Let op! Sinds 1 juli 2018 zijn Insite Security en ITsec samen verder gegaan als Qbit Cyber Security .

In gesprek met security expert Erik Rutkens

Veel organisaties hebben al eens te maken gehad met een vorm van cybercriminaliteit. In veruit de meeste gevallen gaat het om een aanval met ransomware, phishing-e-mails of DDoS. Axians vroeg Erik Rutkens, directeur van Insite Security en verantwoordelijk voor Strategie & Innovatie, waar de gevaren liggen en wat organisaties kunnen doen om zich hiertegen te beschermen.

Vitale infrastructuur datacenter

Door: Stefan van Dorst en Jordi Smit van Axians

Eind januari werden Rabobank, ABN Amro, ING en de Belastingdienst slachtoffer van een DDoS-aanval, waardoor hun websites tijdelijk onbereikbaar werden en een deel van het betalingsverkeer stil kwam te liggen. In mei 2017 vond de wereldwijde WannaCry aanval plaats, waarbij binnen een paar uur tijd tienduizenden systemen wereldwijd werden geïnfecteerd en onder meer ziekenhuizen, fabrieken, geldautomaten en parkeergarages ‘plat’ gingen.

Erik: “Ik verwacht dat we in 2018 nog meer van zulke impactvolle aanvallen krijgen. Sterker nog, ik denk dat WannaCry en Petya nog maar het begin waren. Mijn voorspelling – en die van velen met mij – is dat het internet in zijn huidige vorm zal eindigen in een wereldwijde oorlog en uiteindelijk zal ophouden te bestaan. In de tussentijd zal waarschijnlijk een betere en vooral veiligere versie van het internet worden gebouwd. De vraag is: wat kunnen we tot die tijd doen om te overleven in die rauwe, deels wetteloze wereld van het internet?”

Cybercrime kost jaarlijks wereldwijd meer dan 500 miljard dollar. Je zou verwachten, zeker gezien de genoemde voorvallen en bedragen, dat security hoog op de agenda staat bij elke directie. De vraag is of dit ook daadwerkelijk zo is. Vaak wordt security gezien als iets van de IT-afdeling, want het gaat over ‘techniek’.

“In de praktijk zien we dat security steeds hoger op de bestuurlijke agenda komt te staan. De introductie van de Wet meldplicht datalekken en de Algemene Verordening Gegevensbescherming (AVG) dragen hieraan bij. Desondanks geeft het Nationaal Cyber Security Centrum (NCSC) aan dat de weerbaarheid van organisaties in Nederland achterblijft bij de groei van de dreiging.

Informatiebeveiliging is lang een stoffig onderwerp geweest. Security professionals verdedigden zich vaak met de opmerking: informatiebeveiliging is niet sexy, maar wel heel belangrijk. Bestuurders moesten echt overtuigd worden van het belang ervan. Het meest voorkomende argument om iets aan informatiebeveiliging te doen was vaak het ‘cover your ass’-principe. Met andere woorden: bedrijven zagen investeren in security als een verzekeringspolis. Maar de wereld verandert snel en daarmee komt security hoger op de agenda. Bestuurders bellen diezelfde security professionals tegenwoordig zelf op met de vraag: ‘Kun je me helpen? Zo’n DDoS-aanval wil ik niet!’ Toch komen we ook nog steeds bestuurders tegen die zeggen ‘dat overkomt ons niet’, of ‘wij zijn toch niet interessant’.”

Kun je je verzekeren tegen cyberaanvallen?

“Er komen steeds meer cybersecurity verzekeringen. Een cyberverzekering verzekert onder andere tegen de gevolgen van hacking, zoals verlies van data, inbreuk op systemen en bedrijfsstilstand. Tevens geeft deze verzekering een vergoeding van kosten voor crisismanagement en de inzet van ICT-specialisten. In de praktijk zien we dat de voorwaarden en kosten van dergelijke verzekeringen nogal uiteenlopen.
Maar het belangrijkste is en blijft om een aanval zoveel mogelijk te voorkomen en indien je toch getroffen wordt de schade te beperken. Dat kan door een proces in te richten om risico’s te identificeren, dreigingen en incidenten te ontdekken en vervolgens hierop te reageren door de oorzaak weg te nemen.”

Welke securityvraagstukken komen jullie vandaag de dag het vaakst tegen?

“Op dit moment krijgen wij veel verzoeken van organisaties om ze te ondersteunen bij het voldoen aan de AVG. Daarnaast zijn steeds meer organisaties bezig om het beveiligingsbewustzijn, de awareness, van medewerkers te vergroten. Ook de vraag naar de beveiliging van IoT-devices neemt toe. Tot slot krijgen we veel verzoeken om te helpen na incidenten. De meest voorkomende incidenten zijn phishing, ransomware en hacks waarbij data is ‘gelekt’.”

Is dat ook waar het werkelijk om gaat?

“Met uitzondering van de AVG, ja. De aandacht voor de AVG vind ik een modeverschijnsel. Feitelijk is in Nederland de wijziging ten opzichte van de bestaande wet- en regelgeving niet zo groot. De AVG ligt in het verlengde van de Wet bescherming persoonsgegevens en de Wet meldplicht datalekken. Alleen vanwege de mogelijke boetes is er nu ineens zoveel aandacht. Als blijkt dat er straks, net als met de huidige wet- en regelgeving, niet of nauwelijks wordt gehandhaafd, verslapt de aandacht heel snel. De mens is de maat van alle dingen.”

Is daar ook een verschuiving in opgetreden ten opzichte van vorig jaar of vorige jaren?

“De AVG zet het thema security weer opnieuw op de kaart. De markt wordt door alle incidenten versneld volwassen en begint zich te realiseren dat security van levensbelang is. Bewustzijn is hiervoor een randvoorwaarde. De verschuiving is dat bedrijven in veel gevallen niet meer bezig zijn met ‘cover you ass’ maar dat ze intrinsiek gemotiveerd zijn.”

Wanneer is een organisatie het kwetsbaarst?

“Organisaties zijn het kwetsbaarst als ze cybersecurity niet serieus nemen of onderschatten.”

Security richt je niet eenmalig in, maar is een continu proces. Wat houdt dit in?

“Het proces bestaat uit het identificeren van risico’s, het ontdekken van dreigingen en/of incidenten en het nemen van actie. Natuurlijk is het belangrijk om – indien mogelijk – de oorzaak weg te nemen en de schade te herstellen.”

Security Check

De Security Check onderzoekt de werking van de technische en organisatorische beveiligingsmaatregelen en kijkt naar hoe uw medewerkers daarmee omgaan. De uitvoering van deze Security Check doet Axians in samenwerking met Insite Security.

 

Informatie aanvragen

Meer artikelen

Bekijk al het nieuws