Veelgestelde vragen cybersecurity

Bij een cyberaanval verschaffen derden zich via zwakheden in soft- of hardware ongeoorloofd toegang tot computers en computernetwerken met als doel deze te saboteren of data te stelen, wijzigen of vernietigen. Cyberaanvallen lopen uiteen van het installeren van spyware op een pc voor thuisgebruik tot pogingen om vitale systemen van hele landen aan te vallen. Afhankelijk van de motieven van de daders kunnen cyberaanvallen bedoeld zijn voor financieel gewin of bedrijfsspionage, maar ook deel uitmaken van een cyberoorlog of cyberterrorisme. Het kan zelfs simpelweg een vorm van digitaal vandalisme zijn.

Cybersecurity is de bescherming van IT-systemen (computers, data, servers, netwerken, mobiele apparaten, etc.) tegen diefstal en beschadiging van hard- en software en data en het voorkomen van verstoring van de bedrijfscontinuïteit. Cybersecurity wordt steeds belangrijker vanwege de groeiende afhankelijkheid van computersystemen, webtoepassingen, draadloze netwerken als bluetooth en wi-fi en het ‘internet of things’, waarin de meest uiteenlopende apparatuur verbonden is met het web. Volgens velen is cybersecurity een van de grootste uitdagingen van onze digitale samenleving, vanwege de technische en politieke complexiteit van het speelveld.

Kort gezegd is cybersecurity noodzakelijk om IT-systemen te beschermen tegen kwaadwillende ‘derden’ die van buitenaf toegang willen krijgen tot computers en computernetwerken. Deze digitale huisvredebreuk kan verschillende motivaties hebben. Het kan de dader te doen zijn om financieel gewin (cybercriminaliteit), informatieverzameling en politieke redenen (cyberoorlog) of om het veroorzaken van maatschappelijke onrust door vitale systemen (bijvoorbeeld de energievoorziening) te verstoren (cyberterreur). Om dit voor elkaar te krijgen wordt gebruik gemaakt van speciale software, bijvoorbeeld virussen, wormen, spyware, trojans en ransomware. Virussen en wormen kopiëren zichzelf binnen een netwerk en kunnen bestanden of systemen beschadigen. Spyware en trojans worden gebruikt om data te verzamelen en ransomware wordt gebruikt om data letterlijk te gijzelen.

Vanuit verzekeringsperspectief is cyberrisico financiële schade die ontstaat door immateriële schade aan IT-systemen, dus niet door bijvoorbeeld brand of een lekkage. De financiële schade na een cyberaanval ontstaat onder meer door verlies of beschadiging van data, (on)beschikbaarheid van systemen, bedrijfsschade, afpersing en boetes. Het Nederlandse Verbond van Verzekeraars onderscheidt drie groepen cyberrisico’s:

• Computervirus, DDos-aanval of een hack: Doel hiervan is een website zodanig te belasten dat deze onbereikbaar wordt. Dit gebeurde inmiddels bij DigiD, rijksoverheid.nl en een aantal banken.
• Menselijke fouten: Medewerkers van een organisatie kunnen (opzettelijk of per ongeluk) schade aan een computersysteem of aan data veroorzaken.
• Technisch falen van IT-systemen: Financiële schade kan ook worden veroorzaak door technische problemen van eigen of externe computers, servers, hard- en software.

De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en het Nationaal Cyber Security Centrum (NCSC) brengen elk jaar het Cybersecuritybeeld Nederland uit. Volgens de 2018-editie zijn er zes kernproblemen die elkaar beïnvloeden en samen de basis vormen onder de cyberdreigingen waarmee we te maken hebben.

1. Cyberaanvallen zijn vaak profijtelijk, laagdrempelig en weinig riskant voor daders;
2. Aanvalsmiddelen (infrastructuur, hulpmiddelen en technologie) worden door dienstverleners tegen betaling beschikbaar gesteld;
3. Onveilige producten en diensten (producenten hebben weinig economische en wettelijke drijfveren om veilige hard- en software te produceren);
4. Belangentegenstellingen leiden tot concessies: cybersecuritymaatregelen kosten tijd en geld, twee schaarse middelen die ook anders ingezet kunnen worden;
5. Door toenemende complexiteit en connectiviteit ontstaat een steeds ingewikkelder IT-landschap en dat gaat ten koste van het overzicht en dus van de weerbaarheid;
6. We zijn sterk afhankelijk van een beperkt aantal (buitenlandse) leveranciers. Die hebben veel kennis en middelen, maar vallen onder buitenlandse wetgeving en kunnen door lokale overheden gedwongen worden om mee te werken aan bijvoorbeeld inlichtingenoperaties.

Ofschoon cybersecurity hoog op de maatschappelijke agenda staat en bij veel organisaties hoge prioriteit heeft, komen datalekken en andere cybersecurity-incidenten met grote regelmaat voor. Achteraf blijkt vaak dat die incidenten werden veroorzaakt door bekende problemen en voorkomen hadden kunnen worden als bijvoorbeeld een beveiligingsupdate op tijd was geïnstalleerd. Als het gaat om cybersecurity is de verleiding groot om jezelf te verliezen in high-tech oplossingen en grootse strategieën. Als de meest fundamentele beveiligingsmaatregelen niet op orde zijn, blijft het echter vechten tegen de bierkaai. Een gedegen aanpak van cybersecurity en informatiebeveiliging begint bij basis, bij het creëren van bewustwording rondom dit thema en het invoeren van een organisatiebreed gedragen beleid en het nemen van passende maatregelen. Certificering tegen een internationale norm als ISO 27001 of, speciaal voor de Nederlandse zorgsector, NEN 7510 is daarvoor het perfecte startpunt.

Hoewel informatiebeveiliging en cybersecurity dicht tegen elkaar liggen en steeds meer onderlinge raakvlakken hebben gekregen, gaat het bij informatiebeveiliging op de eerste plaats om het geheel van maatregelen om informatie te beveiligingen. Dat kan ook betrekking hebben op het beleid van een organisatie, bijvoorbeeld op het gebied van toegangscontrole, clean desk policy, etc. Bij cybersecurity ligt de focus nadrukkelijker op de technische kant van beveiligen, zoals de juiste apparatuur, routers, software, etc. De twee ontmoeten elkaar daar waar het gaat om bijvoorbeeld het beschermen van digitale informatie en gegevensuitwisseling, hetgeen steeds vaker voorkomt.

De ISO 27001, ook bekend als NEN-ISO/IEC 27001, is een internationaal erkende norm voor data security. Organisaties kunnen met de richtlijnen en eisen uit de norm informatiebeveiliging procesmatig regelen. De ISO 27001 helpt organisaties de vertrouwelijkheid en beschikbaarheid van hun informatiehuishouding structureel aan te pakken. ISO 27001-certificering is van toegevoegde waarde voor de meest uiteenlopende organisaties, van commerciële ondernemingen en overheidsinstanties tot non-profitorganisaties en securitybedrijven.

Informatiebeveiliging en cybersecurity staat bij veel organisaties hoog op de agenda. Dat maakt ISO 27001-certificering interessant voor elke organisatie die te maken heeft met processen met financiële risico's en risico’s op het gebied van privacygevoelige informatie. Bij aanbestedingen en offertetrajecten wordt steeds vaker gevraagd naar het ISO 27001-certificaat en ook voor medewerkers is het belangrijk te weten dat hun organisatie goed omgaat met vertrouwelijke informatie.

Een informatiebeveiligingsbeheersysteem of te wel information security management system (ISMS) is een set beleidsregels en procedures voor het systematisch beheren van de vertrouwelijke en kostbare data van een organisatie. Dit doet het ISMS met een cyclus van continue verbetering (Plan-Do-Check-Act), waarin niet alleen inzichtelijk wordt gemaakt wat de risico’s zijn, maar ook dat hierop maatregelen worden genomen waarop getoetst en zo nodig bijgestuurd wordt. Een ISMS heeft als doel risico’s te minimaliseren en de bedrijfscontinuïteit te waarborgen door proactief de impact te beperken die een inbreuk op de IT-beveiliging kan hebben. In een ISMS draait behalve om gegevens en technologie ook om het gedrag en de werkprocessen van medewerkers en werknemers. De norm ISO 27001 bevat specificaties voor het maken van een ISMS. In de norm worden geen specifieke acties gedefinieerd, maar suggesties gedaan voor documentatie, interne audits, voortdurende verbetering en corrigerende en preventieve maatregelen.

De ISO 27001 gaat over het beschermen van informatie als bedrijfsmiddel. Welke informatie hieronder valt komt naar voren uit de risicoanalyse. Hierbij wordt niet alleen gekeken naar de informatie zelf, maar ook naar de onderliggende systemen om de informatie op te slaan en te verzenden. Ook de processen voor informatiebescherming kunnen, afhankelijk van de scope van de te beschermen informatie, vallen onder het ISMS.

Een proefaudit is de beste manier om te bepalen in hoeverre een organisatie voldoet aan de norm. Het voordeel van een proefaudit is dat deze op maat gemaakt kan worden voor een organisatie, waarbij er bijvoorbeeld ingezoomd kan worden op specifieke elementen of organisatieonderdelen of waarbij de verschillende normelementen stuk voor stuk getoetst worden.

Over de implementatie van een structurele aanpak van informatiebeveiliging en cybersecurity met behulp van de norm ISO 27001 publiceerde Kiwa eerder de whitepaper ‘What are the steps to become ISO 27001 certified’.

Bij een ISO 27001 audit wordt op basis van de informatie die een organisatie vooraf heeft aangeleverd beoordeeld de organisatie voldoet aan de criteria voor certificering ISO 27001. Als daarbij tekortkomingen worden geconstateerd, krijgt de organisatie de gelegenheid de processen waar nodig te verbeteren. Niet zelden wordt daarbij externe expertise ingeschakeld. Is de uitslag van het onderzoek positief, dan volgt certificering. Dat moet gebeuren door een erkende certificerende instantie.

Het ISO 27001-certificaat is 3 jaar geldig. Bij een organisatie die zich gecertificeerd heeft vinden jaarlijks controle-audits plaats.

Welke kosten gemoeid zijn met ISO 27001 certificering is vooraf moeilijk te zeggen. Dit hangt af van onder meer de scope en de grootte van de organisatie. Voor een prijsindicatie of offerte kunt u vrijblijvend contact opnemen met Kiwa’s Expert Center Cybersecurity via cybersecurity@kiwa.com of +31 (0)88 998 3020.