Wachten op wetgeving is geen weerbaarheidsstrategie
CrisisresponsHet kabinet kiest voor een zorgvuldige aanpak, maar roept ook organisaties op om zelf voor te sorteren op de nieuwe wet- en regelgeving. De dreiging wacht namelijk niet. Supply chain-aanvallen, identiteitsmisbruik en ransomware in vitale sectoren bevestigden dat het afgelopen jaar. Met een groter digitaal aanvalsoppervlak en diepere supply chain- en cloudafhankelijkheden is Nederland daarin extra kwetsbaar.
© Shutterstock
Voor wie verantwoordelijk is voor vitale infrastructuur is de vraag: als die wet er straks is, is jouw organisatie dan klaar? Hieronder drie vragen waarmee je dat vandaag al kunt toetsen.
Waar het vaak vastloopt
In de praktijk strandt die uitvoering vaak op dezelfde drie plekken. Veel organisaties hebben een securityvisie op papier, maar de doorvertaling naar concrete, technische maatregelen ontbreekt – een risico benoemen maakt nog geen maatregel. Tegelijk is het eigenaarschap voor cyberweerbaarheid vaak verdeeld over CISO, CIO en de business, waardoor het in de praktijk nergens echt belegd. Ten derde bestaan crisisprocedures meestal wel op papier, maar worden zelden in de praktijk getest. Pas tijdens een echte aanval wordt duidelijk of ze werken.
Drie vragen, drie toetsen
Praktische weerbaarheid begint bij drie vragen die elke IT-verantwoordelijke moet kunnen beantwoorden.
1 Wat heb ik en waar is het?
Breng IT- en OT-assets actief in kaart, inclusief koppelingen met externe leveranciers en de afhankelijkheden daarachter. Een eenmalige inventarisatie volstaat niet, omdat je omgeving continu meebeweegt met dreiging en techniek. Vraag je bij elk systeem en elke koppeling af of het noodzakelijk is, en wie er feitelijk grip op heeft. Soevereiniteit over je data en infrastructuur is hierin de hoofdzaak. Want wat niet onder eigen controle valt, vergroot alleen het aanvalsoppervlak.
Toets: kan je binnen een dag een actuele lijst produceren van alle (OT-)assets die met internet zijn verbonden?
2 Wie is verantwoordelijk?
Beleg eigenaarschap expliciet en zorg dat de eigenaar ook mandaat heeft om te handelen. 'Gezamenlijke verantwoordelijkheid' betekent in de praktijk dat niemand verantwoordelijk is. Security hoort thuis in de boardroom. Alleen dan krijgt het het gewicht om bij nieuwe projecten vanaf begin af aan mee te denken.
Toets: als er morgen een ongedocumenteerde verbinding wordt ontdekt, is dan direct duidelijk wie actie onderneemt – en wie het mandaat heeft om dat ook te doen?
3 Wat doe je als het fout gaat?
Niet elk incident begint met een cyberaanval. Toen begin mei een grote brand uitbrak bij een datacenter in Almere, leidde dat tot ICT-uitval bij meerdere organisaties, waaronder een grote Nederlandse onderwijsinstelling. Fysieke verstoring kan dezelfde digitale gevolgen hebben als een aanval, en daarom blijft de vraag: werkt je crisisrespons als het erop aankomt? Een risicogedreven aanpak helpt om die vraag scherp te krijgen, want niet alles is even kritiek. Prioriteer dus waar je je crisisresponse op richt. Test die response vervolgens onder realistische condities. Doe dry-runs, niet alleen tabletop-oefeningen, en geef je SOC mandaat om te handelen.
Toets: kan je SOC een aanval niet alleen detecteren, maar ook isoleren en de business herstellen? En heeft het van de organisatie het mandaat én de middelen om dat te doen?
De wet komt eraan, maar de dreiging die onze inlichtingendiensten schetsen, vraagt nu al om operationele paraatheid. Beantwoord de drie vragen namens je eigen organisatie en wees eerlijk. Den Haag werkt aan de norm, maar weerbaarheid begint bij jou.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee