Belt jouw bedrijf de hulplijn bij cyberongevallen of investeerde ze al in cybersecurity?

Docent en Informatieveiligheidsconsulent/Data Protection Officer (DPO) Ivan Verstraeten van de gloednieuwe opleiding Cybersecurity engineer geeft tekst en uitleg over de nood aan cybersecurity en hoe je als bedrijf datarisico’s tot een minimum kan beperken. We stelden Ivan enkele prangende vragen. 

Wat doet een cybersecurity engineer precies? Is dit vb. iemand die hacking technieken herkent en deze zelf ook kan uitvoeren? 

Security engineering is een breed begrip. Security engineers zorgen er voor dat incidenten inzichtelijk worden en bedrijven een grip kunnen krijgen op kwetsbaarheden, de beveiliging van eindtoestellen en applicaties. In vergelijking met een ethisch hacker heeft een security engineer een andere rol en takenpakket, wat niet wegneemt dat vertrouwdheid met de aanvalstechnieken en methodologie van al dan niet ethische hackers nodig is.

Wat moet je doen als je als KMO een datalek hebt en je op dit moment nog geen actieplan in huis hebt? 

Elk datalek is anders en wat men precies moet doen, hangt af van de risico’s en hun daadwerkelijke impact op de organisatie, de klanten en andere relaties. Om een voorbeeld te geven, de impact bij een ransomware aanval is doorgaans groter dan bij een email die naar een verkeerde bestemmeling werd gestuurd, wat strikt gezien ook een soort datalek is. Maar wat als die email opzettelijk bedrijfsgeheimen of klantenlijsten bevat?
Als je nog geen actieplan hebt dan zijn er minstens drie eerste stappen die je kan nemen om de gevolgen van een incident te beperken zijn: isoleer de geïnfecteerde computers, zoek naar sporen en herstel het systeem.  
Om de impact van een datalek te begrijpen werk je best samen met een deskundige waarop je kan vertrouwen. Die kan de impact van een datalek helpen inschatten, eventuele meldingen helpen in orde brengen en op een adequate manier helpen reageren. Indien je een cyberverzekering hebt, dan is het nuttig om de verzekeraar te informeren. Afhankelijk van de polis zal die een derde inschakelen om het incident af te handelen.

Tegenwoordig wordt de digitale infrastructuur van organisaties continu aangevallen. Naast de infra, zijn medewerkers ook een steevast doelwit. Aanvallers proberen daarbij kwetsbaarheden in de infrastructuur en applicaties uit te buiten en/of logingegevens van medewerkers te bekomen. Uit ervaring komen beide soorten aanvallen systematisch voor en kunnen een aanzienlijk impact hebben. 

Is er een hulplijn voor cyberaanvallen? Of welke instanties kun je daarvoor contacteren? 

Een cyberaanval kan gemeld worden bij CERT.be waar ook ondersteuning gevraagd kan worden. Daarnaast raadt CERT.be aan om aangifte te doen van computercriminaliteit bij de lokale politie. Enkele voordelen van een melding bij de politie zijn: je wordt erkend als slachtoffer en je kan bepaalde rechten doen gelden. Het proces om een vergoeding te bekomen via verzekering wordt in gang gezet en afhankelijk van de uitkomst van het onderzoek naar de daders, heb je de kans om verdere juridische stappen te ondernemen zoals een schadevergoeding eisen. Voor de volledigheid is in sommige gevallen een melding verplicht bij de Gegevensbeschermingsautoriteit (GBA) en andere toezichthouders afhankelijk van de sector.

Heb je het gevoel dat de cybersecurity trein al op dezelfde snelheid zit als de digitaliseringstrein? 

Ik deel dat gevoel nog niet helemaal. Cybersecurity is de laatste jaren een prominent onderwerp geworden, maar de aandacht voor cyber vertaalt zich niet noodzakelijk in de nodige investeringen en inspanningen op het vlak van cyber bij digitaliseringsprojecten. Welk deel van het budget van het digitaliseringsproject voorziet men gemiddeld voor cybersecurity, security testen en code review? Met de komst van de NIS2 regelgeving (dit jaar in werking getreden EU-brede wetgeving inzake cyberbeveiliging)  verwacht ik dat deze de cybersecurity trein verder op snelheid zal brengen.

Hoe gaat u om met aanvallen? 

Gestructureerd omgaan met aanvallen betekent een incident response plan voorhanden te hebben. Zo’n plan laat toe om rekening te houden met de stakeholders binnen en buiten de organisatie en tijdig de juiste betrokkenen in te schakelen zoals het management, IT-teams en bijvoorbeeld HR als het een aanval door een insider betreft. 
Eens een aanval op gang is, volgt men meestal drie fasen. Eerst detecteert men de aanval en volgt een analyse, daarna volgt de isolatie en eliminatie fase om de impact van de aanval te beperken. Verder volgt de herstelfase en last but not least is er de nabespreking waarbij men lessen trekt. Voorbeelden van concrete lessen zijn: de medewerkers hebben meer gerichte awareness training nodig. Het patchen van de infrastructuur en applicaties loopt achterop, waardoor aanvallers de bovenhand krijgen. Met dergelijke informatie kan men zich beter voorbereiden op de volgende aanval en daarmee is de incident cyclus rond.

Kan je een aanval helemaal niet voorkomen? Of gaat het voornamelijk om damage control?

Kwaadwillende aanvallers zoeken in de eerste plaats naar zogenaamd laaghangend fruit. Dat zijn manieren om vlot en gemakkelijk toegang te verkrijgen, gegevens te stelen en daaropvolgend die toegang of gegevens te verkopen. 
Door gepaste controls te implementeren wordt het voor zo'n aanvallers moeilijker om in te breken, maar niet onmogelijk. Controlemaatregelen zijn doorgaans een weerspiegeling van de risico's die organisaties identificeren. Maar wat met de blinde vlekken en de nog onbekende risico's? Wat met aanvallers die zich op lange termijn blijven inspannen en kwetsbaarheden vinden die tijdens een security test van een aantal dagen of weken niet werden opgemerkt?  In dat kader is het belangrijk om enerzijds goed voor te bereiden door de gekende risico’s te behandelen en anderzijds een geactualiseerd continuïteitsplan en disaster recovery plan te hebben voor wanneer de aanval onvermijdelijk was.

Welke tips & tricks krijgen medewerkers in uw bedrijf en/of geeft u andere bedrijven? 

Zonder te spreken namens mijn bedrijf ga ik graag in op de algemene aanbeveling om processen te voorzien om medewerkers van bij de aanstelling tot aan de offboarding attent te maken van het belang van security. 
De tips hangen af van de maturiteit van een organisatie. Een groter bedrijf heeft niet noodzakelijk op elk vlak een betere cybersecurity maturiteit dan een klein bedrijf dat al enige tijd capaciteit opbouwt om zich beter te beschermen tegen cyberdreigingen. Zo kan de awareness van de medewerkers van een groot bedrijf matig zijn en dit terwijl een grote organisatie veel meer kan investeren in geavanceerde technologieën die voor een KMO niet bereikbaar zijn.
Gemiddeld zal de cybermaturiteit van een KMO wellicht lager liggen door factoren zoals beperkte toegang tot expertise, informatie en resources. Tips en maatregelen moeten dan ook op een gepaste manier geformuleerd om rekening te houden met de werkingsmiddelen, kennis en maturiteitscontext.

Gelet op de doorgedreven digitalisering, zijn moderne bedrijfsprocessen ongeacht de bedrijfsgrootte steeds meer afhankelijk van digitale oplossingen. Zodra men als organisatie zelf applicaties ontwikkelt of aanbiedt aan klanten is het minstens aangewezen om met een cybersecurity engineer samen te werken om na te gaan of de applicaties en de infrastructuur waarop die applicaties berusten, voldoende afgeschermd zijn.
Dit neemt niet weg dat organisaties die enkel oplossingen van derden aankopen en dus zelf niets ontwikkelen ook een samenwerking met een cybersecurity engineer kunnen aangaan om na te gaan of de bedrijfsgegevens in oplossingen van derden de nodige bescherming genieten. Een dergelijke samenwerking is des te meer zinvol bij kleine organisaties met een beperkte cybersecurity kennis.

 

Voor meer informatie omtrent de opleiding Cybersecurity engineer kan je terecht bij:
Elisabeth Landuyt | Product manager ICT & media

Bekijk ook de opleidingen cloud engineer, data scientist, data analist én low code programmeur.