De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) heeft het Cyber Security Beeld Nederland (CSBN) 2021 gepubliceerd. Het CSBN geeft de trends, incidenten, dreigingen en uitdagingen weer op het gebied van cybersecurity binnen onze Nationale veiligheid. Wat kan jij als ondernemer met deze informatie?
Het Digital Trust Center (DTC) van het ministerie van Economische Zaken en Klimaat vat voor jou de relevante punten samen.
Weerbaarheid nog niet op orde
Als eerste signaleert de NCTV dat digitalisering sterk verweven is met de fysieke wereld. Jij als ondernemer bent ook steeds afhankelijker van de juiste werking van digitale systemen om jouw diensten of producten aan de man te brengen. Bij verstoringen zal je direct de gevolgen ervaren in jouw bedrijfsvoering. Digitale problemen vertalen zich naar echte wereld schade. De NCTV constateert daarbij dat de weerbaarheid nog niet op orde is en dat geldt dus ook voor ondernemers. Eenvoudige maatregelen zijn soms niet of te laat getroffen. Denk hierbij bijvoorbeeld aan het (tijdig) updaten van hard en software. Onder andere de Citrix (2019) en Exchange (2020) kwetsbaarheden laten zien dat lang niet iedereen op de hoogte is of tijdig de noodzakelijk maatregelen treft.
Kennisverschil in bedrijfsketen
Ten tweede constateert de NCTV dat er nog steeds een groot kennisverschil is bij organisaties op het gebied van cyber security en digitale weerbaarheid. Het mkb wordt hierbij specifiek genoemd. Binnen het mkb is er een groot verschil aan kennis, maar er ontstaan ook verschillen tussen grote bedrijven en hun partners (vaak mkb-bedrijven). Dit leidt tot problemen omdat bedrijven of organisaties in een keten zitten, waarbij een incident bij de één, impact heeft bij een ander.
Geopolitiek
De NCTV wijst op de groeiende invloed van geopolitiek. Globale spelers en overheden spelen steeds vaker een prominente rol in het debat over vrijheid, veiligheid, democratie en economie. Die beweging is voor ondernemers wellicht een ‘fact of business’. Maar toch kan je hier in jouw onderneming mee te maken krijgen. Een voorbeeld is dat bedrijven doelwit worden van spionage als ze beschikken over specifiek intellectueel eigendom.
Sabotage en ransomware
Speciale aandacht krijgt dit jaar ook sabotage en ransomware. Specifieke cybercrime zoals DDoS aanvallen, ransomware en phishing en het gebruik maken van zogenaamde leveranciersketenaanvallen (ofwel een stepping stone aanval) vertonen een stijgende lijn. Dit zijn volgens de NCTV de belangrijkste manieren waarop kwaadwillenden bedrijven en organisaties proberen te raken. Deze aanvallen leiden enerzijds tot de onbeschikbaarheid van systemen maar anderzijds ook tot het steeds vaker lekken van vertrouwelijke (persoons)gegevens.
Schade
De gevolgen voor organisaties en bedrijven zijn vaak groot. Enerzijds ontstaat er directe schade aan systemen en het missen van productie of omzet. Anderzijds zijn er ook lange termijn gevolgen voor (dreigende) boetes van toezichthouders, reputatieschade en verlies van contracten. Het is dus noodzakelijk om passende maatregelen te treffen voor de korte termijn, ten behoeve van de beschikbaarheid van diensten en het voorkomen van productieverlies, maar ook voor de lange termijn, zoals voor het behoud van reputatie, klanten en partners.
Door verregaande vervlechting van digitalisering en het steeds intensiever gebruik van digitale systemen groeit ook de schade op het moment dat een systeem door storing wordt getroffen. Voor bedrijven is het daarom van belang om na te denken over relevante maatregelen die passen in een actueel bedrijfscontinuïteitsplan.
Covid-19
Steeds vaker spelen cybercriminelen in op de actualiteit. Covid-19 was een dankbaar onderwerp voor social engineering en phishing. Deze crisis appelleerde sterk aan het (on)veiligheidsgevoel van mensen. Daarmee probeerde men mensen en bedrijven te verleiden tot het klikken op links. Ook werd er desinformatie verspreid en zijn ook bedrijven die onderdeel uit maken van bijvoorbeeld de gezondheidsketen doelwit geweest vanwege hun kennis, producten of cruciale rol in de bestrijding van de pandemie. Ook wordt er door Covid-19 veel thuis gewerkt. Digitale vergadervoorzieningen, werken-op-afstand applicaties en onderliggende netwerkmogelijkheden zoals VPN, werden daarmee ook specifiek doelwit van criminelen.
Tips en uitdagingen
De NCTV geeft een aantal concrete tips: te beginnen bij het actief blijvend nadenken over welke risico’s je loopt en de maatregelen die je neemt om die risico’s te verkleinen of te ontwijken. Zorg dus voor het verkleinen van de impact van een digitaal incident. De 5 basisprincipes van digitaal veilig ondernemen van het DTC geven hier concreet invulling aan.
In het CSBN worden de volgende uitdagingen voor organisaties genoemd:
- Weerbaarheid is een teamprestatie: samenwerking binnen een organisatie is cruciaal om te zorgen dat risico’s worden gemanaged;
- Om abstracte risico’s tastbaar te maken helpt het gebruik van scenario’s;
- Het vertalen van risico’s naar geld en beschikbaarheid helpt om risico’s met elkaar te vergelijken;
- Door te testen kom je tot inzicht in de daadwerkelijke problemen die je hebt;
- Informatiedeling met anderen is de sleutel tot het verhogen van de weerbaarheid van organisaties (twee weten meer dan één).
De NCTV schetst ook de voorwaarden waaronder deze uitgangspunten moeten worden uitgevoerd. De voorwaarden beginnen bij commitment van de bestuurders van organisaties. Zij zullen overtuigd moeten zijn van het nut van het verhogen van de digitale weerbaarheid. Om dit te bereiken moet er worden geïnvesteerd in de juiste medewerkers en (digitale) competenties. Gelijktijdig zal de overheid moeten bijdragen in de vorm van (het stellen van normen aan) de kwaliteit en veiligheid van producten en diensten.
Samenvattend
Welke lessen kunnen ondernemers leren van het CSBN 2021?
- Digitale weerbaarheid moet onderdeel zijn van je bedrijfsvoering;
- Risicoanalyse is cruciaal voor het identificeren van de terreinen waar jij maatregelen moet nemen;
- Kennis en commitment van de directie is de sleutel om daadwerkelijk veranderingen door te voeren;
- Zorg ervoor dat de juiste mensen op de juiste plek zitten;
- Bedenk dat er een reële kans bestaat dat je slachtoffer wordt. Neem daarom maatregelen die ervoor zorgen dat je snel terug kan veren bij een digitaal incident.
Veilig digitaal ondernemen met het Digital Trust Center
Het Digital Trust Center (DTC) van het ministerie van Economische Zaken en Klimaat biedt ter ondersteuning van ondernemers een breed palet aan informatie en een gereedschapskit waar jij als ondernemer uit kan putten. Denk aan producten zoals de 5-basisprincipes van digitaal veilig ondernemen, de basisscan cyberweerbaarheid, een zelftest voor je bedrijfsrisicoprofiel en verschillende informatiepagina’s over cybersecurity onderwerpen. Daarnaast werkt het DTC samen met samenwerkingsverbanden op het gebied van digitale weerbaarheid. Ben je benieuwd welke samenwerkingsverbanden er zijn en welke jou zouden kunnen helpen raadpleeg dan onze wegwijzer cybersecurityinitiatieven.