We gaan er vanuit dat ieder zichzelf respecterend ICT bedrijf dat in de supply chain bij Essentiele NIS2 certificerende bedrijven diensten verleend, de nodige adelbrieven zal moeten voorleggen. We roepen de telco’s van dit land dan ook op om het voortouw te nemen in Cybersecurity opvoeding van hun klanten.
Laat ons niet de oefening van GDPR/AVG herhalen waarbij lakse politici de verkeerde toon hebben gezet. Ze gaven aan dat ze niet streng zouden zijn op het gebied van boetes. Als het hun goed uitkwam en iemand moest politiek gestraft worden deden ze het eigenaardig genoeg wel. Google ging onder de microscoop. Bedrijven met gevoeligere informatie mogen nog steeds wat aanmodderen met onze privé gegevens. Onze buur Nederland kwam hier 10 keer beter uit de les.
Uiteraard nemen de sceptici, gevormd door een anti covid beleid opnieuw het voortouw om het gezonde verstand in de voorbereiding voor de NIS2 integratie te kelderen.
Laat u niet misleiden. Onderstaande oefening bespaart u op IT budgetten. Het zal het verschil maken of u 20 keer het budget zult moeten spenderen voor het opruimen van hacking aanvallen ten opzichte van een budget voor het doorvoeren van deze NIS2 basis regels.
- Een goede Cybersecurity cultuur start je morgen.
De eerste stap is het toewijzen van taken voor je Cybersecurity of NIS2 beleid. Bij een essentieel bedrijf is dit de allereerste grondoefening die er gemaakt dient te worden. Zo’n team bestaat uit kritische denkers in een mix met het Hoger management, het ICT management, de managers uit de productie en externe experten. Het beleid van het management is de dirigent die alle violen en muziekinstrumenten de NIS2 laat brengen zonder valse noten te produceren.
Samen met ITcursus.be zullen we een cursus starten Projectmanagement NIS2. In weze zou ieder bedrijf deze cursus moeten volgen om te zien of ze in aanmerking komen voor verplichte NIS2 certificatie en zoja het bedrijf de kans gegeven wordt om tijdig een haalbare tijdlijn op te stellen.
Indien u nog geen ISMS in werking heeft is het opzetten van een comité voor het voorbereiden van de organisatie op het integreren van een ISO 27001:2022 een oefening die op korte termijn vruchten af zal werpen. Iedere Lead auditor ISO 27001:2022 zal je policies en op maat gemaakte cybersecurity controls aanreiken en je organisatie inventariseren op gebied van hacking weerbaarheid. Hierna volgt asset beheer. Welke afweer heeft de organisatie tov de controls en zijn de policies en SOP’s toereikend. U krijgt een holistische kijk op uw digitale doolhof.
U bekijkt ook uw dataverlies maatregels vooraleer een door Europa wakker geschudde gegevensbeschermingsautoriteit dit binnenkort zal doen. Uiteraard is deze oefening ook belangrijk voor het beschermen van R&D , uw goodwill ten opzichte van uw concurrenten.
- Kennis is macht – Train uw mensen voor ze vertrekken naar concurrenten die dat wel doen.
Awareness training dient elk lid van uw bedrijf te volgen. Het testen van uw medewerkers dient op een voortdurende trend gebaseerd te zijn. Hierin worden steeds de laatste bedreigingen voorgeschoteld en gesimuleerd. Het is bewezen dat een uitgebreide 2h life training in groepen van maximum 10 personen de beste basis is.
Ook het Cybersecurity team dient niet alleen continu bijgeschoold doch ook getest te worden. Essentiele bedrijven zullen oefeningen van paraatheid en hacker weerbaarheid moeten simuleren. Dit zijn oefeningen waarbij pentesters het zware geschut bovenhalen tegen een cloon van de volledige ICT omgeving. Ten eerste is dit een goede uitwijktest, met name in welke tijd staat de ICT omgeving operationeel na een hacking waarbij de betrouwbaarheid van data en processen niet meer te waarborgen is. Wat tonen de logs? Hoe lezen we de resultaten van Mittre Att&ck? Hoe alert is het incident response team? Hoe snel gaan de digitale kroonjuwelen in afzondering?
- Het wakende oog van derden voor derden.
Als je alle CISO’s aan een tafel brengt krijg je een 100% weerbare cybersecurity strategie. De kennis die ze uit de praktijk haalden is vergelijkbaar of je een hartoperatie ondergaat door een team van eerstejaars medische studenten of een team met 3 chirurgen met meer dan 200 operaties op de teller.
Ervaren externe experten zijn niet gevoelig voor de cadeau cultuur van externe ICT dienstverleners. Ze beoordelen contracten naar hun waarde. Kijken of de incidenten tegen leveranciers eerlijk gelogd zijn. Ze vergelijken kritisch de SLA’s met de XLA die ze zouden moeten brengen.
- Maak een ‘INCIDENT response plan’
Als je digitale kroonjuwelen en hun bescherming gedefinieerd zijn en opgebouwd in 7 beveiligingslagen, dient voor elke laag een meting gebeuren door de implementatie van een soort digitale radar. Als alles goed lijkt te gaan ben je fout is de mening van ene Murphy en volgens hem moet je je dan vooral zorgen maken. Je bedrijf krijgt dagelijks TIG pogingen van hackers om bij jou zombietjes te kweken die ze kunnen inzetten voor georkestreerde aanvallen op belangrijke doelwitten, zoals onze bankinstellingen. Een goed opgezette Honeypot blijft voor mij bij voorkeur de wakende baby in huis die reageert op het kleinste digitale geluid dat een hacker maakt. Dan komt je plan in werking. Wie doet wat tegen wanneer?
- Beveilig ALLE digitale toegangen.
Begin met een hackvrije wachtwoord strategie. Adopteer een wachtwoordmanager. Gebruik minstens drie random woorden waarbij je letters logisch vervangt door cijfers en tekens. Een voorbeeld Liever Coca Cola dan Fanta wordt 713v3rC0c@C07@d@nF@nt@ waarbij een hacker minstens tot aan jou pensioen pogingen zal doen voor het achterhalen van je wachtwoord. Tenzij dit wachtwoord verloren zal gaan in een datalek, maar daar zou in wezen een goede password manager je voor moeten waarschuwen.
Uiteraard is het logisch dat je voor iedere login van een app of cloudtoegang een andere paswoordzin gebruikt.
Als volgende bescherming gebruik je hier ook een naar de regels van de kunst opgezet Multifactor systeem. Waarom regels van de kunst? Aangezien hackers er bij het achterwege laten van conditional access er wel eens in zouden kunnen slagen je SSO cookies te stelen, waarbij toegang tot bijvoorbeeld je O365 login nog eenvoudiger wordt.
- Bescherm je Endpoints
In een eerder artikel haalden we onze bewondering voor de IBM tool Reaqta al aan. Dit heeft een logische meerwaarde als aanvulling op CPA+ tools en is verplicht voor NIS2 gecertificeerde bedrijven. CPA staat voor Client patching en antivirus. Deze tool kontroleert je endpoint op Malware en of je toestel wel een goede beveiliging hygiëne bezit. Bij het uitstellen van updates wordt je toestel steevast uitgezet en voorzien van beveiligingsmaatregels van het moment.
Ook je antivirus wordt onderhouden. Reaqta als EDR (Endpoint Disaster recovery) gaat nog verder. In gebakken onder je OS kan het NANO OS niet uitgeschakeld worden. Het monitort alle fases van een aanval en logt deze.
Een spamfilter van een A-merk met ATP is ook een must voor je mail en communicatie.
Dan komen we bij de data. Implementeer een oplossing die bestanden classificeert en vervolgens encrypteert on the fly, zonder gebruikers te hinderen. Deze is in controle van het hoger management en niet van de ICT staf. Immers als deze niet beschikbaar zijn moet het management over de master keys kunnen beschikken. Anders wordt je ongewild intern het slachtoffer van cryptolocking. Deze opzet maakt voor uw bedrijf het verschil tussen je gegevens op het dark web terugvinden of niet.
We somden hier zes controle punten op die de experten je zullen helpen uitdiepen en op maat van jou bedrijf integreren. Maar wees eerlijk, als deze nu nog behandelt dienen te worden ben je heel ver van het beveiligen van je digitale kroon juwelen en nog verder van NIS2 certificatie. Tijd voor aktie.
Wordt vervolgd met het volgende en laatste deel 2
