In onze vorige artikelen over NIS2 en DORA bespraken we de belangrijkste veranderingen en verplichtingen die de nieuwe wetgeving met zich meebrengt. Ze vragen om een systematische aanpak. En de juiste systemen. RiskRecon is er hier één van.
Nieuwe tijden, andere oplossingen
RiskRecon, mede-opgezet door Mastercard, is sinds 2015 actief in de cybersecurity. Oprichter Kelly White had als CISO in de bancaire sector veel ervaring met fraudedetectie en verdacht gedrag herkennen in grote datastromen. Hij zag hoe decentralisatie van IT en SAAS apps vroeg om een andere aanpak van risicobeheer. Wanneer een bank of verzekeraar voorheen een handjevol grote partners had, met elk een interne IT-afdeling voor development en implementatie, kwam je met een diepgaande vragenlijst en checklist al een heel eind. Maar dat is vandaag de dag onmogelijk en onvoldoende.
Een organisatie is niet langer een schakel in een ketting, maar een knooppunt in een netwerk. En om een netwerk veilig te houden, zal je je met gezond wantrouwen moeten richten op de plekken waar het zich naar buiten openstelt. Dit is het fundament waar RiskRecon op gebouwd is. De software is schaalbaar en kan ingezet worden op het individuele bedrijfsniveau tot volledige supply chains. Het platform biedt een aantal soorten licenties, afhankelijk van het aantal bedrijven of entiteiten dat je wilt monitoren. Dus ook op kleine schaal kan je nog steeds gedetailleerde scans en rapportages krijgen. Dit alles samen maakt het een effectieve tool die geen ingrijpende veranderingen van je digitale infrastructuur vraagt.
Eerst zien, dan geloven
En we geven je groot gelijk. RiskRecon is een monitoring tool die zichzelf steeds met nieuwe informatie voorziet door een drietal stappen te doorlopen.
Assessment
Alles begint met identificatie. Eerst maakt de software een volledig profiel van alle systemen die met het internet verbonden zijn, van software tot domeinen, hardware en alle verbindingen met derden. Hieronder vallen bijvoorbeeld zowel leveranciers als verkopers. Deze worden onderbouwd met gegevens vanuit de hostingproviders en documentatie van de gebruikte software. In het geval van derde of vierde partijen gebruikt RiskRecon ook informatie uit bronnen als aangekondigde partnerschappen, open vacatures, productinformatie en meer.
Vervolgens houdt RiskRecon in de gaten of er nieuwe apparaten of programma`s bij komen die met het internet verbonden zijn. Zo kunnen we ook “vergeten” of verborgen IT assets ontdekken en achterhalen welke deze precies zijn. Denk hierbij bijvoorbeeld aan legacy machines waar geen updates voor zijn, maar voor hun enkele specifieke functie nog steeds prima werken. Ook IoT apparaten, zoals kassa's of andere POS systemen, worden vaak over het hoofd gezien.
Risicoprofielen
RiskRecon houdt het risicoprofiel van elk van deze assets bij, waarbij elk systeem wordt gemonitord op de soorten gegevens die ze verzamelen, hun functionaliteit en andere belangrijke informatie. Dit helpt ons, en jou, om te weten waar gevoelige gegevens en functionaliteiten blootgesteld zijn, welke instellingen en rechten zij hebben en wat daarmee de prioriteiten voor compliance zijn. Wetgeving zoals NIS2, DORA en de AVG eisen dat je weet waar jouw bedrijfsgegevens zich bevinden en wie er toegang tot heeft. Dit is precies wat RiskRecon in kaart brengt.
De inhoud van het risicoprofiel leidt vervolgens ook tot een bepaalde score die eraan gegeven wordt. Deze wordt gebruikt om prioriteit te bepalen, zodat jij geen energie kwijt bent aan het sorteren van to-do lijsten voordat je er überhaupt aan kan beginnen.
Prioriteren
Met enige regelmaat worden er kritieke kwetsbaarheden ontdekt in populaire IT-systemen of software. Voorbeelden hiervan zijn OpenSSL, Log4j en Apache Struts. Deze kwetsbaarheden vormen een groot risico op een hack of datalek en vragen dan ook direct om aandacht. In sommige gevallen was deze fout zelfs nog niet bekend bij de ontwikkelaars van de software, zogenaamde zero days, en is er niet direct duidelijk hoe lang deze al in de software aanwezig was.
Na hun ontdekking worden de kwetsbaarheden direct aangepakt met een update door de eigenaren. Maar als ergens in jouw bedrijf deze update nog niet is doorgevoerd, vraagt dit om hoge prioriteit. RiskRecon weet dit ook en plaats hem bovenaan jouw lijstje.
Maar ook als een van jouw leveranciers deze update nog niet heeft doorgevoerd, vormt dit een potentieel risico voor alle bedrijven met wie zij samenwerken. Met RiskRecon kan je nieuwe of bestaande leveranciers hierop attenderen en als input gebruiken voor randvoorwaarden voor een samenwerking. Hetzelfde kan gedaan worden voor vierde partijen zoals verkopers, zodat jij bij het onboarden van nieuwe partners direct weet dat hun beveiliging op orde is.
Compliance met NIS2 & DORA
NIS2 en DORA zijn twee stukken wetgeving die van bedrijven eist dat zij meer inzicht in en grip op de digitale veiligheid van zichzelf en hun partners hebben. En hoewel compliance niet het hoofddoel moet zijn, is dit waar RiskRecon voor ons laat zien dat het niet alleen voor de IT-afdeling is. Op een aantal belangrijke aspecten geeft RiskRecon jou de middelen voor aantoonbare compliance.
Onderhoud
Als bedrijf ben je verplicht om op management-niveau op de hoogte te zijn van je digitale veiligheid en je netwerk actief te monitoren. Hieronder vallen ook de bedrijven en organisaties waar je mee verbonden bent. De risicoprofielen van RiskRecon kunnen een samengevat beeld geven met prioriteiten en een score. Maar een gedetailleerder beeld met de onderliggende issues is ook mogelijk. Dit betekent dat je ook kan laten zien wat er allemaal wél in orde is en waarom. Want ook dat is mooi om aan te kunnen tonen.
Risicobeheer
Risicobeheer is het beperken van risico’s en het minimaliseren van de impact. NIS2 en DORA eisen je hier wetenschap van te hebben, over te kunnen rapporteren en aan te kunnen tonen dat het in orde is.
RiskRecon laat zien welke systemen en/of partners kwetsbaar zijn, waar (gevoelige) data opgeslagen is en wie er toegang tot heeft. Op basis hiervan kan je de juiste stappen ondernemen, bijvoorbeeld het updaten van software of firmware, een leverancier attenderen op een kwetsbare server die zij gebruiken of de toegang tot belangrijke bestanden opnieuw indelen. Dit beperkt direct de risico’s op een hack of datalek, maar kan ook de eventuele impact ervan beperken. Want informatie of systemen die op de juiste manier geïsoleerd zijn, kunnen geen springplank zijn voor hackers die proberen door je systeem te navigeren.
Continuïteit van bedrijfsvoering
In het geval van een incident is het belangrijk dat essentiële processen en taken nog steeds uitgevoerd kunnen worden. Hoewel RiskRecon hier niet direct in ondersteunt, helpt het wel inzicht te krijgen in welke systemen essentieel zijn voor het werken van bijvoorbeeld een afdeling of productielijn. Fysieke back-ups bijhouden, een apparaat offline kunnen laten opereren of volledig ontdoen van internetverbindingen (air gappen) zijn een aantal voorbeelden van maatregelen die je kan treffen. Eventueel kan een externe partij helpen om geschikte opties in kaart te brengen en te implementeren.
Meldplicht en rapportage
Om, in het geval van een incident, binnen de vereiste 24 uur een rapport in te dienen bij de autoriteiten vraagt om een helder proces hiervoor. En hoewel een overzicht van alle internet-verbonden systemen een goede eerste stap is, is RiskRecon niet de tool voor daadwerkelijke rapportage en technische verslaglegging. De exacte vorm en inhoud van deze rapportages zal vanuit de (landelijke) autoriteiten nog worden vastgesteld, maar er zijn andere tools die zich veel meer op deze aspecten richten. Een goed voorbeeld hiervan is Metallic Threatwise.
Metallic Threatwise
Threatwise plaatst vallen en lokaas in je infrastructuur in de vorm van gesimuleerde apparaten of gegevens. Dit kan gaan om gefabriceerde scripts of databases tot virtuele routers, modems of zelfs lege kopieën van je daadwerkelijke apparatuur. Al deze assets werken als baken en geven jou een signaal zodra een onbekende gebruiker deze opent of downloadt. Hiermee kan Threatwise ook laten zien hoe de ongewenste bezoeker je systeem binnen is gekomen, welke route hij nam en tot waar hij is gekomen. Iets wat in incidentrapportage ongetwijfeld een belangrijke rol gaat spelen.
Down to business
Benieuwd naar de eerste inzichten van RiskRecon voor jouw organisatie? Een vrijblijvende scan van de risico`s van jullie derde partijen kan meer laten zien dan wij in dit artikel hebben verteld. Via onze site krijg je 30 dagen lang gratis toegang tot de tool en kan je tot maximaal 50 partners zien welke aandachtspunten er zijn, welke jouw meeste aandacht vragen en waar je mee kan beginnen.
Daarnaast organiseren wij op 21 september in Amstelveen een open lunch, waar we samen met keynote sprekers Mirco Rohr en Michel Schrok dieper ingaan op de tool en er alle ruimte is om dit te doen voor jouw specifieke situatie. Aanmelden kan via LinkedIn of via onze website.
Waar voorheen het analyseren en kennis nemen van de risico`s voldoende was, zal de Digital Operational Resilience Act (DORA) bedrijven verplichten om weerbaar te zijn. Namens zichzelf én de sector.
Want cybersecurity is een kat-en-muisspel. Maar eentje in het hoge tempo van technologische ontwikkeling en speelveld waar pogingen tot verstoren of hacken een gegeven zijn. En hiermee is bescherming geen kwestie van risico`s mijden, maar van risico`s indammen en weerbaar zijn.
De notendop
1 januari 2023 is DORA in werking getreden en geeft het bedrijven exact 2 jaar de tijd om zich er op voor te bereiden. De wetgeving zal vanaf 1 januari 2025 daadwerkelijk van toepassing zijn.
DORA is van invloed op bedrijven in de financiële sector en de dienstverlening eromheen. Denk aan banken, beleggingsinstellingen, beheermaatschappijen, aanbieders van crypto-activa, verzekeringsmaatschappijen en handelsplatformen. Het gaat hierbij ook om derde partijen die essentiële diensten verlenen aan deze bedrijven, zoals cloud platforms, managed service providers, cybersecurity bedrijven en aanbieders van data-analyse diensten.
Op een hoop gebieden heeft DORA overlap met NIS2, dat ook van toepassing is op de financiële sector. Maar voor deze sector is DORA leidend: waar DORA specifieker is, krijgt dit voorrang boven NIS2. Toezicht op het naleven van de wetgeving kan komen van partijen als de Europese Centrale Bank of De Nederlandse Bank.
Verschillen met NIS2
Ook in de fundamenten van de wetgeving is er overlap met NIS2, zoals ICT-risicobeheer, rapportage van incidenten en risicobeheer van derden. Maar een aantal aspecten van DORA springen eruit.
De weerbaarheid van je bedrijfsprocessen testen
Tijdens het opzetten van een digitale infrastructuur of software is testen natuurlijk essentieel. Maar DORA verplicht je om digitale processen te testen. En dit vraagt om een meer systematische aanpak. Als bedrijf zal je zelf de digitale slagaders van je bedrijf in kaart moeten brengen, analyseren wat de kwetsbare (knel)punten zijn en hoe deze op een veilige manier te testen zijn. Een voorbeeld van een DDOS aanval helpt om dit concreter te maken.
Stel, je bent een platform dat online betalingen voor webshops ondersteunt, en een DDOS-aanval maakt je publieke website onbereikbaar voor gebruikers. Kan het automatische betalingsverkeer op websites van derden nog steeds doorgaan, of moeten wij daar handmatig in schakelen? Hoe en via welke kanalen ga je klanten en gebruikers op de hoogte stellen? Daarnaast zijn er verschillende gebruikers die een vraag voor de klantenservice hebben en via de chat of telefoon contact hebben. Kan jouw klantenservice deze vragen nog steeds behandelen? En hoe gaan zij de situatie uitleggen wanneer het niet mogelijk is om hun vraag te beantwoorden?
Het is duidelijk dat er veel vragen zijn die je als bedrijf al beantwoord zou willen hebben. En in de financiële sector, waar zowel de bedrijfsgegevens als de gevolgen nóg gevoeliger zijn, is het denken in en testen van processen nog belangrijker. Voor grote organisaties is er vanuit De Nederlandse Bank en Autoriteit Financiële Markten het TIBER-NL programma, dat testaanvallen uitvoert die gebaseerd zijn op realistische dreiging.
Delen van informatie en inlichtingen
Voor velen van ons lijken veel takken van de financiële industrie hypercompetitief. Het gaat tenslotte om grote belangen en bedragen. Maar het gaat ook over een systeem waar vertrouwen essentieel is, en misbruik van het systeem op de loer ligt. Niet alleen door schimmige webshops of intransparante gokwebsites, maar ook door criminelen die goedwillige maar kwetsbare bedrijven gebruiken als achterdeur voor een grotere organisatie.
Inzicht vereist overzicht
Tegenwoordig wordt bij vrijwel elk bedrijfsproces een digitaal systeem of platform gebruikt. De meesten zijn wij ons ook bewust van, maar er zijn er genoeg waar wij minder snel aan zouden denken. Welke (bedrijfs)processen zijn er en middels welke systemen lopen deze? Door stapsgewijs te kijken naar hoe bijvoorbeeld een order, aanvraag of adviestraject door jouw organisatie gaat, krijg je een beter beeld van welke systemen je afhankelijk bent.
Actie-reactie
DORA vraagt bedrijven om zowel proactief als reactief actie te ondernemen. Om in hoofdlijnen een lijst te maken van waar je mee aan de slag kan, leg je elk van de belangrijke processen afleggen tegen de drie acties waar DORA op hamert: detecteren, reageren en herstellen.
1. Detecteren
Als er een poging zou zijn om dit proces te verstoren of te infiltreren, zouden we het dan opmerken? En zo ja, waaraan? Dit zijn de soort stappen waar bepaalde tools en software je enorm bij kunnen helpen.
2. Reageren
Wat is onze reactie als een van deze scenario’s zich voordoet, zowel naar onze eigen medewerkers als naar de buitenwereld? Wie zijn de aanspreekpunten en wie kunnen wij inschakelen als het onze pet te boven gaat? Het is voor veel bedrijven onmogelijk om dit allemaal zelfstandig aan te pakken, zeker omdat de emoties hoog op kunnen lopen. Tijdig toegeven dat externe hulp nodig is, voorkomt vaak een hoop schade. Toegeven dat externe hulp nodig is, voorkomt vaak een hoop schade.
3. Herstellen
Hoe lang duurt het om de getroffen processen weer op gang te krijgen? Zijn er recente back-ups veilig gesteld? En hoeveel tijd en energie zijn we kwijt aan de handmatige werkzaamheden om dit te herstellen? Het bijwerken van lopende orders, openstaande debiteuren/crediteuren of klantgegevens vraagt vaak meer tijd dan veel bedrijven denken. Sommige dingen moeten nou eenmaal met een menselijk oog in de gaten gehouden worden. Een realistischer beeld van het herstel voorkomt onrealistische beloften aan klanten, investeerders, toezichthouders, medewerkers en uiteindelijk jezelf.
Nieuwsgierig naar hoe wij onze opdrachtgevers helpen aan wetgeving zoals DORA en NIS2 te voldoen? Lees meer over onze aanpak en hoe wij uw bedrijf hierbij kunnen helpen op onze site.
Belangrijke opmerking en disclaimer: dit artikel is gebaseerd op Nederlandse bronnen en kan details bevatten die niet van toepassing zijn op jouw land. Dit artikel is niet bedoeld als bindend juridisch advies.
Op dit vlak kan het cruciaal zijn om bepaalde informatie over cybersecurity of incidenten te delen met toezichthouders en andere financiële instellingen. DORA kan in sommige gevallen bedrijven verplichten dit te doen.
We are very exited to anounce that we have moved office to a new location!
NIS2 verschuift de focus van individuele bedrijven naar supply chains en de maatschappij. En dat zou jij ook moeten doen.
Vanaf september 2024 moeten bedrijven die binnen de EU actief zijn voldoen aan nieuwe en strengere regelgeving op het gebied van cyber risicobeheer, toezicht en reactie op cyberincidenten. En Supply Chain managers gaan hier het grote verschil maken. Voor dit eerste artikel in een serie over regelgeving kijken we naar de nieuwe richtlijn voor netwerk- en informatiebeveiliging (NIS2) en welke stappen je kan nemen om een voorsprong op compliance te krijgen.
Even over kaas
Als we het hebben over supply chains of risico's vanuit derde partijen, kan je al snel in technische afkortingen en abstracties vervallen. Dus laten we een voorbeeld nemen dat Nederlanders allemaal na aan het hart gaat: kaas.
In 2021 waren bij veel Albert Heijn filialen de kaasschappen een week lang bijna leeg. De aanleiding was een ransomware-aanval bij een van hun logistieke partners, Bakker Logistiek. De aanval maakte het onmogelijk om bestellingen van klanten te ontvangen en hun magazijn te controleren op voorraad en beschikbaarheid van producten. Zeker de helft van hun 500 vrachtwagens konden niet worden geladen en de hele workflow kwam onder druk, waardoor Albert Heijn een van de secundaire slachtoffers van de aanval werd.
De aanvallers maakten waarschijnlijk gebruik van een vulnerability in Microsoft Exchange Server, die slechts een maand eerder door Microsoft bekend was gemaakt. Bedrijven zoals logistieke partners, distributiecentra en grote B2B-leveranciers zijn ideale doelwitten voor ransomware-aanvallen. Het feit dat veel bedrijven van hen afhankelijk zijn, zien cybercriminelen als hefboom en drukmiddel om losgeld te kunnen krijgen.
En succesvolle aanvallen creëren zo ook een keten van slachtoffers, waarvan sommigen zich misschien niet eens bewust zijn van hun onderlinge afhankelijkheid. Het resultaat voor jouw bedrijf kan het plotseling wegvallen van leveringen, lege schappen, boze klanten en een stevig misgelopen omzet zijn.
Sector eerst, dan de bedrijfsgrootte
De NIS2-richtlijn is van toepassing op een breder scala aan bedrijven en organisaties dan zijn voorganger. Het leidende criterium hiervoor is de sector waarin het bedrijf actief is, die is onderverdeeld in twee categorieën: essentieel en belangrijk. Dit omvat respectievelijk de volgende sectoren en industrieën (bron: PwC NL¹):
Essentiële bedrijven krijgen proactief toezicht van de autoriteiten en kunnen worden onderworpen aan verplichte rapportages, audits en peer reviews. In het geval van belangrijke bedrijven wordt dit alleen in werking gesteld als er een specifieke reden is om dit te doen. Dit kan een incident zijn of een rapport van een auditor of andere derde partij waarin wordt geconstateerd dat de compliance niet up-to-date is.
In het geval van Nederland zal de overheid je niet op de hoogte stellen als jouw bedrijf tot een van deze twee categorieën behoort. Jijzelf moet dit beoordelen op basis van de categorieën die door de EU worden verstrekt en hoe groot jouw marktaandeel is in een van deze categorieën. Een groot marktaandeel in een sector die als belangrijk wordt bestempeld, kan ervoor zorgen dat jouw bedrijf essentieel is en voor de regelgeving ook als zodanig wordt beschouwd.
Pijlers van het beleid
NIS2 legt de nadruk op de zorgplicht van jouw bedrijf en de plicht om te rapporteren. De EU-lidstaten zullen uiteraard elk hun eigen wetgeving opstellen, maar in grote lijnen richt NIS2 zich op 4 belangrijke pijlers van cyber risicobeheer:
1. Onderhoud
Het management wordt geacht op de hoogte te zijn van deze regelgeving en is verantwoordelijk voor het beoordelen en aanpakken van deze risico's. Dit vereist dat een bedrijf zijn digitale netwerk en verbindingen continu bewaakt en actie onderneemt wanneer dat nodig is.
2. Risicobeheer
Dit omvat het beperken van risico's en het minimaliseren van de impact in het geval van een incident. Heeft jouw bedrijf een draaiboek in geval van een datalek? Hoe kwetsbaar zijn de leveranciers en partners waarop je vertrouwt? Weet je wie toegang heeft tot welke gegevens en waar deze zijn opgeslagen?
3. Continuïteit van bedrijfsvoering
Hopen op het beste is geen goede strategie. Wat is de te volgen procedure als er zich een incident voordoet binnen jouw bedrijf of supply chain? Zijn er kritieke systemen of machines die operationeel moeten blijven? Wie neemt het voortouw in zo`n situatie en hoe herstellen we onze systemen? Het beantwoorden van deze vragen verlaagt niet alleen het potentiële risico van een incident, maar geeft je meer vertrouwen en veerkracht doordat je de impact ervan kunt beperken.
4. Meldplicht en rapportage
NIS2 vereist dat je, in het geval van een incident, binnen 24 uur een rapport indient bij de betreffende autoriteiten. Het is verstandig om een proces en sjabloon op te zetten voor een correct rapport, zodat je jouw tijd en aandacht kunt bewaren voor het aanpakken van het incident zelf.
De stok achter de deur
De financiële consequenties van nalatigheid of het niet naleven van de regelgeving worden ook uitgebreid. Voor essentiële bedrijven geldt een minimum van 10 miljoen euro of 2% van de totale omzet. Boetes voor belangrijke bedrijven zijn gebaseerd op een minimum van 7 miljoen euro of 1,4% van de totale omzet. Bovendien is er persoonlijke aansprakelijkheid op managementniveau als zij niet aan hun verantwoordelijkheden die voortvloeien uit NIS2 kunnen voldoen.
Bij het begin beginnen
Als je al deze nieuwe verplichtingen zo op een rijtje zet, is het makkelijk om overweldigd te raken door de hete adem van een deadline in je nek. Maar grondigheid is belangrijker dan punctualiteit. Begin met het samenbrengen van iedereen die hierbij betrokken is om een goed beeld te krijgen van jullie huidige situatie. Ga elk van de vier pijlers langs en laat anderen hun input geven. Hoe bewaken we ons netwerk en onze gegevens nu? Zijn er interne richtlijnen of draaiboeken in geval van een datalek? Welke verschillende systemen en software gebruiken we? En wie kan het beste de leiding nemen op dit gebied?
Onze tools werken alleen als we weten wat we moeten verbeteren. Dus hoe eenvoudig en alledaags het ook mag klinken om deze vragen te beantwoorden, het zijn deze belangrijke uitgangspunten die vaak over het hoofd worden gezien. In ons volgende artikel gaan we dieper in op een aantal tools die wij gebruiken om onze klanten te helpen voldoen aan deze nieuwe regelgeving.
Belangrijke opmerking en disclaimer: dit artikel is gebaseerd op Nederlandse bronnen en kan details bevatten die niet van toepassing zijn op jouw land. Dit artikel is niet bedoeld als bindend juridisch advies.
¹PwC Nederland, Risk & Regulation, "Nieuwe Europese richtlijn NIS2: strengere eisen cybersecurity"
Personal data is everywhere: on-premises and in the cloud, from file servers and databases to data warehouses and data lakes, to individual desktops and endpoints.
More Articles ...
- Raz-Lee Security Announces Major Software Upgrade for iSecurity Firewall (Nanuet, New York - September 15, 2019)
- SRC is Value Added Reseller for QuintessenceLabs - September 2019
- SRC Secure Solutions joins TecTrade for the Netherlands event of the HelpSystems Security Tour
- What Are the Top 10 Ways to Prepare for GDPR?