WannaCry: incident of structureel probleem?

WannaCry legt structurele cyberuitdagingen bloot

Het vorige weekend stond in het teken van een grootschalige aanval met gijzelsoftware (ofwel ransomware). Deze vorm van cybercrime bestaat al langer, maar heeft de afgelopen jaren een vlucht genomen. De doelstelling is veelal het behalen van financieel gewin. De impact op organisaties is vaak veel groter dan het prijskaartje dat aan de ransomware wordt gehangen door de crimineel. Dit scenario zagen we zich afgelopen vrijdag ontvouwen, waarbij ziekenhuizen in Groot-Brittannië hun operaties verstoord zagen door de aanval. De vraag die zich opwerpt is in hoeverre dit soort aanvallen een incident zijn. Wat maakt het mogelijk dat dit kan gebeuren?

  • Organisaties hebben nog altijd, bewust of onbewust, systemen waarop beveiligingspatches ontbreken. Denk hierbij aan systemen in fabrieksomgevingen waar het doorvoeren van updates complex is of aan systemen die over het hoofd worden gezien door een gebrek aan adequaat asset- en configuratiemanagement.
  • Het vervangen van software die niet langer wordt ondersteund is tijdrovend, waarbij tijdens de transitie onvoldoende aandacht is voor afscherming van de risicovolle systemen. Denk hierbij aan Windows XP systemen die nog altijd worden gebruikt en via een netwerkkoppeling toegankelijk zijn.
  • De complexiteit van het ecosysteem, maakt het voor veel organisaties moeilijk om zicht te houden op de verschillende digitale toegangspoorten. Denk hierbij aan het aanbieden van ongewenste protocollen aan het internet, zoals in dit geval SMB.

Wat kunt u doen?
Het tijdig bijwerken van software en segmenteren van deze componenten wordt, met de opkomst van het Internet of Things, nog belangrijker. Een adequaat asset en configuratiemanagement proces is hierbij van groot belang. Hiermee houdt u als organisatie zicht op de componenten binnen uw infrastructuur, zodat u in staat bent tijdig beveiligingsupdates door te voeren. Dit inzicht in uw omgeving helpt u tevens bij het uitvoeren van gedegen risicoanalyses op uw architectuur en het snel reageren op incidenten mochten ze zich toch voordoen.

Digitale veiligheid: een verantwoordelijk- heid van de overheid of burger?

Elke dag werken cybercriminelen aan nieuwe technieken om de beveiliging van overheids- organisaties te omzeilen. En elke dag worden hun aanvallen geavanceerder en moeilijker
te verslaan. Zij doen dit om schade te veroor- zaken, toegang tot gevoelige gegevens te krijgen en intellectueel eigendom te stelen. Het ontvreemden of manipuleren van die informatie kan juist overheidsorganisaties in het hart raken. Veel overheidsorganisaties hebben hieronder al geleden of zullen hier in de toekomst mee te maken krijgen. Het kan weken duren voordat een aanval wordt ontdekt en nog langer voordat de schade inzichtelijk is. De aanvaller heeft waarschijnlijk maanden ongezien op het netwerk kunnen rondkijken en de gevolgen van een dergelijke aanval hebben vaak een grote impact op de business en kunnen in extreme gevallen zelfs tot een faillissement leiden. Een kwalitatief goede informatiebeveiliging is een cruciale factor om in deze digitale wereld waarin alles en iedereen met elkaar verbonden is, de continuïteit van uw overheidsorganisatie veilig te stellen.

2016 Digitale veiligheid

44% van de bedrijven onzeker over detecteren

Bedrijven lijken nog niet goed voorbereid op cyberaanvallen. Bijna de helft van de Nederlandse bedrijven (44%) is onzeker of hun bedrijf in staat is om geavanceerde cyberaanvallen te detecteren. Ook is 78% van de Nederlandse bedrijven van mening dat de eigen informatiebeveiligingssystemen het bedrijf niet alle bescherming biedt die nodig is. Dit blijkt uit de jaarlijkse Global Information Security Survey van EY, ‘Creating trust in the digital world’ onder 1755 bedrijven uit 67 landen.

Ad Buckens, Director Cyber Security bij EY: “Bedrijven maken meer en meer gebruik van de grote kansen die het digitale domein biedt, maar zouden tegelijkertijd meer aandacht moeten besteden aan het gevaar van steeds geavanceerdere technieken van cybercriminelen. Bedrijven moeten het risico van cybercriminaliteit niet negeren of onderschatten. “Ze zouden juist een specifieke strategie voor cybersecurity moeten ontwikkelen en daarvoor de nodige middelen moeten vrijmaken. De kansen die de digitale wereld biedt, kunnen pas optimaal worden benut als bedrijven in staat zijn zichzelf en hun klanten te beschermen, en vertrouwen in hun merk te creëren.”

Niet voorbereid
Er zijn vele manieren om een cyberaanval uit te voeren. Sommige aanvallen zullen plotseling en opvallend zijn en andere onopvallender. Maar deze opvallende aanvallen kunnen ook als afleidingsmanoeuvre dienen voor andere cyberaanvallen. Het is voor bedrijven belangrijk om elk incident te analyseren en om patronen te ontdekken. Uit het onderzoek komt naar voren dat slechts 12% procent van de bedrijven beschikt over een solide incident respons programma waarin ook derden en wetshandhavers zijn opgenomen en dat is geïntegreerd in een bredere bedreigings- en kwetsbaarheidsbeheerfunctie. Buckens: “Er zijn bepaalde signalen waar je als bedrijf op kunt letten om cyberaanvallen te detecteren, zoals onverwachte wijzigingen in beurswaarden, ongebruikelijk klantgedrag, operationele verstoringen zonder heldere oorzaak of vreemde zaken in uw betalingsproces of ordersystemen. Bedrijven moeten dergelijke signalen detecteren om de impact van cyberaanvallen nu en in de toekomst te verminderen.”

Wet meldplicht datalekken
Ruim de helft van de respondenten (56%) geeft aan dat het nut en de waarde van informatiebeveiliging voor het bedrijf worden beperkt door een gebrek aan deskundig personeel en budget. Bedrijven verwerken steeds meer data, toch heeft slechts een minderheid de door hen verwerkte data goed onder controle.

Wet meldplicht datalekken komt eraan – ken de kracht en risico’s van uw data

Organisaties verwerken steeds meer data en dat neemt alleen maar toe. Toch heeft slechts een minderheid de door hen verwerkte data goed onder controle. Toch zien we organisaties en overheidsinstanties niet op grote schaal maatregelen nemen om risico’s die gemoeid zijn met het verwerken van data te beheersen. Datalekken worden vaak nog niet opgemerkt. De wetgever probeert hierin bij te sturen: om organisaties bewuster om te laten gaan met data (in het specifiek persoonsgegevens) en de kans op verlies te minimaliseren zijn ze vanaf 1 januari 2016 verplicht om inbreuken op de beveiliging te melden indien die leiden tot onder andere diefstal, verlies of misbruik van persoonsgegevens.

2015 Wet meldplicht datalekken

Over kroonjuwelen, commissarrissen en accountants

De wereld wordt opener. Organisaties zijn meer en meer met elkaar verbonden. Via internet vindt steeds intensievere informatie-uitwisseling plaats met klanten, leveranciers, partners en andere belanghebbenden. Dat biedt veel kansen, maar het leidt ook tot de noodzaak om randvoorwaardelijk de juiste maatregelen te nemen die ervoor zorgen dat onbevoegden niet bij de gegevens kunnen die moeten worden afgeschermd. Gegevens als intellectueel eigendom, inkoop prijzen, contract voorwaarden, marges en klant gegevens worden ook wel aangeduid als de ‘kroonjuwelen’ van een organisatie. Hoe moeten commissarissen letten op die kroonjuwelen? En wat kan een accountant daarbij betekenen? Enkele overwegingen.

EY-zicht-op-toezicht-zomer-2015

Publications on cyber security