In onze vorige artikelen over NIS2 en DORA bespraken we de belangrijkste veranderingen en verplichtingen die de nieuwe wetgeving met zich meebrengt. Ze vragen om een systematische aanpak. En de juiste systemen. RiskRecon is er hier één van.
RiskRecon, mede-opgezet door Mastercard, is sinds 2015 actief in de cybersecurity. Oprichter Kelly White had als CISO in de bancaire sector veel ervaring met fraudedetectie en verdacht gedrag herkennen in grote datastromen. Hij zag hoe decentralisatie van IT en SAAS apps vroeg om een andere aanpak van risicobeheer. Wanneer een bank of verzekeraar voorheen een handjevol grote partners had, met elk een interne IT-afdeling voor development en implementatie, kwam je met een diepgaande vragenlijst en checklist al een heel eind. Maar dat is vandaag de dag onmogelijk en onvoldoende.
Een organisatie is niet langer een schakel in een ketting, maar een knooppunt in een netwerk. En om een netwerk veilig te houden, zal je je met gezond wantrouwen moeten richten op de plekken waar het zich naar buiten openstelt. Dit is het fundament waar RiskRecon op gebouwd is. De software is schaalbaar en kan ingezet worden op het individuele bedrijfsniveau tot volledige supply chains. Het platform biedt een aantal soorten licenties, afhankelijk van het aantal bedrijven of entiteiten dat je wilt monitoren. Dus ook op kleine schaal kan je nog steeds gedetailleerde scans en rapportages krijgen. Dit alles samen maakt het een effectieve tool die geen ingrijpende veranderingen van je digitale infrastructuur vraagt.
En we geven je groot gelijk. RiskRecon is een monitoring tool die zichzelf steeds met nieuwe informatie voorziet door een drietal stappen te doorlopen.
Alles begint met identificatie. Eerst maakt de software een volledig profiel van alle systemen die met het internet verbonden zijn, van software tot domeinen, hardware en alle verbindingen met derden. Hieronder vallen bijvoorbeeld zowel leveranciers als verkopers. Deze worden onderbouwd met gegevens vanuit de hostingproviders en documentatie van de gebruikte software. In het geval van derde of vierde partijen gebruikt RiskRecon ook informatie uit bronnen als aangekondigde partnerschappen, open vacatures, productinformatie en meer.
Vervolgens houdt RiskRecon in de gaten of er nieuwe apparaten of programma`s bij komen die met het internet verbonden zijn. Zo kunnen we ook “vergeten” of verborgen IT assets ontdekken en achterhalen welke deze precies zijn. Denk hierbij bijvoorbeeld aan legacy machines waar geen updates voor zijn, maar voor hun enkele specifieke functie nog steeds prima werken. Ook IoT apparaten, zoals kassa's of andere POS systemen, worden vaak over het hoofd gezien.
RiskRecon houdt het risicoprofiel van elk van deze assets bij, waarbij elk systeem wordt gemonitord op de soorten gegevens die ze verzamelen, hun functionaliteit en andere belangrijke informatie. Dit helpt ons, en jou, om te weten waar gevoelige gegevens en functionaliteiten blootgesteld zijn, welke instellingen en rechten zij hebben en wat daarmee de prioriteiten voor compliance zijn. Wetgeving zoals NIS2, DORA en de AVG eisen dat je weet waar jouw bedrijfsgegevens zich bevinden en wie er toegang tot heeft. Dit is precies wat RiskRecon in kaart brengt.
De inhoud van het risicoprofiel leidt vervolgens ook tot een bepaalde score die eraan gegeven wordt. Deze wordt gebruikt om prioriteit te bepalen, zodat jij geen energie kwijt bent aan het sorteren van to-do lijsten voordat je er überhaupt aan kan beginnen.
Met enige regelmaat worden er kritieke kwetsbaarheden ontdekt in populaire IT-systemen of software. Voorbeelden hiervan zijn OpenSSL, Log4j en Apache Struts. Deze kwetsbaarheden vormen een groot risico op een hack of datalek en vragen dan ook direct om aandacht. In sommige gevallen was deze fout zelfs nog niet bekend bij de ontwikkelaars van de software, zogenaamde zero days, en is er niet direct duidelijk hoe lang deze al in de software aanwezig was.
Na hun ontdekking worden de kwetsbaarheden direct aangepakt met een update door de eigenaren. Maar als ergens in jouw bedrijf deze update nog niet is doorgevoerd, vraagt dit om hoge prioriteit. RiskRecon weet dit ook en plaats hem bovenaan jouw lijstje.
Maar ook als een van jouw leveranciers deze update nog niet heeft doorgevoerd, vormt dit een potentieel risico voor alle bedrijven met wie zij samenwerken. Met RiskRecon kan je nieuwe of bestaande leveranciers hierop attenderen en als input gebruiken voor randvoorwaarden voor een samenwerking. Hetzelfde kan gedaan worden voor vierde partijen zoals verkopers, zodat jij bij het onboarden van nieuwe partners direct weet dat hun beveiliging op orde is.
NIS2 en DORA zijn twee stukken wetgeving die van bedrijven eist dat zij meer inzicht in en grip op de digitale veiligheid van zichzelf en hun partners hebben. En hoewel compliance niet het hoofddoel moet zijn, is dit waar RiskRecon voor ons laat zien dat het niet alleen voor de IT-afdeling is. Op een aantal belangrijke aspecten geeft RiskRecon jou de middelen voor aantoonbare compliance.
Als bedrijf ben je verplicht om op management-niveau op de hoogte te zijn van je digitale veiligheid en je netwerk actief te monitoren. Hieronder vallen ook de bedrijven en organisaties waar je mee verbonden bent. De risicoprofielen van RiskRecon kunnen een samengevat beeld geven met prioriteiten en een score. Maar een gedetailleerder beeld met de onderliggende issues is ook mogelijk. Dit betekent dat je ook kan laten zien wat er allemaal wél in orde is en waarom. Want ook dat is mooi om aan te kunnen tonen.
Risicobeheer is het beperken van risico’s en het minimaliseren van de impact. NIS2 en DORA eisen je hier wetenschap van te hebben, over te kunnen rapporteren en aan te kunnen tonen dat het in orde is.
RiskRecon laat zien welke systemen en/of partners kwetsbaar zijn, waar (gevoelige) data opgeslagen is en wie er toegang tot heeft. Op basis hiervan kan je de juiste stappen ondernemen, bijvoorbeeld het updaten van software of firmware, een leverancier attenderen op een kwetsbare server die zij gebruiken of de toegang tot belangrijke bestanden opnieuw indelen. Dit beperkt direct de risico’s op een hack of datalek, maar kan ook de eventuele impact ervan beperken. Want informatie of systemen die op de juiste manier geïsoleerd zijn, kunnen geen springplank zijn voor hackers die proberen door je systeem te navigeren.
In het geval van een incident is het belangrijk dat essentiële processen en taken nog steeds uitgevoerd kunnen worden. Hoewel RiskRecon hier niet direct in ondersteunt, helpt het wel inzicht te krijgen in welke systemen essentieel zijn voor het werken van bijvoorbeeld een afdeling of productielijn. Fysieke back-ups bijhouden, een apparaat offline kunnen laten opereren of volledig ontdoen van internetverbindingen (air gappen) zijn een aantal voorbeelden van maatregelen die je kan treffen. Eventueel kan een externe partij helpen om geschikte opties in kaart te brengen en te implementeren.
Om, in het geval van een incident, binnen de vereiste 24 uur een rapport in te dienen bij de autoriteiten vraagt om een helder proces hiervoor. En hoewel een overzicht van alle internet-verbonden systemen een goede eerste stap is, is RiskRecon niet de tool voor daadwerkelijke rapportage en technische verslaglegging. De exacte vorm en inhoud van deze rapportages zal vanuit de (landelijke) autoriteiten nog worden vastgesteld, maar er zijn andere tools die zich veel meer op deze aspecten richten. Een goed voorbeeld hiervan is Metallic Threatwise.
Metallic Threatwise
Threatwise plaatst vallen en lokaas in je infrastructuur in de vorm van gesimuleerde apparaten of gegevens. Dit kan gaan om gefabriceerde scripts of databases tot virtuele routers, modems of zelfs lege kopieën van je daadwerkelijke apparatuur. Al deze assets werken als baken en geven jou een signaal zodra een onbekende gebruiker deze opent of downloadt. Hiermee kan Threatwise ook laten zien hoe de ongewenste bezoeker je systeem binnen is gekomen, welke route hij nam en tot waar hij is gekomen. Iets wat in incidentrapportage ongetwijfeld een belangrijke rol gaat spelen.
Benieuwd naar de eerste inzichten van RiskRecon voor jouw organisatie? Een vrijblijvende scan van de risico`s van jullie derde partijen kan meer laten zien dan wij in dit artikel hebben verteld. Via onze site krijg je 30 dagen lang gratis toegang tot de tool en kan je tot maximaal 50 partners zien welke aandachtspunten er zijn, welke jouw meeste aandacht vragen en waar je mee kan beginnen.
Daarnaast organiseren wij op 21 september in Amstelveen een open lunch, waar we samen met keynote sprekers Mirco Rohr en Michel Schrok dieper ingaan op de tool en er alle ruimte is om dit te doen voor jouw specifieke situatie. Aanmelden kan via LinkedIn of via onze website.
De klassieke manier van een netwerk beveiligen wordt ook wel het ‘eggshell computing’-model genoemd. In dit geval...
In onze vorige artikelen over NIS2 en DORA bespraken we de belangrijkste veranderingen en verplichtingen die de nieuwe...
Waar voorheen het analyseren en kennis nemen van de risico`s voldoende was, zal de Digital Operational Resilience Act...
European law dictates that companies, financial corporations and government agencies are required to secure their sensitive personal...
NIS2 verschuift de focus van individuele bedrijven naar supply chains en de maatschappij. En dat zou jij ook moeten doen....
Personal data is everywhere: on-premises and in the cloud, from file servers and databases to data warehouses and data...
The answer to “how much security is enough?” all depends on the data that the organization possesses. And then what must be...