NIS2 niet belangrijk? Cyberweerbaarheid wel!

“De wereld is niet vergaan op 1 januari 2000, dus zal het bij NIS2 ook wel loslopen - toch?” is nu de redenering. De wereld zal inderdaad als gevolg van NIS2 niet meteen tot stilstand komen. Maar uw organisatie wellicht wel. Een cyberaanval kan uw organisatie namelijk aardig in de problemen brengen. Want daar gaat het immers om: NIS2 en DORA gaan vooral over wat we cyberweerbaarheid zijn gaan noemen. Of noem het desnoods gewoon: IT-security. En dat blijft een topprioriteit, los van NIS2 of DORA. Want ransomware, phishing of diefstal van bedrijfsgeheimen kunnen iedere organisatie zwaar in de problemen brengen.

NIS2 is een prachtige kans

Natuurlijk is NIS2 voor veel organisaties momenteel een verplichte oefening. En uiteraard kunnen ze boetes krijgen indien ze niet compliant zijn. Dus gaat men heus wel met NIS2 aan de slag. We zullen wel moeten, want het is verplicht. Het gevaar van regelgeving is echter dat bedrijven deze simpelweg zien als een ‘checkbox item’. “We doen wat we kennelijk verplicht zijn te doen en gaan daarna over tot de orde van de dag.”

Maar zo werkt het natuurlijk niet.

Het doel van NIS2 en DORA is niet dat we moeten voldoen aan wat nieuwe eisen die een handvol bureaucraten in Brussel hebben bedacht. Slimme organisaties zien NIS2, en DORA als ze in de financiële sector werken, eerst en vooral als een kans om eindelijk eens de boel op orde te brengen en de cyberhygiëne van de organisatie verder te verbeteren. En voor wie heel pragmatisch is: iedere CISO of security-specialist kan natuurlijk de vele berichten over de nieuwe regels prima aangrijpen om eindelijk een hoger budget voor cybersecurity los te weken.

Automatisering is cruciaal

Maar hoe pak je het verbeteren van de cyberhygiëne dan precies aan? De laatste tijd heb ik veel contact gehad met onze Nederlandse ServiceNow-partner Plat4Mation. Met ServiceNow werken we als Tanium al langer samen. Dat ServiceNow nu ook strategisch heeft geïnvesteerd in Plat4Mation maakt de samenwerking alleen maar meer logisch. Een goede afweer tegen cyberbedreigingen kan je alleen uitbouwen met een holistische aanpak, waarbij je rekening houdt met zowel processen, technologie, mensen als data. Dat zijn precies ook vier aspecten die perfect aangepakt worden door de combinatie van Tanium, Plat4Mation en ServiceNow.

Net als Plat4Mation merken wij dat veel bedrijven veel te weinig zicht hebben op hun IT-omgeving. Dat is een groot probleem, want het doel van iedere goede cybersecurity-strategie is immers dat je de organisatie moet beschermen. Dan moet je natuurlijk wel weten wat je nu precies moet beschermen. Maar hoeveel ondernemingen beschikken over een CMDB die 100% accuraat is en exact weergeeft wat er in het bedrijf omgaat? Niet zo vreselijk veel, vrees ik. Zeker met de huidige explosie aan endpoints kan een CMDB bijna per definitie niet up-to-date zijn, tenzij je gebruik kan maken van real-time data, die zorgen voor een automatische update.

Bij veel organisaties is het vastleggen van informatie over het IT-landschap in de loop van de jaren erg versnipperd geraakt. IT Operations heeft een deel van de informatie, de security-afdeling beschikt over een ander deel van de data, HR beschikt over gegevens, noem maar op. Zolang die niet samenkomen in één enkel dashboard, heeft de CISO helaas nauwelijks zicht op alle apparaten die in de organisatie gebruikt worden. Bovendien worden veel van de genoemde data handmatig bijgehouden, in een spreadsheet of een Word-document. Op die manier is het onvermijdelijk dat de informatie compleet verouderd is.

Dat levert gevaarlijke situaties op. Je hebt namelijk geen ‘single source of truth’, de kwaliteit van de data is moeilijk in te schatten en de impact op het bedrijf van een mogelijke cyberaanval is volstrekt onduidelijk, zelfs op het moment dat de aanval daadwerkelijk plaatsvindt. Laat staan dat je zonder kleerscheuren een audit doorkomt. Het zal duidelijk zijn dat de automatische verwerking van real-time data cruciaal is voor een goede security-aanpak.

Strategische samenwerking

Tanium en ServiceNow werken al langer samen. Zo werd het toonaangevende Converged Endpoint Management (XEM) platform van Tanium geïntegreerd met ServiceNow, en werd vorig jaar op de Converge gebruikersconferentie Tanium Vulnerability Risk and Compliance (VRC) for ServiceNow aangekondigd. Met deze oplossing van Tanium kunnen organisaties proactief kwetsbaarheden van endpoints identificeren, kunnen zij het patch-proces automatiseren om gaten in de beveiliging snel te dichten, verbetert de responstijd bij beveiligingsincidenten aanzienlijk, wordt de blootstelling aan risico’s geëlimineerd en kunnen ongeautoriseerde wijzigingen eenvoudig worden geïdentificeerd. Ook op de komende ServiceNow Knowledge-conferentie (Las Vegas, 7-9 mei) kunnen we ongetwijfeld weer nieuwe gezamenlijke initiatieven verwachten.

De samenwerking tussen Tanium, ServiceNow en Plat4Mation is een perfect voorbeeld van een complementaire samenwerking: Tanium verzamelt in real-time alle data over mogelijke risico’s, ServiceNow staat in voor data-opslag, -aggregatie en -visualisatie en vervolgens zorgt Tanium weer voor de remediëring. En Plat4Mation zorgt ervoor dat bedrijven deze hele cyclus op een goede manier implementeren.

Bewustwording

Eerder had ik het al over de holistische aanpak, waarin ook mensen een belangrijk element vormen. Mensen zijn meestal de zwakste plek in cyberbeveiliging. Vaak komen bedreigingen binnen door phishing, doordat een werknemer op malafide links klikt of tegen beter weten in een onbekend exe-bestand installeert. Tegelijk vormen werknemers ook de eerste verdedigingslinie tegen cyberaanvallen. Indien iedereen alert is en als een team samenwerkt, kunnen veel problemen voorkomen worden. Als er een verdachte mail binnenkomt, is het de taak van de ontvanger om dat meteen te melden, zodat snel bedrijfsbreed een waarschuwing kan worden uitgestuurd. Naast het gebruiken van slimme tools, is het bewust maken van alle medewerkers een belangrijke taak van de security-afdeling. Niet alleen om problemen te voorkomen, maar ook om snel te kunnen ingrijpen wanneer het mis gaat. Is er een datalek, dan moet dat meteen bekend gemaakt worden. Intern, maar ook naar de autoriteiten toe.

Is NIS2 echt niet belangrijk, zoals de kop boven deze blog suggereert? Natuurlijk wel! De kop boven deze blog was - bewust - een beetje clickbait-achtig. Waarom? Omdat organisaties niet alleen verplicht zijn om deze richtlijn te implementeren, maar vooral ook omdat NIS2 een kapstok kan zijn waaraan je een goede cybersecurity-strategie kunt ophangen. Niet voor niets heeft ENISA, het Europees agentschap voor cybersecurity, vastgesteld dat de NIS-richtlijnen wel degelijk een positieve impact hebben op de IT-beveiliging van Europese organisaties. In die zin dragen NIS en NIS2 dus absoluut bij aan een verhoogde cyberwaakzaamheid.