6. Beveiliging van netwerk- en informatiesystemen

Veel bedrijven en organisaties gebruiken netwerk- en informatiesystemen voor hun primaire bedrijfsprocessen. Dat maakt organisaties afhankelijk van deze systemen. Als je niet meer bij de informatie op je systemen kunt of de informatie ligt op straat, dan kan dit grote gevolgen hebben voor de organisatie.

Beleid en procedures over hoe er wordt omgegaan met netwerk- en informatiesystemen, zorgen ervoor dat er passende maatregelen genomen worden waar dat relevant is.

Beleid voor netwerk- en informatiesystemen

In de NIS2-richtlijn staat dat een organisatie beleid over de beveiliging van het verwerven, ontwikkelen en onderhouden van het netwerk moet hebben. Daarnaast moet de organisatie ook beleid hebben over hoe het met kwetsbaarheden omgaat.

Beleid over de beveiliging van netwerk- en informatiesystemen gaat over een groot aantal onderwerpen. Hieronder wordt een aantal onderwerpen behandeld, waar een organisatie tenminste beleid, processen en procedures voor moet hebben.

  • Netwerkbeveiliging

    Een organisatie moet beleid hebben over hoe het bedrijfsnetwerk is ingericht en welke veiligheidsmaatregelen zijn toegepast. Monitoring is een belangrijke component van je netwerkbeveiliging. Dat stelt je in staat om ongewenste activiteit waar te nemen en op te handelen waar nodig. Bovendien is het belangrijk dat de architectuur van je netwerk op een begrijpelijke manier gedocumenteerd is en actueel wordt gehouden.

    Daarnaast moet een organisatie maatregelen treffen ter beveiliging van het bedrijfsnetwerk tegen ongewenst verkeer van buiten. Denk hierbij bijvoorbeeld aan een firewall of datadiode. Je kan bijvoorbeeld een beleidsmatige keuze maken of je alleen beheerde apparaten op het netwerk toestaat, of ook ruimte geeft aan een 'Bring Your Own Device' (BYOD).

    We raden aan om bij de inrichting van het bedrijfsnetwerk netwerksegmentatie toe te passen. Netwerksegmentatie bemoeilijkt in de basis dat een virus of aanvaller zich kan verspreiden binnen jouw bedrijfsnetwerk. Dit gebeurt door het scheiden van belangrijke informatie en systemen. Daarnaast is het verstandig om het netwerk te beschermen tegen ongeautoriseerde software en ongeautoriseerd gebruik van de zakelijke devices. Beiden kunnen schadelijk zijn voor het netwerk. Beperk het aanvalsoppervlak adviseert het Nationaal Cyber Security Centrum (NCSC).

NIS2-zorgplicht

In de Europese NIS2-richtlijn wordt gevraagd naar beleid voor netwerk- en informatiesystemen. Dit staat in artikel 21 lid 2 sub e van de NIS2-richtlijn.

 

Bereid je voor op de NIS2

Voor de voorbereiding op de Cyberbeveiligingswet die voortkomt uit de NIS2-richtlijn, vind je hier suggesties, handvatten en aandachtspunten. Omdat de zorgplichtmaatregelen nog niet zijn uitgewerkt in de regelgeving, baseren we de suggesties, tips en handreikingen op wat er gangbaar is in de cybersecuritypraktijk. Het uitvoeren of volgen ervan vergroot de cyberweerbaarheid van je organisatie, maar het is geen garantie dat je organisatie al voldoet aan komende wetgeving.

  • Configuratiemanagement

    Er is ook beleid nodig voor het juist instellen of configureren van het bedrijfsnetwerk, systemen, hardware en software. Zo kun je bijvoorbeeld in procedures opnemen dat je een standaardwachtwoord van een nieuwe router altijd verandert en dat onnodige opties uit staan. Het proces waarbij je overbodige functies uitschakelt, is onderdeel van 'hardening'. De Informatiebeveiligingsdienst (IBD) heeft handreiking voor hardening gemaakt. Daarnaast heeft de IBD een factsheet Configuratiemanagement die voor meer organisaties dan gemeenten nuttig is. De basisbeveiliging van routers kan ook relevant zijn.
     

  • Change management

    Het doel van change management is om beleid te beschrijven hoe de organisatie omgaat met het implementeren en bewaken van veranderingen, reparaties en onderhoud. Een procedure moet ervoor zorgen dat een organisatie een consistent proces heeft. In het change managementproces moeten tenminste de volgende punten terugkomen:

    • Aanvraag voor de verandering;
    • Mogelijke risico’s en impact van de verandering;
    • Criteria voor de prioritering van veranderingen en vereisten voor uitvoeren van testen voordat de verandering plaatsvindt;
    • Vereisten voor roll-backs. Een roll-back is het proces van het ongedaan maken van de verandering en het terug te brengen naar de versie van voor de verandering;
    • Logging van de veranderingen.

Kies voor veilige instellingen

Een veilig netwerk biedt voldoende bescherming voor aanvallen van buitenaf en lekken van binnenuit. Maak daarom zorgvuldige afwegingen hoe je je netwerk, NAS-apparaat, routers en firewalls configureert. 

Vertel het ons:
  • Patch management

    Om minder kwetsbaar te zijn is het belangrijk om zo snel als mogelijk beveiligingsupdates ('patches') te installeren. Dit is één van de basisprincipes van veilig digitaal ondernemen. Met beveiligingsupdates verbeteren producenten de software van hun producten en worden beveiligingslekken gedicht. Met het updaten van software verhoog je de digitale weerbaarheid van de software.

    In het patch managementbeleid beschrijf je onder welke voorwaarden een beveiligingsupdate geïnstalleerd wordt nadat het beschikbaar is gekomen. Welke systemen update je meteen? En welke (soort) kwetsbaarheden kunnen wachten op het vaste moment in de week of maand? In je patchbeleid leg je deze procedures vast. Als basis kun je dit voorbeeld van een patchbeleid gebruiken.

    Het is verstandig om patches voorafgaand aan installatie op de productieomgeving te testen in een testomgeving. Check de patches ook op integriteit en betrouwbaarheid. Wanneer een patch wel beschikbaar is, maar niet wordt doorgevoerd, leg dan vast wat de reden van je besluit is. Het is verder aan te raden om bij het implementeren van patches, de hierboven beschreven proces van het change managementproces te volgen.

    Let op: Het kan zijn dat hard- en softwareproducten in jouw netwerk End-of-Life (EoL) zijn. Dit houdt in dat producten niet meer worden gepatcht, ook als er kwetsbaarheden gevonden worden. We adviseren ook om een beleid te hebben voor het omgaan met EoL-producten.

    Leestip: Zicht op risico's van legacy-systemen (NCSC)

Tip: Voorbeeld van een patchbeleid 

In een patchbeleid breng je in kaart welke apparaten en software je voorziet van (beveiligings)updates. Hoe en wanneer je dit uitvoert. Gebruik het handige template als basis om snel een eigen patchbeleid op te baseren.

  • Vulnerability management

    Elke dag worden er nieuwe kwetsbaarheden in software bekend gemaakt. Als organisatie wil je het weten als er een beveiligingslek is in de software die je gebruikt. Daarom wil je dit monitoren. Het monitoren van de kwetsbaarheden kan je zelf bijhouden van de producten die je hebt afgenomen bij een leverancier. Je kunt hierbij ondersteund worden door de rss-feed van de beveiligingsadviezen van het Nationaal Cyber Security Centrum (NCSC). Je kunt je ook laten informeren door de DTC Community. Hier wordt kennis en informatie gedeeld onder meer over ernstige kwetsbaarheden in veelgebruikte bedrijfssoftware.

    Daarnaast moet er een procedure zijn om de impact van een kwetsbaarheid op de organisatie te beoordelen en om mitigerende maatregelen te treffen. Als onderdeel van vulnerability management kun je een beleid voor coordinated vulnerability disclosure (CVD) of responsible disclosure opstellen.
     

  • Secure Development Life Cycle

    Beleid op Secure Development Life Cycle heeft als doel dat de ontwikkeling van software en systemen op een veilige manier plaatsvindt en dat veiligheid in elke ontwikkelfase integraal meegenomen wordt. Dit houdt tenminste in dat de ontwikkelomgeving beveiligd wordt en dat de organisatie de software en systemen in een vroegtijdig stadium test op kwetsbaarheden. Dit wordt security by design genoemd. Hoe eerder je kwetsbaarheden vindt, hoe sneller het meegenomen kan worden in de ontwikkeling. Verder is het aan te raden dat een organisatie de principes van secure coding hanteert in de ontwikkelfase.

  • Inkoopbeleid

    Een mogelijk risico is dat nieuwe kwetsbaarheden of onjuist geconfigureerde netwerk- en informatiesystemen in de organisatie worden gebracht tijdens het inkoopproces. Organisaties zouden daarom in hun aanbestedings- of inkoopproces aandacht moeten geven aan cybersecurity om eventuele risico’s in een vroeg stadium te kunnen verminderen. Je kunt denken aan tenminste de volgende dingen:

    • het meenemen van beveiligingseisen in het 'programma van eisen';
    • garantie op beveiligingsupdates;
    • een handleiding of training over de juiste configuratie-instellingen.

Een Responsible Disclosure-beleid in 5 stappen

  1. Maak afspraken over wie waar verantwoordelijk voor is. Vergeet hierbij het management niet;
  2. Maak een lijst van belangrijke IT-systemen en leveranciers;
  3. Gebruik security.txt om aan te geven waar kwetsbaarheden gemeld moeten worden;
  4. Maak werkafspraken over hoe je omgaat met meldingen;
  5. Ga aan de slag! En blijf testen of je responsible disclosure-beleid werkt.

Operational Technology

Operational Technology (OT) is een verzamelnaam voor verschillende systemen die worden gebruikt voor het beheer van operationele processen in de fysieke wereld zoals het aansturen en monitoren van (industriële) apparatuur. OT-apparatuur zoals robots, beveiligingscamera's, kassasystemen, spelen een grote rol in verschillende industrieën en sectoren. Je komt het veel tegen in de maakindustrie, chemie, waterschappen, transportsector en energiesector.

OT-systemen worden steeds vaker aan het internet verbonden. Hoewel dit ervoor zorgt dat het gemakkelijker is om OT-systemen op afstand te beheren, brengt deze benaderbaarheid via internet ook risico’s met zich mee. Mochten de maatregelen onvoldoende zijn, dan biedt dat ruimte aan onbevoegden om hier misbruik van te maken en daarmee toegang te krijgen tot je OT-systemen. Lees een aantal tips voor de beveiliging van je OT.

Leunt je bedrijfsproces sterk op OT, ICS of SCADA? Doorloop dan eens de Security Check Procesautomatisering om te zien hoe het gesteld is met je OT-security. Of ga direct aan de slag met je OT- of ICS-beveiliging.

Luchtvaart of Maritiem?

Voor bedrijven die in luchtvaart of maritieme sector opereren bevat de Handreiking Risicobeheer OT alle stappen voor risicobeheer in OT die helpen om cybersecurityrisico's te identificeren en vervolgens te mitigeren naar een acceptabel niveau.

Tip: Hoe kwetsbaar zijn je OT of ICS?

Doe de Security Check Procesautomatisering en ontdek hoe het het de veiligheid van je OT of ICS gesteld is. Ontvang een praktische lijst met maatregelen die passen bij jouw organisatie.

Breng je netwerk in kaart

Na het opstellen en vaststellen van een beleid voor de beveiliging van de netwerk- en informatiesystemen van jouw organisatie, kun je het netwerk in kaart brengen. Alleen als je het netwerk kent en begrijpt, kun je de juiste afwegingen maken om de digitale weerbaarheid van deze systemen te verbeteren. Er zijn handige tools om je hierbij te ondersteunen. Je kunt dit ook zonder tooling bereiken wanneer je de volgende stappen doorloopt:

  1. Maak allereerst een weergave van jouw netwerk. Op deze weergave moeten alle IT-assets komen te staan, ook bijvoorbeeld IoT-apparaten;
  2. Breng in kaart wat het doel is van de verschillende systemen;
  3. Bepaal welke netwerk- en informatiesystemen afhankelijk van elkaar zijn;
  4. Zoom daarna in op welke systemen in jouw netwerk zitten;
  5. Verwerk in je weergave de details van ieder systeem en device. Bijvoorbeeld welke OS-versie een component heeft;
  6. Bepaal welke fysieke dreigingen er zijn voor een netwerk;
  7. Als je de weergave hebt gemaakt, beoordeel dan waar je belangrijke informatie zit binnen jouw netwerk;
  8. Als laatste breng je de informatiestromen tussen verschillende netwerkcomponenten in kaart.

Heb je dit alles gedaan, dan heb je een goed beeld van je netwerk en is het mogelijk om te beoordelen of het voldoet aan het gestelde netwerkbeveiligingsbeleid van jouw organisatie.

Tip: Kwetsbaarheden Analyse Tool (OpenKAT)

Het Ministerie van VWS heeft de Kwetsbaarheden Analyse Tool (KAT) ontwikkeld en deze open source beschikbaar gesteld. OpenKAT scant netwerken, analyseert kwetsbaarheden en maakt toegankelijke rapportages.

7. Beveiliging van de toeleveranciersketen

"De keten is zo sterk als de zwakste schakel." Een bekende metafoor die zeker in cybersecurity opgaat. Bedrijven zijn vaak afhankelijk van de (deel)producten of diensten van toeleveranciers. Als bedrijven digitaal met elkaar verbonden zijn, krijgt de afhankelijkheid nog een andere dimensie. 

8. Gebruik van cryptografie en encryptie

Cryptografie is de techniek van het coderen of decoderen van gegevens zodat alleen bevoegden de gegevens kunnen lezen. Het vormt de basis om de vertrouwelijkheid en integriteit van je gegevens te beschermen. Met encryptie versleutel je gegevens op basis van een cryptografisch algoritme. 

9. Gebruik multifactorauthenticatie (MFA)

Gebruik MFA en andere beveiligde communicatie. Voor veilige bedrijfsprocessen is het nodig dat gebruikers, apparaten en andere activa worden geauthentiseerd door middel van meerdere authenticatiefactoren of continue authenticatiemechanismen om toegang te krijgen tot netwerken en informatiesystemen.