Bewustwording is de weg naar succes!

Zolang je niet bewust bent van het onbewuste blijf je als organisatie verhoogd risico lopen op cybercriminaliteit. Het is geen overbodige luxe meer om te investeren in opleidingen om medewerkers bij te scholen over bedreigingen die ontstaan door digitalisering. Zo is in het weekend van 13 mei '17 de hele wereld overspoeld met berichten over schade die het WannaCry-virus heeft veroorzaakt. Dit virus zat vaak verstopt in een e-mail. In dit geval kon de Ransomware (gijzelsoftware) zich ook verspreiden via bedrijfsnetwerken door gebruik te maken van een foutje in Windows.

De mens als zwakste schakel
De mens wordt vaak gezien als de zwakste schakel door hackers. Tijdens mijn studie hebben wij meerdere projecten uitgevoerd om dit op de proef te stellen. Zo is het gelukt om op 7 december '16 medewerkers van een organisatie te misleiden door een e-mail te sturen met een hyperlink naar een zogenaamde pagina met foto's van het sinterklaasfeest. Op een nagemaakte website werd gevraagd om in te loggen. Helaas zijn hier genoeg mensen in getrapt. Dit project was overigens in opdracht van het directieteam van de organisatie in kwestie.
Als organisatie moet je er natuurlijk alles aan doen om het bedrijfsnetwerk goed te beveiligen. Dat kan bijvoorbeeld door geavanceerde tools in te zetten zoals firewalls, antivirussoftware, IDS, monitoring software, enzovoort. Een hacker zal proberen deze laag van beveiligingsmaatregelen te omzeilen door misbruik te maken van naïviteit van mensen. Deze methode heet Social Engineering in de wereld van cybercriminaliteit.

Defence in depth
Net als in het voorbeeld van het WannaCry-virus is het beveiligen volgens de 'Defence in depth' methode (beveiligen in meerdere lagen) niet altijd voldoende. Ransomware verstopt in een e-mail die door een medewerker wordt geopend, kan er toe leiden dat cybercriminelen toegang hebben tot het bedrijfsnetwerk. De uitdaging voor gemeenten is op dat moment de beveiliging van specifieke informatiesystemen met persoonsgegevens goed geregeld is om de schade te beperken. Denk aan standaard accounts, wachtwoord hashing, parameters, publiekelijk bekende kwetsbaarheden, enzovoort.

De BIG en AVG
Datalekken helemaal voorkomen gaat lastig worden. Om gemeenten op weg te helpen met informatiebeveiliging zijn verschillende instrumenten ontstaan. De Informatie Beveiligingsdienst (IBD) heeft bijvoorbeeld de Baseline Informatiebeveiliging Nederlandse Gemeenten ontwikkeld. De Autoriteit Persoonsgegevens doet er ook alles aan om praktische documenten te ontwikkelen om organisaties op weg te helpen als het gaat om AVG.
Om de BIG ook daadwerkelijk in gebruik te nemen is een behoorlijke inspanning vereist. Via de website van de IBD vind je maar liefst 68 documenten, 133 controls en 303 maatregelen waar een gemeente mee aan de slag kan. Dit zijn generieke maatregelen die je als gemeente zelf specifiek moet maken en dus moet vertalen naar concrete maatregelen in de technische systemen waar de data in staat. Deze vertaalslag is erg lastig en vergt een grote inspanning.

Wees bewust van de beveiligingsrisico's
Met onze nieuwe dienstverlening 'Security & Health check' wordt de BIG compliancy getoetst. Per platform hebben we een framework ontwikkeld van BIG controls die vertaald zijn naar technische checks binnen het specifieke informatiesysteem. Hierdoor kunnen we punt voor punt aangeven of het systeem voldoet aan de BIG norm inclusief mogelijke impact en risico’s hiervan (bewustwording).
Bovendien rapporteren we wat de oplossing is om de risico’s te beperken. Op basis van de resultaten in het rapport is jouw gemeente in staat om passende technische en organisatorische maatregelen te nemen en volledig BIG compliant te zijn.

Ben je benieuwd hoe jouw gemeente ervoor staat?
Leer meer over ons self-assessment en meld je aan voor mijn webinar!
Dinsdag 13 juni 
10.00 - 11.00 uur

Tot dan!
Ali Cifci, Technisch Consultant Informatievoorziening