Bedrijven moeten van het beheer van cyberrisico’s een prioriteit maken!
In het nieuws lezen of horen we vaak dat cyberrisico’s een steeds grotere uitdaging vormen voor Belgische ondernemers. In mei 2017 vond een van de grootste cyberaanvallen ter wereld plaats met de ransomware “WannaCry/WannaCrypt”. Heel wat bedrijven en instellingen wereldwijd werden hierdoor getroffen. Ook verschillende Belgische ondernemingen kregen de vraag losgeld te betalen in ruil voor de vrijgave van hun data. De ransomware maakte ruim 200.000 slachtoffers in meer dan 150 landen, waaronder België. Er bestaan nochtans oplossingen om zich te beschermen tegen dergelijke cyberrisico’s.
"Een nulrisico op het vlak van cyberveiligheid bestaat niet”, verduidelijkt Kris Vansteenwegen, Head of Security LifeCycle Services bij NRB. “Het is dan ook belangrijk een risicobeheersingssysteem te implementeren om de impact van dergelijke aanvallen zoveel mogelijk te beperken.” Cyberrisicobeheer omvat immers een aantal stappen die het bedrijf toelaten de huidige dreigingen te kennen en hier met passende maatregelen op in te spelen. Waar komen die dreigingen vandaan? Het antwoord op deze vraag is heel eenvoudig: van een verouderde software (Windows XP bijvoorbeeld), een nieuwe technologie, een programma dat nog niet werd geüpdatet. “Maar zelfs een update van een programma om een beveiligingslacune weg te werken, kan een nieuw beveiligingsprobleem creëren dat nadien nog moet worden aangepakt”, aldus Kris Vansteenwegen. Het digitale universum is geen statische wereld waar niets gebeurd. Op de eerste plaats is het belangrijk de risico’s waaraan men wordt blootgesteld, duidelijk in kaart brengen. Dat gebeurt aan de hand van een concrete procedure: “Om een beeld te krijgen van de risico’s, moet men eerst en vooral een risicoanalyse uitvoeren en een risicoregister creëren om het huidige risicoprofiel te kennen. Op basis van dat register zal het bedrijfsmanagement beslissingen nemen: welk risico aanvaarden we? Welke risico’s moeten we beperken?” Vaak zullen die beslissingen afhangen van de onmiddellijke én de toekomstige kostprijs in geval van falen. Moeten we bijvoorbeeld ons opslagsysteem vernieuwen omdat het blootgesteld wordt aan een risico? Is de kost van het risico – als dit zich voordoet – lager dan de kostprijs voor de vernieuwing van het systeem? “Veel bedrijven houden het bij een risicoanalyse, en dat is fout”, vertrouwt Kris Vansteenwegen ons toe. “De risicoanalyse is slechts de eerste stap. Een goed risicobeheer vereist een “Risk Manager” die het risicoregister up-to-date houdt.
Bij NRB hebben we eveneens het SOC (Security Operations Center), een centrum dat bedrijfsinformatiesystemen (websites, applicaties, databanken, datacenters en -servers, netwerken, computers en andere terminals) MONITORT, EVALUEERT en BEVEILIGT. Bij de ontwikkeling van een SOC moet men rekening houden met drie belangrijke aspecten: ten eerste de configuratie van tools voor de monitoring van de beveiliging om ruwe data te ontvangen die relevant zijn voor de beveiliging, ten tweede het gebruik van deze tools om een verdachte of kwaadaardige activiteit op te sporen, en ten derde de uitvoering van een plan voor het beheer van de informatiebeveiliging.
Niet enkel de dreigingen evolueren, maar ook de hard- en software die de onderneming gebruikt. Door trends als “Bring your own device” of “Mobility” is cyberveiligheid een zorg van elke dag geworden.” De gebeurtenissen van mei dwingen de getroffen ondernemingen om strategische keuzes te maken. “Een ziekenhuis dat de computer van zijn scanner niet vervangt hoewel die op Windows XP draait, een programma dat sinds 2014 niet meer werd geüpdatet … ofwel zijn dat strategische keuzes, ofwel wijst dit op onwetendheid van het bedrijf of de instelling in kwestie. Daarom moet het risicobeheer worden afgestemd op de strategische doelstellingen van de onderneming, maar ook op haar interne middelen (assets) zoals de software, de hardware of het IT-departement.”
U zult begrepen hebben dat cyberrisicomanagement een werk van lange adem is dat in de organisatie van de bedrijven moet worden verankerd. De lacunes waar WannaCry/WannaCrypt op inspeelt, zijn al bekend sinds april 2016 en de bedrijven die werk hebben gemaakt van cyberveiligheid, werden niet getroffen door deze ransomware. “Bij NRB is de cyberveiligheid van onze klanten een strategische prioriteit en we monitoren de activiteiten constant via het SOC.” Een gewaarschuwd bedrijf is er twee waard! Totale cyberveiligheid bestaat niet, maar het risico kan worden opgespoord en gecorrigeerd wanneer dit vereist is om de continuïteit van de activiteiten van de onderneming te garanderen.