial Intelligende (AI). Tegenwoordig kan AI een hele goede phishing email schrijven. Een ander risico is de opkomst van Quantum computing en de concentratierisico’s worden steeds belangrijker. Financiële instellingen zijn een aantrekkelijk doelwit vanwege hun hoogwaardige bezittingen, gevoelige klantinformatie en hun centrale rol binnen de economie. Daarom zetten we ons in voor het verhogen van de cyberweerbaarheid van de financiële sector.

 

Aanval

DNB heeft nog niet te maken gehad met een geslaagde cyber aanval. In het verleden is het voorgekomen dat een leverancier van DNB geraakt is waarbij informatie gedumpt is op het darkweb. Dit incident heeft ertoe geleid dat de interne governance is versterkt. Van Kesteren geeft als tip mee om de omgeving van de organisatie in te richten alsof er een aanval heeft plaatsgevonden. Met deze gedachte bereidt een organisatie zich goed voor op de impact van een aanval of de financiële consequenties daarvan.

 

Hoe sneller een organisatie handelt bij een aanval, hoe lager de impact is van deze aanval. “Oefenen is essentieel, maar zorg ook dat draaiboeken beschikbaar zijn waarin scenario’s zijn opgenomen zoals ransomware, hacktivisme, geld stelen en het stelen van informatie. En zorg dat iedereen weet wat ze moet doen bij deze scenario’s.”

 

Zwakste schakel

“De mens is de zwakste schakel en tegelijkertijd de sterkste lijn van verdediging” volgens Van Kesteren. “Een medewerker die iets niet vertrouwt, doet dat op basis van instinct. Een laptop kan dat niet. Een applicatie zoals Copilot voert een analyse uit op basis van rationaliteit. Alleen een mens heeft instinct. Een mens kan daarin het verschil maken en is dus in de verdediging het meest waardevolle bedrijfsmiddel. Als de organisatie alleen steunt op systemen en IT, dan is de race binnen een uur verloren. De technische maatregelen vormen een groot deel van de beveiliging.”

Digitalisatie biedt kansen om intensiever samen te werken waarbij het delen van informatie een belangrijke rol speelt.” Als voorbeeld neemt van Kesteren de luchtvaart: “Als er een incident plaatsvindt met een vliegtuig, dan is het uitgangspunt dat het proces niet goed genoeg is in plaats van een fout die gemaakt is door de mens. Dit biedt een continue verbeteringskans voor de organisatie. Het delen van fouten is om van te leren waarbij een organisatie zich kwetsbaar opstelt. Security door middel van openheid en transparantie gaat er vanuit om incidenten te delen en daar maatregelen tegenover te zetten.”

 

Basishygiëne

Van Kesteren geeft aan dat de basishygiëne van een organisatie zeer belangrijk is in de verdediging tegen cybercriminaliteit. ”Dit wordt vaak vergeten. Neem preventieve maatregelen voor onder andere vulnerability management waarbij kwetsbaarheden inzichtelijk worden, denk aan de logische toegangsbeveiliging, wees in control van het toegangsbeheer van uw (digitale) omgeving (Identity and Acces management) en vergeet changemanagement niet. Maar denk ook aan security awareness waarbij het bewustzijn van de medewerkers wordt getraind. Ook  een goede security monitoring  voor de detectie van de omgeving maakt deel uit van de basis hygiëne cybersecurity. Organisaties kunnen tegenwoordig IT-diensten inkopen waar security monitoring een onderdeel van is. IT is meer dan een middel. Zet het strategisch in. Ook voor kleinere ondernemingen is het goed om hier over na te denken, ook op bestuursniveau.”

“Richt het basisbeheer en processen van een organisatie aantoonbaar in. Zeker bij uitbesteding is dit van toepassing. En daarna testen, testen, testen en oefenen, oefenen, oefenen. Oefenen is essentieel voor het succes. Zorg dat de draaiboeken op orde zijn en test niet pas als de inrichting afgerond is. Test continue. ” Van Kesteren sluit af met de boodschap dat het delen van kennis zeer belangrijk is om inzicht te krijgen in ontwikkelingen en de omgang hiervan. “Neem actief deel aan gremia. bijvoorbeeld via het Verbond van Verzekeraars. Kennisdeling draagt actief bij in de strijd tegen cybercriminaliteit.”

Woorden voor verklarende woordenlijst

Artificial Intelligence
De mogelijkheid van een machine om mensachtige vaardigheden te tonen zoals redeneren, leren, plannen en creativiteit. Systemen die intelligent gedrag vertonen door hun omgeving te analyseren en met een zekere mate van zelfstandigheid actie ondernemen om specifieke doelen te bereiken.

Changemanagement
Een proces dat borgt dat wijzigingen in de organisatie en de IT systematisch worden geïmplementeerd, geëvalueerd, georganiseerd, goedgekeurd en uitgevoerd.

Cloud
Is een term die wordt gebruikt voor de beschrijving van een globaal netwerk van servers, elk met een unieke functie. De Cloud is geen fysiek ding, maar een reusachtig netwerk van externe servers overal ter wereld die aan elkaar zijn gekoppeld en als één ecosysteem fungeren. De servers zijn ontworpen voor het opslaan en beheren van gegevens, het uitvoeren van toepassingen of het leveren van content of services, zoals streaming video's, webmail, kantoorsoftware of sociale media. In plaats van dat je bestanden en gegevens van een lokale computer of pc haalt, open je deze online vanaf elk apparaat met een internetverbinding. De informatie is vaak overal en altijd toegankelijk.

CopilotEen assistent-functie voor kunstmatige intelligentie van Microsoft. Copilot is een digitale assistent die je input analyseert, je bedoeling begrijpt en een gepaste reactie of actie genereert. Dit kan variëren van het automatisch voltooien van e-mails tot het aanbevelen van geavanceerde data-analyses in Excel.

Darkweb
Een onderdeel van internet wat niet rechtstreeks vindbaar is voor zoekmachines. De meeste activiteiten en informatie op het darkweb draaien om illegale handel van goederen en diensten, maar niet alle. Met het darkweb kunnen bijvoorbeeld ook journalisten, mensenrechtenactivisten, dissidenten en klokkenluiders anoniem blijven wanneer zij hun werk uitvoeren.

Hacktivisme
Het inzetten van computerkennis en internet als vorm van protest. Hierbij kunnen informatiesystemen aangevallen worden om deze buiten werking te stellen of om gegevens te stelen.

Identity and Acces management
Een methode waarbij de juiste mensen en functies binnen de organisatie (identiteiten) toegang hebben tot de hulpmiddelen ( zoals applicaties) die zij nodig hebben om hun werkzaamheden uit te voeren.

Malware
Een kwaadaardige software zoals virussen (een computerprogramma dat zich in een bestand nestelt), wormen (kwaadaardige software die zichzelf vermenigvuldigt en Trojaanse paarden (een schadelijke software die een vermomming gebruikt om het ware doel te verbergen).

Netwerken
Een verzameling van onderling verbonden apparaten die gebruikt worden om met elkaar te communiceren en voor het delen van informatie.

Quantum computing
Quantum computing is een tak van de informatica gericht op de ontwikkeling van computertechnologie op basis van de beginselen van de kwantumtheorie. Een kwantumcomputer is een nieuw soort computer waarbij de processor gebruikmaakt van de principes van de kwantummechanica. Zo'n processor kan in één keer (parallel) dezelfde berekeningen uitvoeren over een zeer grote hoeveelheid data. Quantumcomputers werken totaal anders dan klassieke computers en maken gebruik van de eigenschappen van deeltjes die kleiner zijn dan atomen.

Ransomware
Een gijzelsoftware dat wordt toegepast als chantagemiddel op het internet. Ransomware is een malware die een computer of netwerk  blokkeert door het te versleutelen en vervolgens losgeld vraagt aan de gebruiker om de computer weer te bevrijden en in ruil voor betaling.

Script
Een manier om instructies te schrijven die de applicatie vertellen wat hij moet doen en hoe hij moet reageren op de input van de gebruiker.

Security awareness
De mate waarin medewerkers zich bewust zijn van de gevaren met betrekking tot (vooral online) informatiebeveiliging.

Security monitoring
Het proces van monitoring van het netwerkverkeer en analyseren van logbestanden om daarmee dreigingen, kwetsbaarheden en cyberaanvallen vroegtijdig te kunnen ontdekken.

Vulnerabilitymanagement
Een vulnerability is een kwetsbaarheid  die een kwaadwillende partij de kans geeft om de legitieme toegang tot informatie of functionaliteit te verhinderen en te beïnvloeden of ongeautoriseerd te benaderen. 

Zero days
Een kwetsbaarheid die misbruik kan maken van zwakke delen in software die tot heel recent onbekend waren voor anderen of de softwareontwikkelaar.

Exception occured while executing the controller. Check error logs for details.