NCSC Beveilingsadviezen

AI in Cybersecurity

Sat, 05 Oct 2024 16:22:13 GMT

AI in Cybersecurity

Auteur : Tim Fitters (IT Risk & Compliance Consultant)

In onze moderne, verbonden digitale wereld zijn digitale gegevens belangrijker dan ooit. We gebruiken ze voor werk, communicatie en zelfs voor onze gezondheid. Dit maakt het nodig om goede beveiligingsmaatregelen te nemen. Organisaties hebben te maken met veel verschillende risico's en uitdagingen. Cyberaanvallen, zoals phishing, diefstal van data en hacks, worden steeds geavanceerder en gevaarlijker, bijvoorbeeld de phishing aanvallen die steeds moeilijker te herkennen zijn. Hierdoor zijn niet alleen de ‘grote bedrijven’, maar ook mkb-bedrijven en personen kwetsbaar voor deze bedreigingen. Daarnaast vormen insider threats, waarbij kwaadwillende werknemers of onwetende medewerkers schade toebrengen, ook een groot risico voor de cybersecurity van organisaties. De groei van Internet of Things (IoT)-apparaten en cloud computing brengt ook weer nieuwe gevaren met zich mee en maakt het moeilijker om cybersecurity goed te beheren.

Al met al, weer voldoende stof tot nadenken. Want hoe kunnen we ons beter wapenen tegen deze bedreigingen? Nou, zoals AI een steeds grotere rol gaat spelen in onze ‘normale’ werkzaamheden, kan AI ook helpen bij het verbeteren van je cybersecurity. Onderzoeken van bijvoorbeeld Fnu Jimmy. (2021) en Jada et al. (2024) laten zien dat AI helpt om de cybersecurity te verbeteren door bedreigingen sneller te herkennen en sneller te reageren. Hierdoor is AI een bruikbaar hulpmiddel geworden in het verbeteren van de cybersecurity en daarmee de strijd tegen cybercriminelen! Zoals met vrijwel alles: AI biedt veel voorbeelden voor je beveiliging, er zijn ook nadelen of zoals we ze liever noemen ‘uitdagingen’ die er bij komen kijken.

AI-methoden vs. traditionele methoden

Volgens Jada et al. (2024) is het belangrijk om het verschil te begrijpen tussen AI-methoden en de ‘traditionele’ (cyber)beveiligingsmethoden om te zien hoe AI helpt bij cybersecurity. Dus first things first. Traditionele systemen, zoals firewalls en antivirussoftware, zijn vaak reactief. Dit betekent dat ze pas actie ondernemen nadat er een aanval heeft plaatsgevonden. Bijvoorbeeld, als er een virus op je computer komt, kan de antivirussoftware het pas blokkeren als het virus al is binnengedrongen. Dit kan leiden tot schade voordat het probleem wordt ontdekt of opgelost.

In tegenstelling tot deze traditionele methoden zijn de ‘AI-systemen’ proactief. Ze kunnen dreigingen voorspellen en voorkomen voordat ze zich voordoen. Stel je voor dat er een systeem is dat voortdurend het netwerkverkeer van een bedrijf in de gaten houdt. Dit systeem leert van eerdere aanvallen en herkent afwijkend gedrag. Als het bijvoorbeeld merkt dat er plotseling veel gegevens naar een onbekende server worden gestuurd, kan het direct een waarschuwing geven. Zo kun je als bedrijf snel reageren en de datastroom blokkeren om zo de impact te beperken of te voorkomen. Nu hoor ik ook je ook denken van:“ ja, wat nu als ik een datamigratie ga doen? Dan zit dit AI-systeem me in de weg!”. Inderdaad, hier ben ik het mee eens en dit zullen we later in dit artikel ‘behandelen’.

Long story, short: traditionele beveiligingssystemen zijn dus vaak algemeen toepasbaar en wachten tot er een dreiging is. AI-systemen zijn meer op maat gemaakt en maken gebruik van geavanceerde technieken zoals machine learning. Dit leidt vaak tot een betere detectie van bedreigingen dan de meer statische en reactieve aanpak van traditionele systemen.

Naast het nadeel van de ‘afwijkende processen’, zoals datamigratie zijn er ook nog andere nadelen aan AI. Als AI-systemen of de gegevens waarop ze zijn getraind worden aangetast, kan het hele systeem falen. Dit is minder waarschijnlijk bij traditionele systemen, aangezien ze minder afhankelijk zijn van complexe algoritmen. Bovendien vallen AI-oplossingen onder striktere regelgeving om verantwoord en ethisch gebruik te waarborgen.

Voordelen

Zoals eerder kort besproken, biedt AI verschillende voordelen voor cybersecurity. Een van de grootste voordelen is de snelheid waarmee verdachte activiteiten kunnen worden gedetecteerd. AI-systemen zijn in staat om enorme hoeveelheden data te analyseren in een fractie van de tijd die mensen nodig zouden hebben. Dit helpt beveiligingsteams om sneller te reageren op bedreigingen. Neem bijvoorbeeld een situatie waarin een bedrijf wordt aangevallen door ransomware. Een AI-systeem kan snel ontdekken dat er ongebruikelijke versleuteling van bestanden plaatsvindt en onmiddellijk een waarschuwing geven. Hierdoor kan het bedrijf de aanval stoppen voordat er belangrijke gegevens verloren gaan.

Een ander voordeel van AI is dat het kan helpen bij het automatiseren van routinetaken. Dit betekent dat AI zonder menselijke tussenkomst kan werken. Denk aan het scannen van computers op malware of het beheren van software-updates. Als AI deze taken overneemt, bespaart dit tijd en kunnen medewerkers zich concentreren op andere werkzaamheden. Dit verhoogt de efficiëntie van het team en vermindert daarnaast de kans op menselijke fouten. Als een medewerker bijvoorbeeld regelmatig handmatig software-updates uitvoert, kan het zijn dat hij of zij soms vergeet deze bij te werken. AI zorgt ervoor dat dit automatisch gebeurt.

Voorspellende analyses is een ander belangrijk voordeel van AI. Door historische gegevens te analyseren, kan AI-trends en patronen identificeren. Dit helpt bedrijven om toekomstige dreigingen beter te voorspellen. Stel je voor dat een AI-systeem leert van eerdere aanvallen op een netwerk. Het kan dan aangeven welke systemen het meest kwetsbaar zijn voor aanvallen. Dit stelt organisaties in staat om hierop te anticiperen en daarmee voorkomen dat ze het doelwit worden van aanvallers.

Nadelen of beter gezegd: ‘uitdagingen’?

Hoewel AI veel voordelen biedt, zijn er ook nadelen en uitdagingen waar bedrijven rekening mee moeten houden. Een van de grootste uitdagingen is dat AI-systemen veel gegevens nodig hebben om goed te kunnen functioneren. Als deze gegevens niet representatief of van slechte kwaliteit zijn, kunnen de resultaten onnauwkeurig zijn. Bijvoorbeeld, als een AI-systeem is getraind op een bepaald type verkeer, kan het moeite hebben met het herkennen van afwijkingen. Dit kan leiden tot, zoals eerder in het artikel benoemt, valse alarmen of zelfs het missen van echte dreigingen. AI-systemen zijn ook kwetsbaar voor aanvallen. Aanvallers kunnen technieken gebruiken om AI-systemen te misleiden door aangepaste gegevens te geven. Dit wordt ook wel een 'adversarial attack' genoemd. Stel je voor dat een aanvaller een AI-systeem probeert te misleiden door kleine veranderingen aan te brengen in de gegevens die het systeem analyseert. Hierdoor kan het systeem besluiten dat een echte dreiging onschadelijk is, waardoor de aanval doorgaat. Een voorbeeld hiervan is dat een aanvaller een afbeelding van een hond een beetje aanpast, zodat het AI-systeem denkt dat het een kat is.

Een ander belangrijk nadeel is de hoge kosten en complexiteit van de implementatie van AI-systemen. Het opzetten van deze systemen vereist vaak grote investeringen in hardware, software en deskundig personeel. Voor mkb-bedrijven kan dit een nog wel eens een probleem zijn, trouwens voor ‘grote’ bedrijven ook. Ze moeten investeren in dure technologie en training om de voordelen van AI effectief te kunnen benutten. Daarnaast moet er rekening gehouden worden met privacykwesties. AI-systemen die PII verwerken, moeten voldoen aan strenge privacywetten, zoals de AVG. Als een AI-systeem bijvoorbeeld gegevens verzamelt zonder toestemming, kan dit leiden tot juridische problemen, wat meestal vertaald kan worden naar: boetes. Een ander risico is de overafhankelijkheid van AI-systemen. Als beveiligingsteams te veel vertrouwen op AI, kunnen ze belangrijke menselijke controlemechanismen verliezen. Dit wordt een probleem als AI faalt of als het systeem wordt misleid door een aanvaller. Het is daarom slim om niet je hele securityteam te vervangen door AI, haha. Zo blijven mensen kritisch naar het proces kijken. Als bedrijf wil je namelijk ook niet vastzitten aan één leverancier (supplier lock-in), en dat wil je met AI ook niet: geen ‘AI-lock-in’, dus! Laat AI je dus helpen, maar zorg dat je securityteam niet allemaal tegelijk op vakantie gaat!

AI-gebaseerde cyberaanvallen

AI wordt niet alleen gebruikt door de ‘good guys’, maar ook door de ‘bad guys’. Wat ik hiermee wil zeggen is dat AI niet alleen wordt gebruikt om de cyberbeveiliging te verbeteren, maar ook om de cyberaanvallen te verbeteren. Aanvallers kunnen bijvoorbeeld generative adversarial networks (GANs) gebruiken om 'deepfakes' te maken, waarbij gezichten of stemmen in video’s of afbeeldingen worden gemanipuleerd. Dit kan leiden tot misleiding of identiteitsfraude. Daarnaast wordt AI ingezet om overtuigende (spear-) phishing-e-mails te genereren die zijn gericht op specifieke personen of organisaties. Dit maakt het voor aanvallers gemakkelijker om hun slachtoffers te misleiden en toegang te krijgen tot de gewenste informatie. AI kan ook malware verbeteren, waardoor het moeilijker wordt voor beveiligingssystemen om de malware te detecteren en te blokkeren. Een ander risico is dat aanvallers AI kunnen gebruiken om kwetsbaarheden in systemen te vinden en deze vervolgens exploiten.

De beste verdediging tegen AI-aanvallen? Een mix van kunstmatige én menselijke intelligentie!

AI-systemen zijn, zoals eerder benoemd, kwetsbaar voor verschillende soorten aanvallen. Een veelvoorkomende dreiging is het misbruik van kwetsbaarheden in open-source software, zoals TensorFlow en PyTorch, die vaak worden gebruikt voor AI. Aanvallers kunnen ook proberen de trainingsdata te vervalsen, zodat het AI-systeem verkeerde voorspellingen doet. Dit kan bijvoorbeeld gebeuren door foutieve labels toe te voegen aan de data waarop het systeem is getraind. Om je software en bedrijf te beschermen tegen deze bedreigingen, zijn er verschillende stappen te nemen. Ten eerste en eigenlijk vanzelfsprekend is het nodig om ervoor te zorgen dat je software altijd up-to-date is. Dit betekent dus dat je regelmatig updates voor besturingssystemen en programma's moet installeren, aangezien deze updates vaak belangrijke patches bevatten. Door dit te doen, verklein je de kans dat aanvallers gebruikmaken van reeds bekende zwakheden. Dus stel je updates niet meer uit!

Als je dus open-source software gebruikt, is het belangrijk om ook deze goed te controleren. Zorg ervoor dat de versies die je gebruikt veilig zijn en geen kwetsbaarheden bevatten. Het kan ook nuttig zijn om tools te gebruiken die (automatisch) problemen in deze software opsporen. Daarnaast de ‘no-brainer': gebruik ook hier sterke wachtwoorden en, waar mogelijk, 2FA/MFA. 2FA/MFA houdt in dat je naast je wachtwoord ook een extra code nodig hebt om in te loggen, wat het voor aanvallers moeilijker maakt om toegang te krijgen tot je systemen. Ook is het belangrijk om ervoor te zorgen dat alleen de mensen die het nodig hebben toegang hebben tot gevoelige informatie, dus acces op basis van een ‘least privilege’/’need-to-know’ principe.

Een andere belangrijke stap is encryptie. Het is verstandig om gevoelige gegevens te versleutelen, zodat ze goed beveiligd zijn, zelfs als iemand probeert ze te stelen. Gebruik daarbij ook veilige manieren om gegevens te versturen, zoals HTTPS en VPN's. Het is namelijk zonde als je je gegevens goed beveiligd en het mis gaat in de transfer. Daarnaast is het nuttig om een duidelijk beveiligingsbeleid op te stellen dat medewerkers vertelt over de risico's en de beste manieren om veilig te werken. Investeren in training voor medewerkers is geen overbodige luxe en eigenlijk een must-have. Als zij namelijk weten hoe ze veilig met de bedrijfsmiddelen moeten omgaan en aanvallen kunnen herkennen, kunnen ze beter reageren op dreigingen. Wat je eigenlijk wil bereiken is een cyberaware cultuur in je organisatie. Dit is naar mijn mening wel de belangrijkste, omdat mensen de zwakste schakel van je beveiliging zijn en blijven.

Verder is het belangrijk om je netwerk continu in de gaten te houden. Dit helpt je om verdachte activiteiten vroeg te herkennen. Daar helpen ook regelmatige risicobeoordelingen bij om kwetsbaarheden en dreigingen op te sporen, zodat je op tijd kunt ingrijpen. We weten: voorkomen is beter dan genezen, maar soms kun je een succesvolle aanval niet voorkomen. Zorg daarom ook voor een up to date incident response plan, zodat je weet wat je als bedrijf moet doen als het dan toch mis gaat. Investeer daarom ook in goede software. Software kan AI-specifieke bedreigingen, zoals malware, opsporen en blokkeren. Het integreren van AI in je beveiligingssystemen kan ook handig zijn, omdat het helpt om grote hoeveelheden gegevens te analyseren en verdachte activiteiten sneller te detecteren. AI vs. AI dus. Zorg er dan wel voor dat je AI-systemen begrijpelijk zijn, zodat je kunt begrijpen hoe ze beslissingen nemen. Dit helpt om efficiënter met de systemen te werken en maakt het makkelijker om eventuele fouten op te sporen.

AI inzetten voor cybersecurity? Begin slim: start klein, test vroeg en zorg dat je team net zo slim is als je tech!

AI vs. AI dus, maar let op: het succesvol inzetten van AI in cybersecurity vereist een ‘intelligente’ aanpak en strategie. Een effectieve manier om te beginnen is volgens Abbas et al., (2023) met een klein pilotproject, wat de mogelijkheid biedt om de technologie in een gecontroleerde omgeving te testen en eventuele problemen vroegtijdig te signaleren. Daarnaast is het nodig dat bedrijven (blijven) investeren in training, zodat hun teams goed begrijpen hoe AI-systemen functioneren en deze effectief kunnen toepassen. Dit betekent ook dat we activiteiten moeten ontwikkelen om werknemers meer bewust te maken van cyberveiligheid. Denk aan het bevorderen van actief burgerschap en het opstellen van beleid dat goede gewoonten en waarden aanmoedigt. Kortom, we willen een cultuur creëren waarin iedereen ‘cyber aware’ is. Ik ben blij dat Abbas et al. dat ook onderschrijven en benadrukken dat medewerkers een belangrijke rol spelen!

Een ander belangrijk onderdeel van een succesvolle implementatie is het ontwikkelen van een model dat organisaties ondersteunt bij het beoordelen en verbeteren van hun cybersecuritycapaciteiten, vooral in relatie tot AI. Dit model moet aansluiten bij bestaande richtlijnen, zoals de NIST, en zich richten op het effectief aanpakken van kwetsbaarheden en bedreigingen. Om bij te blijven met nieuwe dreigingen en technologieën, is het belangrijk om AI-systemen regelmatig te evalueren en aan te passen. Dit omvat ook naleving van privacywetten, zoals de AVG, om problemen met PII te voorkomen. Het in kaart brengen van de architectuur, dus de verschillende onderdelen van systemen en hun onderlinge relaties, helpt bij het ontwikkelen/verbeteren van de systemen en het oplossen van problemen.

Het in kaart brengen van de architectuur helpt ook om de AI-systemen te laten passen bij de specifieke behoeften van je organisatie. Voortdurende analyses van beveiliging zijn daarom belangrijk om inzicht te krijgen in toekomstige bedreigingen die AI in cybersecurity met zich mee kan brengen. Als je inzicht hebt in de architectuur kan je bijvoorbeeld AI combineren met de bestaande ‘traditionele methoden’, zoals firewalls en antivirussoftware. Hierdoor heb je een ‘best of both worlds’ en creëer je een sterke en gelaagde beveiliging, waardoor je beter voorbereid bent op de continue veranderende ‘world of cyberthreats’. Het is van belang dat medewerkers, zoals systeembeheerders en developers, goed geïnformeerd zijn over de beveiligingsrisico's die er bestaan en hoe zij deze kunnen verminderen. Training en informatie over mogelijke bedreigingen zijn hierbij onmisbaar. Ook moeten gebruikers duidelijk worden geïnformeerd over de risico's die gepaard gaan met het gebruik van AI-systemen.

Bij het ontwikkelen van een AI-systeem moet beveiliging vanaf het begin in mee worden genomen, dit wordt security-by-design genoemd. Het idee van security-by-design betekent dat beveiliging vanaf het begin moet worden meegenomen bij het ontwerpen van AI-systemen. Dit houdt in dat je in elke stap van het ontwikkelproces rekening houdt met beveiligingsrisico's, van het ontwerp en de architectuur tot de implementatie en het testen. Belangrijke maatregelen zijn het uitvoeren van risicobeoordelingen om kwetsbaarheden en mogelijke dreigingen op te sporen. Ook moet er gebruik worden gemaakt van veilige coderingstechnieken en moet data veilig worden verwerkt om datalekken te voorkomen. Verder is het essentieel om tijdens de ontwikkeling beveiligingstesten uit te voeren, zodat eventuele problemen vroegtijdig worden ontdekt. Een ander belangrijk principe is dat AI-systemen transparant en uitlegbaar moeten zijn, zodat hun gedrag kan worden gecontroleerd en geverifieerd.

Bij het kiezen van een AI-model is het belangrijk om rekening te houden met de complexiteit van het model en de effectiviteit met de beschikbare gegevens. Eenvoudigere modellen zijn hierbij vaak beter omdat ze gemakkelijker te begrijpen zijn. Omdat AI ingeleerd wordt op basis van trainingsdata is het uitermate belangrijk dat de kwaliteit en relevatie van de trainingsdata gewaarborgd is en blijft. Daarnaast is het zoals met elke leverancier (relatie) belangrijk om ook hun beveiliging continu te monitoren en ervoor te zorgen dat zij voldoen aan de beveiligingseisen van jouw organisatie. Er moet ook inzicht zijn in de AI-gerelateerde activa, zoals modellen en gegevens, en deze moeten goed worden beschermd. Het documenteren van alle aspecten die met data, modellen en processen te maken hebben, draagt bij aan transparantie en voorkomt de zogenoemde ‘technical-debt’ zodat eerder gemaakte keuzes geen problemen opleveren voor toekomstige keuzes.

Bij de implementatie van een AI-systeem moet de infrastructuur veilig zijn. Dit houdt in dat AI-modellen moeten worden beschermd tegen ongeoorloofde toegang en aanpassingen. Voordat je de AI-modellen gaat gebruiken, dienen deze goed te worden getest op beveiligingsaspecten, en moeten gebruikers worden geïnformeerd over eventuele beperkingen. Na de implementatie is het belangrijk om het gedrag van het systeem nauwlettend te volgen om eventuele problemen tijdig te identificeren. Invoer in het systeem moet worden gevolgd en gelogd om aan de regelgeving en transparantie te voldoen. Zorg ervoor dat updates automatisch en veilig plaatsvinden, en bereid gebruikers voor op eventuele veranderingen in het systeem. Tot slot is het aan te raden om deel te nemen aan ‘community's’ waarin beveiligingspraktijken worden gedeeld en van elkaar geleerd kan worden, twee weten namelijk meer dan één toch?

Gebruikte bronnen

· Abbas, Roba; Michael, Katina; Pitt, Jeremy; Vogel, Kathleen M.; and Zafeirakopoulos, Mariana. "Artificial Intelligence (AI) in Cybersecurity: A Socio-Technical Research Roadmap" The Alan Turing Institute, 2023.

· AI and cyber security: what you need to know. (z.d.). https://www.ncsc.gov.uk/guidance/ai-and-cyber-security-what-you-need-to-know

· Artificial Intelligence and Cybersecurity Research. (2023, 7 juni). ENISA. https://www.enisa.europa.eu/publications/artificial-intelligence-and-cybersecurity-research

· Guidelines for secure AI system development. (z.d.). https://www.ncsc.gov.uk/collection/guidelines-secure-ai-system-development

· Jada, I., & Mayayise, T. O. (2023). The impact of artificial intelligence on organisational cyber security: An outcome of a systematic literature review. Data And Information Management, 8(2), 100063. https://doi.org/10.1016/j.dim.2023.100063

· Jimmy, F. (2021). Emerging Threats: The Latest Cybersecurity Risks and the Role of Artificial Intelligence in Enhancing Cybersecurity Defenses. International Journal Of Scientific Research And Management (IJSRM), 9(02), 564–574. https://doi.org/10.18535/ijsrm/v9i2.ec01

· Ramanpreet Kaur, Dušan Gabrijelčič, Tomaž Klobučar, Artificial intelligence for cybersecurity: Literature review and future research directions, Information Fusion, Volume 97, 2023, 101804, ISSN 1566-2535, https://doi.org/10.1016/j.inffus.2023.101804 .

· Zhang, Z., Ning, H., Shi, F., Farha, F., Xu, Y., Xu, J., Zhang, F., & Choo, K. R. (2021). Artificial intelligence in cyber security: research advances, challenges, and opportunities. Artificial Intelligence Review, 55(2), 1029–1053. https://doi.org/10.1007/s10462-021-09976-0

Zero Trust: Wat is het en waarom zou ik het gebruiken?

Sun, 25 Aug 2024 07:31:44 GMT

Zero Trust: Wat is het en waarom zou ik het gebruiken?

Auteur : Tim Fitters (IT Risk & Compliance Consultant)

Zero Trust: Wat is het en waarom zou ik het gebruiken?

Vandaag de dag hoor je steeds vaker de term Zero Trust. Steeds meer bedrijven gaan ermee aan de slag, en zo wint Zero Trust snel terrein als dé norm in IT-beveiliging. Deze trend wordt ook gezien door Yeoh et al. (2023) zij stellen in hun onderzoek het volgende over Zero Trust: "een cyberbeveiligingsstrategie die verschuift van een locatiegerichte naar een meer gegevensgerichte aanpak voor betere beveiligingscontroles tussen gebruikers, systemen, gegevens en bedrijfsmiddelen die in de loop der tijd kunnen veranderen."

Maar wat is Zero Trust nu precies? Waar eerder de focus lag op het beschermen van een netwerk door een 'sterke buitenmuur' (perimeter) op te trekken, verschuift de aandacht nu naar het beveiligen van data, ongeacht waar die zich bevindt. Niemand, zelfs niet degenen binnen het netwerk, krijgt zomaar toegang zonder verificatie. Het basisprincipe is dan ook: "never trust, always verify."

Dit is een logische gedachte, want voorheen draaide beveiliging om het afschermen van een netwerk met een duidelijke grens, waarbij alles binnen deze grens als 'veilig' werd beschouwd. Maar met de opkomst van mobiele apparaten, cloud computing, bring your own device (BYOD) en het Internet of Things (IoT), is die grens vervaagd of in sommige gevallen zelfs compleet verdwenen. Door (deze) ontwikkelingen in het IT-landschap en werkculturen, zoals remote working, groeien de interne en externe bedreigingen. Daarom is een nieuwe aanpak nodig. Door geen enkele gebruiker of apparaat te vertrouwen zonder eerst te verifiëren, verkleint Zero Trust verschillende risico's. Bedreigingen kunnen immers overal, zowel intern als extern, opduiken, en daarom moet elke toegangspoging, ongeacht de afkomst, goed worden gecontroleerd.

Dat het niet uitmaakt waar een gebruiker of apparaat zich bevindt, is het sterke punt van Zero Trust. De toegang tot een systeem of netwerk wordt namelijk altijd opnieuw gecontroleerd. Er zijn geen zogenaamde 'veilig automatisch vertrouwde zones' meer. Door netwerken op te delen in 'kleine zones', waarbij niet alles automatisch wordt vertrouwd. Hierdoor blijft de schade beperkt wanneer een attack vector een systeem binnendringt. Automatisering speelt ook binnen Zero Trust een belangrijke rol, want dit maakt het mogelijk om bedreigingen snel en constant te identificeren en erop te reageren.

Waarom zou je voor Zero Trust kiezen?

Volgens Yeoh et al. (2023) biedt Zero Trust tal van voordelen, zoals een beter gestroomlijnde beveiliging, minder operationele overhead en een efficiëntere en flexibelere onboarding van werknemers en leveranciers. Uit hetzelfde onderzoek van Yeoh et al. blijkt ook dat bijna alle beveiligingsprofessionals van mening zijn dat Zero Trust onmisbaar is voor het succes van hun organisatie, dankzij de positieve invloed op de beveiliging in het algemeen en op de awareness omtrent cybersecurity. Zero Trust is vooral belangrijk in deze tijd, waarin remote werken steeds vaker de norm is, omdat het gegevens beschermt, zelfs wanneer werknemers ze offsite/remote openen op hun persoonlijke apparaten. Daarnaast, met het oog op de verwachte groei van 5G, cloud computing, AI en IoT, wat resulteert in meer gegevens, verbonden apparaten en grotere aanvalsoppervlaktes, is Zero Trust-cyberbeveiliging zelfs nog belangrijker voor de organisaties van vandaag. De oude cybersecuritystrategieën, die steunen op firewallbescherming en VPN's, voldoen gewoon niet meer in ‘het nieuwe normaal’ waarin bedreigingen van binnen en buiten komen.

Uitdagingen

Hoewel Zero Trust vele voordelen biedt, is de implementatie ervan ook niet zonder uitdagingen, maar ja dit is eigenlijk wel met alles… Zonder wrijving een glans zou men zeggen. Volgens Golden et al. (2021) is Zero Trust een grote uitdaging, omdat het een filosofische verschuiving veroorzaakt in de manier waarop beveiliging wordt beheerd. De implementatie van Zero Trust is vooral daarom een complexe onderneming, waarbij meerdere dimensies een rol spelen. Het is belangrijk om goed te plannen en te balanceren, want Zero Trust kan problemen veroorzaken in de balans tussen beveiliging en werkbaarheid. Als je bij elk ‘wittewasje’ verschillende beveiligingsstappen moet doorlopen, kan dit ten koste gaan van de productiviteit. Het is dus van belang dat het access management goed wordt ingericht, met maatregelen zoals multi-factor authenticatie (MFA) en single sign-on (SSO). Ook endpoints moeten worden beschermd met technologieën als Endpoint Detection and Response (EDR). Daarnaast moeten (bedrijfs)risico’s ook worden meegenomen en gevoelige data goed worden afgeschermd met Data Loss Prevention (DLP). Dit is ook nodig om aan de NIS2-richtlijn te voldoen, dus zo sla je meteen twee vliegen in één klap.

In grote organisaties met veel IT-systemen kan het lastig zijn om Zero Trust toe te passen, vooral als de (legacy) systemen niet met een 'security-by-design'-gedachte zijn gemaakt. Die oudere systemen zijn vaak niet echt gebouwd voor de moderne(re) beveiligingsmaatregelen, waardoor het een hele uitdaging kan worden om alles goed en veilig te laten samenwerken.

De continue verificatie van Zero Trust kan ook het netwerk en de systemen extra belasten, dus hier moet rekening mee worden gehouden. Bovendien kunnen de kosten voor de implementatie hoog zijn, wat voor (kleinere) organisaties met een beperkt IT-budget een uitdaging kan vormen. Zoals Golden et al. al in hun onderzoek stelde en wat we vaak zien, is dat bijna elke cultuurverandering vaak op weerstand stuit. De Zero Trust-mentaliteit van "nooit vertrouwen, altijd verifiëren" zal hierop geen uitzondering zijn.

Zero Trust effectief implementeren

Een lang verhaal kort: Zero Trust is niet eenvoudig, maar het is wel een goede manier om je cybersecurity te verbeteren. Het is daarom de moeite waard om het te implementeren, want de voordelen wegen zwaarder dan de uitdagingen. Maar hoe doe je dit? Als je Zero Trust effectief wilt toepassen, zijn er een aantal belangrijke stappen die je moet nemen.

Houd voortdurend het netwerkverkeer en de aangesloten apparaten in de gaten om ervoor te zorgen dat alle gebruikers en systemen goed worden gecontroleerd en geverifieerd.
Zorg ervoor dat systemen en apparaten up-to-date blijven en beveiligingslekken snel worden gedicht. In een Zero Trust-netwerk moeten kwetsbare apparaten en systemen geen toegang krijgen totdat ze veilig zijn, wat monitoring extra belangrijk maakt.
Pas het "least privilege"-beleid toe, waarbij iedereen binnen de organisatie, van managers tot IT-teams, alleen toegang krijgt tot wat ze echt nodig hebben. Dit beperkt de impact als een account wordt gehackt. De vermindering van de impact komt ook terug in het onderzoek van Tam et al. (2021), die daarom juist voor kleine bedrijven Zero Trust aanbevelen voor toegang tot individuele systemen en accounts.
Segmenteer het netwerk in kleinere delen (microsegmentatie), zodat een inbreuk snel kan worden beperkt en aangepakt voordat het zich verspreidt.
Doe alsof de 'netwerkperimeter' niet bestaat, want veel netwerken zijn tegenwoordig verbonden met internet of de cloud, dus moet je handelen alsof er geen 'veilige' grens is.
Gebruik fysieke beveiligingssleutels voor multi-factor authenticatie (MFA), omdat deze veel veiliger zijn dan codes die via sms of e-mail worden verstuurd. Offline gegevens kunnen namelijk veel ‘moeilijker’ gehackt worden, al brengt dit wel uitdagingen met zich mee voor werkbaarheid en opslag.
Integreer 'threat intelligence' in je strategie om op de hoogte te blijven van de nieuwste bedreigingen, want de ‘bad guys’ veranderen vaak hun methoden, dus je moet altijd voorbereid zijn op nieuwe dreigingen.
Zorg ervoor dat de beveiligingsmaatregelen niet zo streng zijn, zoals te vaak moeten inloggen of continue een MFA request, dat gebruikers ze gaan omzeilen. Als dat gebeurt, mis je compleet het doel van Zero Trust. Houd daarom altijd rekening met de behoeften van de gebruikers en de business om de beveiliging echt effectief te maken.

Gebruikte bronnen:

CrowdStrike. (2024, 22 januari). What is Zero Trust Security? Principles of the Zero Trust Model. crowdstrike.com. https://www.crowdstrike.com/cybersecurity-101/zero-trust-security/

Cybersecurity and Infrastructure Security Agency. (2023). Zero Trust maturity model. https://www.cisa.gov/sites/default/files/2023-04/zero_trust_maturity_model_v2_508.pdf

Golden, D., Perinkolam, A., Nicholson, M., Rafla, A., & Norton, K. (2021). Zero trust: never trust, always verify. Deloitte. https://www2.deloitte .

Yeoh, W., Liu, M., Shore, M., & Jiang, F. (2023). Zero trust cybersecurity: Critical

success factors and A maturity assessment framework. Computers & Security,

133, Article 103412 https://doi.org/10.1016/j.cose.2023.103412

Tam, T., Rao, A., & Hall, J. (2021). The good, the bad and the missing: A Narrative

review of cyber-security implications for australian small businesses. Computers

& Security, Article 102385. https://doiorg.

tilburguniversity.idm.oclc.org/10.1016/j.cose.2021.102385

Wikipedia contributors. (2024, 30 juli). Zero trust security model. Wikipedia. https://en.wikipedia.org/wiki/Zero_trust_security_model

Zero Trust Maturity Model | CISA. (z.d.). Cybersecurity And Infrastructure Security Agency CISA. https://www.cisa.gov/zero-trust-maturity-model

Zero Trust Model - Modern Security Architecture | Microsoft Security. (z.d.). https://www.microsoft.com/en-us/security/business/zero-trust

Security Behavior & Culture

Sun, 11 Aug 2024 11:17:17 GMT

Security Behavior & Culture

Auteur : Tim Fitters (IT Risk & Compliance Consultant)

Security Behavior & Culture

De invloed van werknemers op de digitale weerbaarheid van een bedrijf blijft terugkomen. Het is inmiddels algemeen bekend dat werknemers de zwakste schakel zijn in de informatiebeveiligingsstrategie. Volgens Gartner zijn programma's voor beveiligingsgedrag en -cultuur (Security Behavior and Culture Programs, SBCP's) daarom ook belangrijk voor het minimaliseren van de risico’s die medewerkers met zich meebrengen. Echter, wat zijn nu precies SBCP’s? SBCP’s zijn programma's binnen organisaties die ervoor zorgen dat medewerkers meer bewust worden van risico’s en beveiliging en hierop hun gedrag aanpassen. Deze programma's gaan verder dan de gebruikelijke (awareness) trainingen door ook te werken aan het veranderen van houdingen, gedrag en de gehele cultuur rondom informatiebeveiliging.

SBCP’s omvatten een bedrijfsbrede aanpak om de impact van onveilig gedrag van alle werknemers in de organisatie te verminderen. Dit betekent dat je niet alleen let op het gedrag van de binnendienst, maar ook van de buitendienst. Veel organisaties hebben vaak al een vorm van een SBCP, zoals een security awareness programma en beveiligingsmaatregelen. Echter, veel bedrijven hebben moeite met het implementeren van een volledig en effectief SBCP. Een SBCP heeft als doel een acceptabele informatiebeveiligingscultuur te cultiveren, waarbij medewerkers bewust zijn van hun rol in de digitale weerbaarheid van hun bedrijf. Hier gaat het echter vaak mis. Werknemers zien hun aandeel in informatiebeveiliging vaak niet. Zij houden bijvoorbeeld een wedstrijdje wie het snelst door de zogenoemde awareness trainingen kan klikken. Waar gaat het nu mis, zou je je afvragen? Waarom krijgen we grote delen van onze medewerkers niet mee in informatiebeveiliging en waarom haalt het SBCP niet zijn doel?

Gartner heeft hier onderzoek naar gedaan en identificeerde de meest voorkomende uitdagingen die bedrijven hebben met het implementeren van een SBCP. Deze zijn:

· Het verkrijgen van voldoende management support.

· Het aanpassen van het programma aan de verschillende niveaus van technische vaardigheden van het personeel.

· Het aanpakken van verschillen in kennis van IT en informatiebeveiliging.

· Het integreren van SBCP-communicatie in bestaande werkprocessen.

· Het ontwerpen van maatwerk content (o.a. trainingen) die geschikt is voor de gehele organisatie. Dit is een aanvulling op punt 2 en 3.

Nu kun je zeggen dat Gartner VS georiënteerd is en dat deze resultaten kunnen verschillen met betrekking tot Nederlandse bedrijven. Laat ik vooropstellen dat ik deze lijn van denken begrijp. Echter, wij zien ook veel bedrijven in Nederland tegen deze punten aanlopen. Wij zien ook dat veel bedrijven moeite hebben met het verkrijgen van voldoende budget voor het implementeren van een SBCP, meestal omdat de organisatiecultuur nog niet heel ‘cyberaware’ is. Hoe kunnen we hier verandering in brengen? Om dit te ontdekken, gaan we in dit artikel elke uitdaging kort bespreken en tips geven over hoe je deze kunt aanpakken.

Management support

Zonder support en geld gaat het heel moeilijk worden om een succesvol programma te implementeren, daarom is management support zo belangrijk. Voor het verkrijgen van management support en om de organisatie meer ‘cyberaware’ te krijgen is het belangrijk om de voordelen van informatiebeveiliging en daarmee het SBCP te benadrukken en het programma te koppelen aan de bedrijfsdoelstellingen. Veel mensen in een organisatie denken dat security alleen geld kost en niets bijdraagt aan de winst. Als we het simpel houden en stellen dat: winst = omzet – kosten, dan kan informatiebeveiliging helpen om deze kosten zo laag mogelijk te houden en daarmee heeft het een bijdrage aan de winst. Hoe kan een SBCP hiermee helpen dan? Nou door:

Het verminderen van het aantal succesvolle cyberaanvallen.
Het beschermen van (gevoelige) informatie.
Het voldoen aan de regelgeving en daarmee boetes voorkomen.
Het verbeteren van de reputatie van het bedrijf en daarmee nieuwe klanten aan trekken.
Het verhogen van het vertrouwen van klanten en andere partners.

Naast het benoemen van de voordelen van een SBCP kan het ook nuttig zijn om: Een businesscase te ontwikkelen, een risicoanalyse te overleggen en voorbeelden te geven van andere bedrijven die succesvol cyber awareness programma's hebben geïmplementeerd. Daarnaast is het belangrijk om de steun van het management te verkrijgen door hen te betrekken bij het proces. Dit kan door hen te informeren over de voortgang van het programma en door hen te vragen om feedback. Hiermee zorg je er tegelijkertijd ook voor dat je ‘tijdig’ bijstuurt en je SBCP in lijn blijft met de bedrijfsdoelstellingen.

Omgaan met verschillende technische niveaus
Om een goed SBCP op te zetten, is het belangrijk dat medewerkers begrijpen waarom online veiligheid belangrijk is. Gebruikers moeten weten hoe ze veilig online kunnen werken en waarom dat nodig is. Dit betekent dat er aandacht moet zijn voor zowel de juiste kennis als het stimuleren van veilig gedrag. In elk bedrijf is er verschil in niveau voor technische kennis. Dit is ook niet gek, want het vereiste niveau is natuurlijk verschillend voor elke functie. Hoe pas je nu het SBCP aan de verschillende niveaus van technische vaardigheid aan? Terechte vraag, en voor veel bedrijven is dit een uitdaging. Een veelvoorkomende uitdaging is het vinden van de juiste balans tussen de eenvoud voor beginners en de diepgang die technische experts nodig hebben, en toch voldoende diepgang geven zodat elke werknemer zijn werk veilig kan uitvoeren. Een aanpak, zonder mensen te beledigen (ook belangrijk), kan zijn door functies in te delen in ‘vereiste technische vaardigheid’, waarbij bij elk niveau een andere technische vaardigheid verwacht mag worden. Niveaus kunnen bestaan uit:

Basisniveau : Voor functies waarbij beperkte technische vaardigheden worden verwacht, kan de focus liggen op de basisprincipes van cybersecurity, zoals het herkennen van phishingmails, het gebruik van sterke wachtwoorden en het melden van verdachte activiteiten. De informatie kan worden gepresenteerd in een gemakkelijk te begrijpen en overzichtelijke opzet, zoals nieuwsbrieven, flyers of een speciale pagina op het intranet van het bedrijf.
Gevorderd niveau : Voor functies waarbij enige technische kennis wordt verwacht, kan de training zich richten op meer gedetailleerde aspecten van cybersecurity, zoals best practices voor veilig werken in de cloud, het configureren van beveiligingsinstellingen en het reageren op beveiligingsincidenten.
Expertniveau : Voor ‘technische professionals’ zoals systeembeheerders en cybersecuritymedewerkers, dus personen waarvan ‘security expertise’ wordt verwacht, kan de nadruk liggen op geavanceerde onderwerpen zoals threat intelligence, penetratietesten en het implementeren van geavanceerde beveiligingsmaatregelen. Trainingen op dit niveau kunnen simulaties, hands-on oefeningen en casestudy's omvatten.

Naast het aanpassen van de inhoud van de training, is het ook belangrijk om rekening te houden met de manier waarop de training wordt gegeven. Zo zijn basisniveau medewerkers eerder gebaat bij interactieve workshops, e-learningmodules en gamification om hen ‘cyberaware’ en gemotiveerd te houden. De meer gevorderde medewerkers zijn gebaat bij meer inhoudelijkere trainingen. Dit is ook afhankelijk van de bedrijfscultuur en medewerkers zelf, dus vind hier een goede balans in. Het is in ieder geval altijd belangrijk om de training af te stemmen op de specifieke rollen en verantwoordelijkheden van medewerkers.

Het is daarbij ook goed om (onderdelen van) het SBCP op verschillende manieren te delen, zoals via nieuwsbrieven, flyers, intranetpagina's, video's en presentaties. Laat het zo vaak mogelijk terugkomen zonder dat het irritant wordt. Organiseer eventueel discussies en quizzen over cybersecurity, waarbij eventueel iets gewonnen kan worden, om medewerkers betrokken en alert te houden. Gebruik daarnaast wel realistische en relevante voorbeelden en scenario’s vanuit het werkveld in de training, zodat medewerkers leren hoe ze deze kennis in hun werk kunnen toepassen. Hiermee wil ik zeggen: pas de voorbeelden aan op de situatie van de medewerker. Dit klinkt als een open deur, maar het is belangrijk voor de betrokkenheid en inlevingsvermogen van een medewerker. Als de medewerker zich niet herkent in een situatie, zal hij of zij het ook minder serieus nemen. Stimuleer hen daarnaast om verdachte e-mails of activiteiten onmiddellijk te melden bij de IT- of security-afdeling. En niet geheel onbelangrijk, cyberdreigingen veranderen continu, dus geef regelmatig updates over nieuwe cyberdreigingen zodat iedereen op de hoogte blijft en alert blijft.

Verkleinen van verschil in technische vaardigheden onder werknemers
Begrijp me hierin niet verkeerd, het verschil in technische niveaus binnen afdelingen is prima en daarbij normaal. Ik hoef niemand uit te leggen dat het normaal is dat er bijvoorbeeld van ‘de buitendienst’ een ander technisch niveau wordt verwacht dan van systeembeheerders. Dit is ook niet het onderwerp dat ik wil bespreken in deze alinea. In deze alinea wil ik het verschil in technische vaardigheden binnen een afdeling bespreken. Het is namelijk zeer belangrijk dat de medewerkers binnen dezelfde afdeling een redelijk vergelijkbare mate van technische vaardigheden hebben. Want als de ene medewerker een phishingmail rapporteert en de ander er juist op klikt, dan mis je het doel.

Om ervoor te zorgen dat medewerkers binnen een afdeling een redelijk vergelijkbare en acceptabele technische vaardigheden hebben, moeten bedrijven trainingen aanbieden die zijn afgestemd op de specifieke behoeften en kennisniveaus van hun medewerkers. Technische vaardigheden ontwikkelen zich (helaas) niet organisch en moeten daarom getraind worden. Voordat je begint met het aanbieden van trainingen, is het belangrijk om eerst een nulmeting van de huidige vaardigheden te doen. Dit kan bijvoorbeeld door middel van enquêtes, quizzen, zodat de trainingen gericht kunnen worden ontwikkeld. Dit moet er ook voor zorgen dat de trainingen begrijpelijk zijn voor de medewerker. Zoals eerder aangegeven, geef medewerkers geen droge en saaie stof, maar juist interactieve, relevante en boeiende leermethoden zoals simulaties en gamification. Dit zorgt ervoor dat medewerkers de trainingen interessanter vinden, waardoor de betrokkenheid hoger wordt. Blijf daarom ook met je medewerkers in gesprek en evalueer de resultaten van de trainingen, zodat je kunt bijsturen om de training zo effectief mogelijk te houden.

We zien ook vaak terug dat medewerkers die al lang in een bedrijf werken, vaker terughoudend zijn in het omarmen van nieuwe technologieën en processen. Om deze weerstand te overwinnen (of te tackelen, hoe je het wilt noemen), moet je als organisatie de voordelen van en besluitvorming rondom nieuwe technologieën en processen duidelijk communiceren. Het is vaak zo dat deze medewerkers gewoon niet begrijpen waarom bepaalde keuzes zijn gemaakt en dat ze daarom de hakken in het zand zetten. Communiceer daarom helder en regelmatig over het belang van nieuwe technologieën/processen, informatiebeveiliging en de rol die medewerkers daarin spelen. Deel best practices, tips en updates over nieuwe bedreigingen via je (interne) kanalen, zoals nieuwsbrieven, intranet en posters.

Integratie van SBCP in bestaande processen

Om zo effectief mogelijk te zijn, moet het SBCP hand in hand gaan met het dagelijks werk van medewerkers. De effectiviteit van een SBCP hangt grotendeels af van hoe goed de maatregelen zijn geïntegreerd in de bestaande werkprocessen. Informatiebeveiliging moet een onderdeel worden van de dagelijkse routine van werknemers. Anders wordt het moeilijk om een blijvende verandering in gedrag te bewerkstelligen en daarmee de cultuur te veranderen. Daarom zal het integreren van de maatregelen in bestaande werkprocessen ervoor zorgen dat informatiebeveiliging een natuurlijk onderdeel wordt van de dagelijkse werkzaamheden en dat zij zo min mogelijk worden gehinderd door informatiebeveiliging in hun werkzaamheden. Dit zal de houding tegenover informatiebeveiliging positief beïnvloeden en omdat medewerkers tijdens hun dagelijkse werk direct geconfronteerd worden met informatiebeveiliging, blijft het bij hen ‘top of mind’.

Hoe kun je er nog meer voor zorgen dat informatiebeveiliging ‘top of mind’ blijft? Zorg ervoor dat informatiebeveiliging regelmatig terugkomt in interne communicatie, bijvoorbeeld in nieuwsbrieven, intranetberichten, posters, e-mails en vergaderingen. Dit zorgt ervoor dat medewerkers continu worden herinnerd aan het belang van informatiebeveiliging. Maak informatiebeveiliging ook een vast onderdeel van de onboarding van nieuwe medewerkers, zodat zij vanaf het begin weten wat er van hen wordt verwacht op het gebied van informatiebeveiliging. Het is belangrijk dat informatiebeveiliging een onderdeel wordt van de bedrijfscultuur, je wilt ten slotte de cultuur veranderen. Daarnaast is het belangrijk om medewerkers actief te betrekken bij het proces. Vraag hen om feedback en suggesties, en neem deze mee bij het verbeteren van het SBCP. Dit zorgt ervoor dat medewerkers zich gehoord voelen en eerder geneigd zijn om zich aan de richtlijnen te houden.

Vergeet ook niet om successen en ‘good practices’ te delen. Laat zien welke afdelingen goed bezig zijn en beloon medewerkers die zich inzetten voor informatiebeveiliging. Dit kan anderen motiveren om hetzelfde te doen. Daarnaast is het goed om regelmatig te evalueren of de maatregelen en communicatie effectief is. Vraag jezelf af: Wordt de informatie begrepen? Worden de richtlijnen opgevolgd? Zo niet, kijk dan naar manieren om de dit te verbeteren. Dit kan bijvoorbeeld door het aanpassen van de boodschap, het medium of de frequentie van de communicatie. Houdt omtrent informatiebeveiliging in ieder geval een positieve benadering vast, want het straffen van medewerkers heeft juist een negatieve werking op de cultuur. De gestrafte medewerker zal natuurlijk de eerste tijd na zijn berisping wel op zijn passen letten, maar het gevaar dreigt hem in wat dit voor de cultuur betekent. Als er namelijk een strafcultuur ontstaat zijn medewerkers bang om eventuele fouten te melden en hierdoor is de kans groot dat dreigingen gaan escaleren tot incidenten. Zorg juist daarom voor een positieve cultuur rondom informatiebeveiliging waarin medewerkers en management met elkaar in gesprek blijven.

Ontwerpen van maatwerk content

‘Algemene content’ blijkt vaak minder effectief dan content die is afgestemd op specifieke doelgroepen. Daarom is het belangrijk om maatwerk content te ontwerpen voor verschillende afdelingen en functies binnen een organisatie. Maatwerk content houdt in dat de inhoud van de training wordt aangepast aan de specifieke behoeften, kennisniveaus en verantwoordelijkheden van de medewerkers. Hoe ontwerp je nu maatwerk content? Begin met het identificeren van de verschillende doelgroepen binnen je organisatie. Dit kunnen afdelingen zijn, zoals HR, IT en marketing, maar ook specifieke functies zoals managers, systeembeheerders en developers. Analyseer vervolgens de behoeften en kennisniveaus van deze doelgroepen. Dit kan door middel van enquêtes, interviews en testen. Op basis hiervan kun je gerichte en relevante content ontwikkelen.

Bij het ontwikkelen van maatwerk content is het belangrijk om verschillende leermethoden en formats te gebruiken. Denk hierbij aan e-learningmodules, interactieve workshops, video's, handleidingen en simulaties. Dit zorgt ervoor dat de content aansluit bij de voorkeuren en leerstijlen van de beoogde medewerkers. Zorg er ook voor dat de content up-to-date is en regelmatig wordt bijgewerkt, zodat medewerkers altijd toegang hebben tot de meest actuele informatie. Tot slot is het hier ook weer belangrijk om de effectiviteit regelmatig te evalueren. Vraag feedback aan medewerkers en meet of de trainingsdoelstellingen worden behaald. Gebruik deze feedback om de content continu te verbeteren en aan te passen aan de veranderende behoeften van je organisatie.

Key take Aways

We hebben bepaalde punten van een SBCP redelijk uitgebreid besproken. Daarom volgt hier nog een korte samenvatting van dit artikel. Werknemers zijn vaak de zwakste schakel in de digitale weerbaarheid van bedrijven. SBCP’s helpen om deze zwakke schakel te versterken. Het SBCP gaat verder dan gewone beveiligingstrainingen en richt zich op het veranderen van gedrag en de cultuur rond beveiliging. Bedrijven kunnen echter uitdagingen tegenkomen bij het implementeren van een SBCP, zoals het krijgen van steun van het management, het aanpassen van het programma aan verschillende technische niveaus van medewerkers, en het aanpakken van verschillen in IT-kennis. Ook is het belangrijk om het SBCPin bestaande werkprocessen te integreren en geschikte content te ontwerpen voor de medewerkers(groepen). Om een SBCP succesvol te implementeren dienen onder andere de volgende stappen genomen te worden:

Het krijgen van management support.
Het SBCP aanpassen op de niveaus van de medewerkers.
Het SBCP integreren in bestaande processen.
Een positieve informatiebeveiligingscultuur opbouwen.
Het wegnemen van weerstand van werknemers.
Gebruik maatwerk content.

Gebruikte bronnen:

Da Veiga, A., & Eloff, J. (2010). A framework and assessment instrument for information security culture. Computers & Security, 29(2), 196–207. https://doi.org/10.1016/j.cose.2009.09.002

Mohammad, T., Hussin, N. A. M., & Husin, M. H. (2022). Online safety awareness and human factors: An application of the theory of human ecology. Technology in Society, 68, 101823. https://doi.org/10.1016/j.techsoc.2021.101823

Nobles, C. (2018). Botching human factors in cybersecurity in business organizations. Holistica, 9(3), 71–88. https://doi.org/10.2478/hjbpa-2018-0024

Security Behavior and Culture Programs: Adoption Strategies | Gartner Peer Community. (z.d.). https://www.gartner.com/peer-community/oneminuteinsights/security-behavior-culture-programs-sbcps-adoption-strategies-pqp

Shillair, R., Esteve-González, P., Dutton, W. H., Creese, S., Nagyfejeo, E., & Von Solms, B. (2022). Cybersecurity education, awareness raising, and training initiatives: National level evidence-based results, challenges, and promise. Computers & Security, 119, 102756. https://doi.org/10.1016/j.cose.2022.102756

Uchendu, B., Nurse, J. R., Bada, M., & Furnell, S. (2021). Developing a cyber security culture: Current practices and future needs. Computers & Security, 109, 102387. https://doi.org/10.1016/j.cose.2021.102387

Digital Services Act

Sun, 14 Jul 2024 06:56:22 GMT

Digital Services Act (DSA)

Auteur : Tim Fitters (IT Risk & Compliance Consultant)

De Digital Services Act

Intussen is er alweer veel geschreven over de Digital Services Act (DSA). In deze blog neem ik je kort mee in wat de DSA is en waar je als bedrijf rekening mee moet houden. De DSA is (weer) een nieuwe Europese verordening die ook weer tot doel heeft om een veiligere en meer verantwoordelijke onlineomgeving te creëren. De wetgeving is van toepassing op een groot deel van de online platformen, zoals marktplaatsen, sociale netwerken, platforms voor het delen van content, app stores en online reisplatforms. Het belangrijkste doel van de DSA is om illegale en schadelijke activiteiten online voorkomen, de verspreiding van desinformatie tegen gaan en de gebruikers meer controle en keuze geven. Kortom, de DSA richt zich op de bedrijven achter platformen en heeft als doel het beschermen van de (minderjarige) gebruiker, (andere) bedrijven en de samenleving online.

Dit doet de DSA door duidelijke en proportionele regels vast te stellen. Naast meer bescherming is de bedoeling dat de DSA ook zal leiden tot meer innovatie, groei en concurrentievermogen binnen de Europese digitale markt, waarbij ook kleinere bedrijven een kans krijgen. De DSA zal de rollen van gebruikers, platforms en overheden balanceren. Waarbij de Europese waarden en de belangen van burgers centraal staat.

Wat houdt de DSA in en voor wie?

We weten nu waarvoor de DSA in het leven is geroepen, maar wat houdt de DSA nu in? De DSA stelt regels voor verschillende soorten online diensten die miljoenen Europeanen dagelijks gebruiken. Voorbeelden hiervan zijn grote online platforms zoals Facebook (Meta), Google, en Amazon, die onder strengere regels vallen vanwege hun groot aantal gebruikers, bereik en impact. Hierover later meer. Andere diensten zijn online marktplaatsen zoals Bol.com en eBay, app stores zoals Apple's App Store en Google Play, deeleconomieplatforms zoals Airbnb, sociale media zoals Twitter en TikTok, en hostingdiensten zoals cloud- en webhosting, en diensten zoals internetproviders en domeinnaamregistrators.

Maar mijn platform is niet zo groot als Facebook, gelden voor mij dezelfde verplichtingen? Nee, gelukkig niet. Welke verplichtingen voor je bedrijf gelden, zijn afhankelijk van de grote en de aard van je diensten. Zo zijn de verplichtingen van kleine(re) platforms minder uitgebreid dan die voor grote platforms. Nog beter nieuws is dat de ‘kleinste’ ondernemingen zijn vrijgesteld van de meeste verplichtingen met betrekking tot de DSA, echter worden ze wel aangemoedigd om hun diensten in lijn te brengen met de DSA. En wanneer ben je dan een klein bedrijf? Als je minder dan 50 werknemers en een jaaromzet en/of een jaarlijkse balans die niet hoger is dan € 10 miljoen hebt dan val je niet onder de verplichtingen van de DSA. Mocht je hierboven komen als platform dan gelden de volgende verplichtingen voor je:

Meldings- en beroepsprocedures: het implementeren toegankelijke en gebruiksvriendelijke processen/methodes voor gebruikers om illegale inhoud te melden en bezwaar te maken tegen beslissingen over het verwijderen van inhoud.
Betrouwbare flaggers: Samenwerken met onafhankelijke experts op het gebied van illegale inhoud om illegale inhoud sneller te identificeren en te verwijderen, bijvoorbeeld fact-checking.
Maatregelen en bescherming tegen misbruik: bijvoorbeeld maatregelen om te voorkomen dat meldsystemen worden misbruikt, het aanpakken van gebruikers die herhaaldelijk de fout in gaan (o.a. plaatsen illegale content, misbruik van systemen) en het aanpakken van ‘dark patterns’ (Dit zijn technieken die gebruikers manipuleren of misleiden om keuzes te maken die niet in hun eigen belang zijn, bijvoorbeeld door de procedure om een dienst op te zeggen opzettelijk complex te maken. Bijvoorbeeld bepaalde loterijen die hun opzegprocedures moeilijk en onduidelijk maken).
Afhandeling van klachten: Procedures voor het afhandelen van klachten van gebruikers. Waarbij klachten onverwijld behandeld dienen te worden.
Screening van derde partijen: Controleren van de referenties van derde partijen waaraan diensten worden uitbesteed.
Transparantie verplichtingen: zoals je gebruikers informeren over de advertenties die ze te zien krijgen, inclusief waarom en wie ervoor heeft betaald. Waarbij gepersonaliseerde advertenties op basis van gevoelige gegevens, zoals geloofsovertuiging of seksuele geaardheid, zijn verboden.

VLOPs en VLOSE’s

Ik vroeg me hetzelfde af… Wat zijn nu weer VLOPs en VLOSE’s? VLOP staat voor Very Large Online Platform en VLOSE staat voor Very Large Online Search Engine. Dus in het Nederlands: zeer grote platformen en zoekmachines. Waarom worden deze apart genoemd? Deze worden apart genoemd in de DSA, omdat voor hen extra verplichtingen gelden. Waarom? Omdat we inmiddels allemaal wel weten dat bijvoorbeeld sociale media een grote rol speelt tijdens publieke evenementen, zoals verkiezingen, en dat ‘fake news’ dan aan de orde van de dag is. Alhoewel ik hoop dat Mark Zuckerberg of een andere CEO van een groot platform mijn blogs zal lezen, verwacht ik dit niet. Ondanks dat, is het voor de volledigheid belangrijk om de verplichtingen van VLOP's en VLOSE’s ook te bespreken, omdat de DSA zich voornamelijk richt op deze platforms.

Je bent een VLOP of VLOSE wanneer je platform ten minste 45 miljoen gebruikers in de EU bereikt, wat gelijk is aan 10% van de Europese bevolking. Dit aantal gebruikers geeft aan dat deze platforms een aanzienlijke maatschappelijke en economische impact hebben, wat nogmaals de reden is dat de DSA strengere verplichtingen oplegt aan deze grote platforms. De Europese Commissie is verantwoordelijk voor het beoordelen of een platform de drempel van 45 miljoen gebruikers heeft bereikt. Om deze beoordeling te kunnen maken, moeten alle online platforms, met uitzondering van de kleine bedrijven, informatie publiceren over hun aantal actieve gebruikers per maand. Deze publicatie moet voor het eerst gebeuren op 17 februari 2024 en vervolgens minstens één keer per zes maanden. Zodra de Europese Commissie een platform heeft aangewezen als VLOP of VLOSE, heeft dat platform vier maanden de tijd om te voldoen aan de DSA-verplichtingen. Deze verplichtingen omvatten onder andere het volgende:

Risicobeheer: Jaarlijkse risicobeoordelingen uitvoeren en maatregelen nemen om de risico's te beperken, zoals de verspreiding van illegale inhoud en desinformatie.
Externe risico-audits: Onafhankelijke auditors laten controleren op risicobeheer.
Openbare verantwoording: Transparantie over activiteiten en verantwoording afleggen aan het publiek, bijvoorbeeld over de algoritmes.
Transparantie van aanbevelingssystemen: Transparantie over de werking van aanbevelingssystemen en gebruikers in staat stellen om de criteria te wijzigen.
Toegang tot gegevens voor onderzoekers: Gegevens delen met geautoriseerde onderzoekers om de werking van platforms en de ontwikkeling van online risico's beter te begrijpen.

De handhaving van de DSA ligt ook bij de Europese Commissie voor VLOP's en VLOSE's, terwijl de lidstaten zelf verantwoordelijk zijn voor het toezicht op de overige online diensten in hun land. In Nederland zijn de ACM en AP de beoogde toezichthouders. Bedrijven die de regels niet naleven, kunnen boetes krijgen tot 6% van hun wereldwijde omzet. In het geval van zeer ernstige overtredingen kan de toegang tot een dienst tijdelijk worden stopgezet.

Voorbereiding op de DSA.

Wanneer je onder de DSA valt is het verstandig om hierover advies van experts in te winnen, zodat je volledig kan voldoen aan deze wetgeving. Voldoen aan de DSA is namelijk te complex om ‘even’ in een blog uit te schrijven. Wel kun je de volgende dingen doen om je voor te bereiden op de DSA. Ten eerste moet je de wet begrijpen en bepalen of je bedrijf eronder valt. Identificeer daarna de specifieke verplichtingen die voor jouw bedrijf gelden. Herzien, beoordeling en implementeer vervolgens de nodige beleidslijnen, procedures en systemen om aan de DSA te voldoen. Waar je aan zou kunnen denken zijn bijvoorbeeld:

- Het bijwerken van de algemene voorwaarden

- Het opzetten van klachtafhandeling systemen.

- Het opzetten van een meldingssysteem. bijvoorbeeld: een online marktplaats zou een geautomatiseerd systeem kunnen implementeren om verdachte producten te detecteren en gebruikers de mogelijkheid te geven om illegale content te melden.

Tot slot: blijf te allen tijde op de hoogte van de ontwikkelingen in deze wetgeving en wees transparant. Het is een goed idee om bepaalde werknemers aan te stellen die verantwoordelijk zijn voor de compliance aan de DSA. Ten eerste omdat je er zo voor zorgt dat de wetgeving top of mind blijft. Ten tweede omdat dit ook verplicht is vanuit de DSA. In Artikel 12 van hoofdstuk 3 van de verordening staat bijvoorbeeld dat aanbieders een centraal contactpunt moeten aanwijzen, zodat afnemers via een rechtstreekse en gebruiksvriendelijke manier met de aanbieder kan communiceren. Zoals besproken zorgt de DSA voor meer ‘keuze vrijheid’ van gebruikers. Dit contact punt mag daarom niet uitsluitend gebaseerd zijn op geautomatiseerde hulpmiddelen, zodat de gebruiker een communicatiemiddel kan kiezen.

In de inleiding heb ik aangegeven dat dit artikel een soort ‘high fly-over’ van de DSA is. Dus ik snap het als je jezelf afvraagt: waarom wordt er ingezoomd op een specifiek artikel? Dit is om het volgende punt duidelijk te maken: de DSA is een complexe en uitgebreide wetgeving en dit artikel is gebaseerd op de bronnen in de bronnenlijst, en niet toegespitst op een specifiek bedrijf of situatie. Daarom wil ik graag benadrukken dat dit artikel een korte toelichting van de DSA en geen volledige (juridische) analyse van de DSA is. Het is daarom raadzaam je te laten adviseren over de toepassing van de DSA in jouw specifieke geval.

Key take aways

Ter afsluiting nog even een korte samenvatting van wat we hebben besproken:

Wat is de DSA?: De DSA is een stap in de richting van een veiliger, transparanter en meer verantwoord digitaal ecosysteem in de EU. Door middel van een nieuwe set regels zorgt de DSA ervoor dat het internet veiliger en eerlijker wordt voor iedereen die het gebruikt. Het gaat over allerlei websites en apps waar je dingen kunt kopen, informatie kunt delen of met vrienden kunt praten, zoals Facebook, Bol.com, en YouTube.
Waarom is de DSA belangrijk?: Stel je voor dat je iets online koopt en het blijkt nep te zijn. De DSA wil dat soort dingen voorkomen. Ook wil het voorkomen dat mensen haatberichten of verkeerde informatie verspreiden. Het zorgt ervoor dat je beter beschermd bent als je online bent.
Voor wie gelden deze regels?: De regels van de DSA gelden voor grote websites met veel gebruikers, zoals Facebook en Google, maar ook voor kleinere websites en apps. Elk type website moet zich aanpassen aan de regels, afhankelijk van hoe groot ze zijn en hoeveel mensen ze bereiken.
Wat moeten deze platformen doen?: Ze moeten ervoor zorgen dat er geen illegale dingen op hun website staan, zoals verboden spullen verkopen of mensen pesten. Als ze iets illegaals ontdekken, moeten ze het snel weghalen. Ook moeten ze eerlijk zijn over waarom ze dingen verwijderen van hun website.
Wanneer beginnen deze regels?: Vanaf februari 2024 moeten alle websites en apps in Europa aan deze nieuwe regels voldoen. Grote websites moesten zelfs eerder beginnen, in augustus 2023.
Hoe kunnen bedrijven zich voorbereiden?: bedrijven moeten goed begrijpen welke regels voor hen gelden, transparant zijn en n.a.v. de nieuwe regels beleid implementeren.

Gebruikte bronnen:

Ministerie van Economische Zaken en Klimaat. (2023, 17 februari). EU-regelgeving van start: extra verantwoordelijkheden digitale diensten. Nieuwsbericht | Rijksoverheid.nl. https://www.rijksoverheid.nl/actueel/nieuws/2023/02/17/eu-regelgeving-van-start-extra-verantwoordelijkheden-digitale-diensten

Ministerie van Economische Zaken en Klimaat. (2024, 16 februari). DSA: extra verantwoordelijkheden gelden nu voor alle digitale diensten. Nieuwsbericht | Rijksoverheid.nl. https://www.rijksoverheid.nl/actueel/nieuws/2024/02/16/dsa-extra-verantwoordelijkheden-gelden-nu-voor-alle-digitale-diensten

Press corner. (z.d.). European Commission - European Commission.

https://ec.europa.eu/commission/presscorner/detail/en/QANDA_20_2348

The enforcement framework under the Digital Services Act. (z.d.). Shaping Europe’s Digital Future. https://digital-strategy.ec.europa.eu/en/policies/dsa-enforcement

The EU’s Digital Services Act. (z.d.). European Commission. https://commission.europa.eu/strategy-and-policy/priorities-2019-2024/europe-fit-digital-age/digital-services-act_en#:~:text=Digital%20Services%20Act%20(DSA)%20overview&text=Its%20main%20goal%20is%20to,and%20open%20online%20platform%20environment .

The impact of the Digital Services Act on digital platforms. (z.d.). Shaping Europe’s Digital Future. https://digital-strategy.ec.europa.eu/en/policies/dsa-impact-platforms

REGULATION (EU) 2022/2065 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL

of 19 October 2022, on a Single Market For Digital Services and amending Directive 2000/31/EC (Digital Services Act). L_2022277EN.01000101.XML. (z.d.). https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32022R2065

Cyber Resilience Act

Tue, 02 Jul 2024 10:03:35 GMT

Cyber Resilience Act (CRA)

Auteur : Ti m Fitte rs (IT Risk & Compliance Consultant)

De Cyber Resilience Act

Over de Cyber Resilience Act (CRA) is al veel geschreven. In dit artikel bied ik een beknopt overzicht van wat de Cyber Resilience Act inhoud. Ik ga kort in op de CRA, het doel ervan, welke eisen er zijn en welke stappen je als bedrijf kan zetten richting CRA compliancy. We zullen beginnen met het begin: wat is de CRA? CRA is nieuwe Europese wetgeving en, kort gezegd, in de CRA is vastgelegd dat bedrijven die producten maken met digitale componenten erin, veilig moeten zijn. De wet bepaalt dat fabrikanten gedurende de gehele levensduur verantwoordelijk blijven voor de cyberveiligheid van hardware- en softwareproducten. Dit geldt voor alle producten die op de EU-markt worden gebracht. De CRA geeft regels voor de veiligheid van producten en hoe gereageerd moet worden op kwetsbaarheden in producten. Deze regels zijn overigens verplicht!

De CRA wil namelijk dat de interne (Europese) markt veilig is door veilige producten te maken die minder kwetsbaar zijn. Door het verminderen van de problemen met soft- en hardware in producten en het verbeteren van de kwaliteit, zal uiteindelijk een hogere digitale weerbaarheid ontstaan. Fabrikanten krijgen als het ware een zorgplicht. De wet stelt namelijk dat ze verantwoordelijk zijn voor de veiligheid van hun producten tijdens de hele levenscyclus. Daarnaast helpt CRA gebruikers rekening te houden met cyberveiligheid bij hun keuze en gebruik van producten. Dit wordt onder andere bereikt door de beveiliging van producten van het begin tot het einde van de productlevenscyclus mee te nemen, een systeem te maken dat wettelijke naleving makkelijker maakt en gebruikers meer bewust te maken over veiligheid en risico's. Dit zorgt voor verplichtingen aan de kant van fabrikanten, importeurs en distributeurs. Per groep zal ik kort toelichten wat deze verplichtingen inhouden.

Verantwoordelijkheid van Fabrikanten
Fabrikanten hebben verschillende verplichtingen onder de CRA. Ze moeten ervoor zorgen dat hun producten veilig zijn bij het leveren, installeren, onderhouden en gebruiken van hun producten. Ze moeten ook transparant zijn over de cyberveiligheid van hun producten, (gratis) beveiligingsondersteuning bieden (updates) en voldoen aan de eisen voor kwetsbaarheidsrespons. Dat laatste betekent dat fabrikanten een plan moeten hebben om snel te reageren op ontdekte kwetsbaarheden, gebruikers hierover te informeren en patches om het op te lossen uit te rollen. Fabrikanten moeten ook ernstige incidenten melden aan het Europees Agentschap voor Cyberbeveiliging (ENISA) en een beleid maken voor openbaarmaking van kwetsbaarheden. Dit alles verkleint de risico's voor gebruikers.

Verplichtingen van Importeurs en Distributeurs

De fabrikant is dus verantwoordelijk voor de beveiliging van producten, maar importeurs en distributeurs zijn verantwoordelijk voor het garanderen dat alleen producten die aan de eisen van de CRA voldoen, de Europese markt bereiken. De CRA legt uit wat importeurs en distributeurs moeten doen om veiligheid in de gehele supplychain te verbeteren. Dit is een vriendelijke manier om te zeggen, wat hun verplichtingen zijn. Onder de CRA moeten importeurs en distributeurs ervoor zorgen dat hun producten aan strenge eisen voldoen voordat ze op de markt komen. Importeurs dienen ervoor te zorgen dat producten veilig zijn en aan alle regelgeving voldoen, inclusief het controleren van conformiteitsprocedures en het verstrekken van correcte CE-markeringen en bijbehorende informatie. Zij zijn ook verantwoordelijk voor het melden van eventuele tekortkomingen aan fabrikanten en toezichthoudende autoriteiten, het transparant vermelden van hun eigen identificatiegegevens en het voorzien van gebruikers van duidelijke instructies. Distributeurs delen vergelijkbare verplichtingen, waaronder zorgvuldige productverificatie, meldingsplicht bij vermoedelijke non-conformiteit en samenwerking met autoriteiten om de naleving te waarborgen. Waarom krijgen zij ook deze verplichtingen? Nou, om de veiligheid van digitale producten te kunnen waarborgen en heldere verantwoordelijkheden vast te stellen in de gehele supplychain, zijn deze verplichtingen en gezamenlijke inspanningen erg belangrijk.

Waar moet je als bedrijf op letten met betrekking tot CRA?

De CRA gaat een grote impact hebben op bedrijven. Het aantal incidenten in de EU zal door de strengere regels met betrekking tot cyberveiligheid verminderen en de impact van incidenten zal ook afnemen. Een beter cyberbeveiligingsniveau voor producten betekent namelijk minder incidenten en een lagere impact voor bedrijven. Dankzij het uniform maken van cyberbeveiligingsregels door de hele EU, krijgen bedrijven ook meer rechtszekerheid en creëert een gelijk speelveld. Elk EU bedrijf moet zich tenslotte aan dezelfde regels houden. De grotere transparantie over beveiliging zal gebruikers ook meer vertrouwen geven, wat op lange termijn goed is voor bedrijven die zich inzetten voor cyberveiligheid en compliance.

Laten we eerlijk zijn, CRA heeft wel een aantal voordelen, maar het brengt ook (net als andere wetgevingen) uitdagingen met zich mee. Want om aan de CRA te voldoen, moet je als bedrijf onder andere de volgende stappen ondernemen. Zoals gewoonlijk, begint het met een uitgebreide risico assessment van mogelijke bedreigingen voor producten met digitale componenten, waarbij de bevindingen gedocumenteerd worden en maatregelen geïntegreerd moeten worden voor alle fasen van de productlevenscyclus. Vanaf de ontwerpfase moeten producten worden ontwikkeld die veilig zijn en die geen kwetsbaarheden, maar juiste sterke beveiligingsmaatregelen bevatten. Kortom: in de gehele productlevenscyclus blijf je als fabrikant voor de veiligheid van het product verantwoordelijk.

Daarnaast zijn het verkrijgen van een CE-markering en het voorbereiden van een EU-conformiteitsverklaring belangrijke stappen om aan de CRA te voldoen. Ook hierbij blijft het je verantwoording om aan de gebruikers duidelijke instructies en beveiligingsinformatie te verstrekken. Bedrijven dienen ook een beleid voor kwetsbaarheidsbeheer te implementeren, inclusief de mogelijkheid om snel patches uit te voeren, waarbij ernstige kwetsbaarheden en incidenten gemeld moeten worden aan ENISA en andere relevante autoriteiten. Een goede samenwerking met markttoezichtautoriteiten en het continue trainen en bewust worden binnen het bedrijf over cyberbeveiliging zijn, zoals altijd, ook weer belangrijk. Deze stappen zorgen niet alleen voor een juiste stap richting het compliant worden aan CRA, maar ook voor een digitaal weerbaarder Europa!

Key take aways!

Hierbij nog een kort overzicht van wat we zojuist besproken hebben:

Doel van de CRA: De CRA is Europese wetgeving die bedrijven verplicht om producten met digitale componenten veilig te maken en te houden gedurende hun hele levenscyclus. Dit is bedoeld om de veiligheid te verbeteren en problemen met hardware en software te verminderen.

Verantwoordelijkheden van Fabrikanten: Fabrikanten moeten ervoor zorgen dat hun producten veilig zijn en aan alle wettelijke eisen voldoen. Ze moeten de cyberveiligheid in de gaten houden, updaten, transparant zijn en snel reageren op kwetsbaarheden.

Rol van Importeurs en Distributeurs: Importeurs en distributeurs zijn verantwoordelijk voor het controleren en garanderen dat alleen conformiteitsgecertificeerde producten op de markt komen. Ze moeten non-conformiteiten melden en samenwerken met autoriteiten om de naleving te waarborgen.

Stappen richting compliancy: Bedrijven moeten verschillende stappen ondernemen om aan de CRA te voldoen, zoals risicobeoordelingen uitvoeren, CE-markering verkrijgen, gebruikers van duidelijke instructies voorzien en een beleid voor kwetsbaarheidsbeheer implementeren.

Voordelen en Uitdagingen: De CRA belooft een verbeterd niveau van cyberveiligheid, minder incidenten en meer vertrouwen bij gebruikers. Tegelijkertijd brengt het nalevingskosten met zich mee, zoals kosten voor risicobeoordelingen en certificeringen.

Digital Operation Resilicience Act (DORA)

Fri, 21 Jun 2024 21:24:08 GMT

Digital Operation Resilicience Act (DORA)

Auteur : Tim Fitters (IT Risk & Compliance Consultant)

Waarvoor is DORA?

Financiële instellingen beschikken over enorm veel geld en verwerken talloze gevoelige persoonsgegevens, waardoor ze aantrekkelijke doelwitten zijn voor cybercriminelen. Deze criminelen vallen financiële dienstverleners vaak aan met ransomware of proberen fraude te plegen door klanten op te lichten (social engineering, phishing etc.) . De mate waarin de cyberdreigingen toenemen, gaat sneller dan de ontwikkeling van de weerbaarheid tegen deze bedreigingen, wat leidt tot grote(re) risico's. Om dit te voorkomen, zijn er regels en frameworks in het leven geroepen die de digitale weerbaarheid van financiële instellingen zouden moeten verbeteren. DORA is er hier een van en biedt een kader dat ervoor zorgt dat financiële instellingen en hun (kritieke) partners de integriteit, beschikbaarheid en veiligheid (CIA Triangle) van hun systemen kunnen waarborgen.

Wat is de Digital Operational Resilience Act (DORA)?

De Digital Operational Resilience Act (DORA) is een EU-regulering die technische eisen stelt aan financiële entiteiten en ICT-leveranciers op vier gebieden:

ICT-risicomanagement
Incidentenrapportage
Testen van digitale weerbaarheid
Risicobeheer van ketenpartners
Informatie uitwisseling

Definitie van financiële entiteiten en hun ICT-dienstverleners

De DORA heeft betrekking op financiële entiteiten en hun ICT-dienstverleners, maar welke organisaties vallen hier nu precies onder? De definitie van financiële entiteiten worden in de DORA genoemd in artikel 2, paragraaf 1, punten (a) tot en met (t). Nu snap ik dat je dit niet zelf op gaat zoeken. Dus, om een beetje een beeld te schetsen, organisaties waar je bijvoorbeeld aan zou kunnen denken zijn: kredietinstellingen, beleggingsinstellingen, verzekeraars, pensioenfondsen en aanbieders van crowdfundingdiensten. In principe dus bijna elke (grote) financiële dienstverlener...

ICT third-party service providers (dienstverleners) zijn ondernemingen die ICT-diensten aan deze financiële instellingen aanbieden. Dit zijn diensten zoals cloud computing, software, data-analyse en data-opslag. DORA stelt dat ook bedrijven die ICT-diensten leveren aan hun moedermaatschappij of (andere) dochterondernemingen hiervan, die actief zijn in de financiële sector, onder de DORA vallen. Financiële entiteiten die ICT-diensten leveren aan andere financiële entiteiten worden ook beschouwd als kritieke ICT-dienstverleners. Kritieke ICT-diensten zijn bijvoorbeeld ook betalingsdiensten die betalingen verwerken.

Wat betekenen die DORA-pilaren uitgebreid en hoe komen ze terug in een organisatie?

De vijf pijlers van DORA komen op de volgende manieren terug in een organisatie:

1. ICT-risicomanagement

DORA stelt regels voor hoe je ICT-risico's moet aanpakken. De 'board' van een organisatie is uiteindelijk verantwoordelijk voor de ICT. Zij hebben onder andere de taak om (senior) managers te helpen bij het bepalen en uitvoeren van risicomanagement. Voor de informatiebeveiligers onder ons: DORA is een mooie aangelegenheid om informatiebeveiliging weer eens aan te kaarten. Organisaties moeten beleid maken voor risicomanagement, waarbij ze ICT-systemen in kaart brengen, kritieke bedrijfsmiddelen, functies en afhankelijkheden identificeren. Organisaties moeten voortdurend risico's in de gaten houden, bedreigingen opsporen en maatregelen nemen om ze te voorkomen. Bedrijven moeten ook plannen maken om te voorkomen dat hun bedrijf in gevaar komt door cyberproblemen, de zogenaamde incident response plannen en bedrijfscontinuïteitsplannen.

Easier said, than done. Hoe moet ik dit nu opzetten? Risicomanagement opzetten, begint met het documenteren van alle ICT-systemen, haar functies en onderlinge afhankelijkheden. De architectuur in kaart brengen dus. Om te zorgen voor de juiste bescherming en indeling van je architectuur, moet je eerst bepalen welke bedrijfsmiddelen en functies belangrijk zijn voor je bedrijf en periodieke monitoring uitvoeren om nieuwe en bestaande risico's te identificeren en te evalueren. Als je de risico's hebt bepaald, maak dan controls om de systemen te beschermen, en gebruik een gestructureerde aanpak om de risico's op een overzichtelijke en consistente manier te mitigeren. Leg ook de gevolgen van het niet naleven van de controls vast.

Controls zijn dus de maatregelen die ICT-risico's identificeren, voorkomen en beperken, en die beveiligingsinformatie verzamelen en analyseren. Security Information and Event Management (SIEM) software helpt bij het verzamelen en analyseren van beveiligingsinformatie, en Security Orchestration, Automation, and Response (SOAR) tools helpen incidentrespons te automatiseren en te coördineren. Het is overigens belangrijk dat alle systemen regelmatig worden bijgewerkt en geüpdatet om beveiligingsproblemen te voorkomen.

Waarom zou je dit doen? Naast dat je de digitale weerbaarheid van je organisatie wil verbeteren, stelt de RTS (Regulatory Technical Standards) dat financiële entiteiten moeten zorgen voor (technische) beveiliging tegen bijvoorbeeld inbraak en gegevensmisbruik. Dit zijn bijvoorbeeld maatregelen voor logging en netwerkbeveiliging, waarvoor procedures, protocollen en tools moeten worden ontwikkeld, vergeet hierbij niet de maatregelen voor de implementatie van netwerktoegangscontroles en de encryptie van netwerkverbindingen. Nu we het hebben over netwerkverbindingen: ook de beveiliging van gegevens tijdens de overdracht vereist maatregelen om de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid te waarborgen. Zorg daarnaast ook voor beleid voor het veilig uitvoeren van projecten, maar ook voor beleid dat informatiebeveiliging meeneemt bij veranderingen in een systeem.

Financiële entiteiten moeten overigens ook hun risicomanagement jaarlijks evalueren, evenals na ernstige (ICT-gerelateerde) incidenten of op aanwijzing van de toezichthouder. Kleine ondernemingen hoeven deze evaluatie niet jaarlijks uit te voeren, maar wel binnen een voor hen redelijke termijn. Want op verzoek van de toezichthouder moet een evaluatierapport worden overhandigd. Het is trouwens altijd een goed idee om regelmatig je risico's en de daarbij horende maatregelen te evalueren en waar nodig aan te passen.

2. Incidentenrapportage

Het doel van DORA is de rapportage van ICT-gerelateerde incidenten te verbeteren en de meldplicht uit te breiden. Dit houdt in dat organisaties controls moeten opzetten voor het monitoren, beheren, loggen, classificeren en rapporteren van ICT-gerelateerde incidenten.

Daarbij zijn financiële instellingen verplicht om ernstige ICT-gerelateerde incidenten te melden aan de relevante bevoegde autoriteit. Maar wat is dan een ernstig ICT-incident? Een ernstig ICT-incident is een incident dat ernstige gevolgen heeft voor de netwerk- en informatiesystemen die kritieke of belangrijke functies van de financiële instelling ondersteunen. In het geval dat een financiële instelling onder toezicht staat van meerdere nationale autoriteiten, wijzen de lidstaten één autoriteit aan die verantwoordelijk is voor de rapportage. Bijvoorbeeld kredietinstellingen, die als significant zijn geclassificeerd, rapporteren aan de nationale bevoegde autoriteit, die het rapport dan naar de Europese Centrale Bank (ECB) stuurt.

Als je een ernstig ICT-incident hebt, moet je dat ook aan de relevante stakeholders melden. De melding van een ernstig ICT-gerelateerd incident moet ten eerste zo snel mogelijk gebeuren en bestaat uit:

Een eerste kennisgeving
Een tussentijds verslag, wanneer de status van het incident verandert of er nieuwe informatie beschikbaar is, en op verzoek van de bevoegde autoriteit.
Een eindverslag, wanneer de analyse van de oorzaak is afgerond en de impactcijfers beschikbaar zijn.

De Europese toezichthoudende autoriteiten (ETA's) bepalen de precieze inhoud van de rapporten en de uiterste termijnen voor de eerste kennisgeving en de verslagen.

Financiële instellingen kunnen daarnaast ook vrijwillig ernstige cyberdreigingen melden aan de bevoegde autoriteit. De ETA's zullen de criteria die nodig zijn om ernstige cyberdreigingen te identificeren bepalen, dus dit hoeven we (gelukkig) niet zelf te bedenken. De ETA's bepalen tevens ook de inhoud van deze kennisgeving. De bevoegde autoriteit deelt de informatie over gemelde incidenten met andere relevante instanties.

3. Testen van de digitale operationele veerkracht

Financiële instellingen moeten basistests en/of geavanceerde testen (het verschil tussen deze twee testen bespreken we zo meteen) uitvoeren om hun digitale weerbaarheid te beoordelen. DORA of niet; het is sowieso een good practice om regelmatig de systemen testen, om te kijken of ze goed beschermd zijn en om kwetsbaarheden te ontdekken. In het kader van DORA-principe 4 moeten ICT-leveranciers van de organisatie ook deelnemen aan deze tests. Alle financiële instellingen, met uitzondering van kleine ondernemingen, moeten een programma voor het testen van de digitale weerbaarheid opzetten, handhaven en evalueren. Dit programma sluit aan op DORA principe 1. Het testprogramma moet een op risico's gebaseerde aanpak volgen en rekening houden met:

De criteria voor evenredigheid. Dit zijn bijvoorbeeld: bedrijfsomvang, risicoprofiel en schaal, aard en complexiteit van de bedrijfsactiviteiten. Dit staat om precies te zijn beschreven in artikel 4, lid 2 van de verordening.
Het veranderende ICT-landschap.
Risico's waaraan de instelling wordt of kan worden blootgesteld.
Het belang van informatie en diensten.

Net als bij de incidentrapportage bepaalt de Europese Commissie welke eisen er zijn voor de testprogramma's. Het testprogramma moet ook externe audits bevatten, anders krijg je het 'slager die zijn eigen vlees keurt' verhaal en moet natuurlijk ook uiteindelijk worden geëvalueerd en bijgewerkt op basis van de resultaten van deze audits. Hierbij kunnen de auditors van Cyberus je uiteraard helpen! Natuurlijk ook met de andere punten.

Oké weer verder: je moet als organisatie dus testen uitvoeren. In het vorige hoofdstuk heb ik al aangegeven dat we de verschillende soorten testen zouden bespreken, maar ik wil van deze gelegenheid ook gebruikmaken om te zeggen dat het, ondanks dat je onder DORA valt of niet, altijd goed is om je digitale weerbaarheid, met op je organisatie afgestelde testen, te testen. Dat gezegd hebbende de soorten testen met betrekking tot DORA kunnen worden onderverdeeld in basistesten en geavanceerde testen. Basistesten zijn de ‘standaard’ testen waarbij het gaat om het testen en beoordelen van de digitale weerbaarheid van de systemen. Bijvoorbeeld door te testen met scenariogebaseerde testen, zodat je kunt zien hoe goed systemen reageren en eventuele (nadere) kwetsbaarheden te ontdekken.

Geavanceerde testen zijn uitgebreider. Een voorbeeld van een geavanceerde test manier is Threat-Led Penetration Testing (TLPT), die minstens elke drie jaar moet worden uitgevoerd voor kritieke entiteiten. TLPT's zijn uitgebreidere tests waarbij kritieke systemen van een organisatie worden beoordeeld. Deze tests dienen uiteraard door onafhankelijke testers te worden uitgevoerd (want: 'slager keurt eigen vlees' verhaal). In het testprogramma moeten de procedures, beleidsmaatregelen en de te nemen stappen in het geval van een (ICT-gerelateerd) incident worden opgenomen. Technische standaarden voor TLPT's zullen waarschijnlijk in overeenstemming zijn met het TIBER-EU raamwerk.

4. Risicobeheer door derden

DORA legt regels op over hoe risico's bij derde partijen worden gecontroleerd en stelt eisen aan de contracten met en toezicht op ICT-dienstverleners die samenwerken met financiële instellingen. Dit omvat onder andere due diligence en regelmatige beoordeling en monitoring van de prestaties van de leveranciers. DORA verplicht financiële instellingen overigens ook om alle contracten met ICT-dienstverleners te registreren. Deze registers moeten onder andere de naam van de ICT-dienstverlener, het doel van het contract, de start- en einddatum van het contract en een beschrijving van de uitbestede taken bevatten. DORA hamert er op dat financiële instellingen goed opletten bij het kiezen van ICT-dienstverleners en zorgvuldige afspraken maken over prestaties, beveiliging en exitstrategieën. Ook moeten ze continu de prestaties en naleving van leveranciers monitoren door middel van regelmatige audits en rapportages. Het komt erop neer dat organisaties informatiebeveiliging al moeten meenemen bij het kiezen van ICT-dienstverleners en niet pas na het tekenen van het contract, want dan valt er weinig meer te bepalen. Dit is overigens een good practice voor elk bedrijf, ongeacht je 'DORA-plichting' bent of niet.

5. Informatie-uitwisseling

DORA moedigt financiële instellingen aan om samen informatie over (cyber)dreigingen te delen om bedreigingen beter te kunnen beoordelen en te bestrijden. Dit verbetert de samenwerking en maakt de hele sector beter bestand tegen aanvallen. Elke financiële instellingen dient namelijk de vertrouwelijkheid en bescherming van de klant te waarborgen, dus waarom zou je met elkaar concurreren op informatiebeveiliging? Het is beter om met elkaar te concurreren op lage rentes en gunstige tarieven, zodat elke klant meer tevreden wordt of spreek ik nu voor mezelf?

Belangrijke punten bij het uitwisselen van informatie met andere partijen:

Zorg ervoor dat informatie alleen wordt gedeeld in vertrouwensgroepen.
Zorg dat de gedeelde informatie veilig is.
Stel gedragsregels op die de vertrouwelijkheid van bedrijfsinformatie, de bescherming van persoonsgegevens, en de naleving van mededingingsregels waarborgen.

Voorbereiden op DORA

We hebben de principes van DORA besproken en nu komt de belangrijkste vraag: Hoe kun je je als organisatie voorbereiden op DORA?

DORA kan een groot verschil gaan maken voor je organisatie, maar het verbeterd wel de digitale weerbaarheid van je organisatie. Als je je organisatie wilt voorbereiden op de implementatie van DORA in januari 2025, is het belangrijk een grondige analyse uit te voeren van je huidige situatie. Dit kan met een GAP-analyse om te bepalen in hoeverre je al voldoet aan de vereisten van DORA. Bekijk de hiaten tussen je bestaande processen, systemen en de toekomstige vereisten van DORA. Dit vormt de basis voor verdere stappen om compliant te worden. Want hoe kun je iets verbeteren, als je niet weet wat je moet verbeteren? In het kort: breng de 'as-is' situatie en 'to-be' situatie in kaart en beschrijf de stappen die je moet nemen om naar de 'to-be' situatie te gaan.

Een goed Risk Management framework is belangrijk om risico’s efficiënt te beheren. Het Enterprise Risk Management (ERM) framework is hier een handig framework voor. Je kunt natuurlijk ook een ander framework gebruiken. Het is ten slotte de bedoeling dat je de risico's in kaart brengt en vervolgens strategieën, beleid, procedures en tools formuleert om de risico's te beheersen. Het regelmatig evalueren en updaten van dit framework, inclusief onafhankelijke audits, zorgt ervoor dat DORA-richtlijnen blijvend effectief en nageleefd worden. Het Risk Management framework is niet alleen intern, maar ook extern van toepassing. Het vereist dan ook een geïntegreerde aanpak van risico's van derde partijen. Door het opnemen van third party risk en het ontwikkelen van een strategie voor het beheersen ervan, verminder je de potentiële blootstelling aan externe risico's. Het bijhouden van contractuele overeenkomsten en het implementeren van exit strategieën voor kritieke dienstverleners hoort hier ook bij.

Business Continuity Management (BCM) is ook zeer belangrijk, want het speelt een sleutelrol in het waarborgen van de continuïteit van je bedrijfsactiviteiten. Als je goed het ICT-landschap van je organisatie monitort en je systemen regelmatig controleert, kun je tijdig inspelen op veranderingen en reageren op incidenten. Zorg ervoor dat je ICT-systemen goed werken met behulp van beveiligingsmaatregelen, beleid en procedures, en stel een Business Continuity Plan (BCP) op en test deze regelmatig.

Naast alle technische maatregelen, frameworks en beleid. Investeer ook in de ontwikkeling van je personeel door te zorgen voor voldoende capaciteiten en middelen om kwetsbaarheden en ICT-gerelateerde incidenten effectief te beheren. Zoals we weten is het personeel de zwakste schakel in informatiebeveiliging. Door hen 'aware' te maken, zullen we deze zwakke schakel transformeren tot een sterke(re) schakel. Het personeel kan helpen bij het vroegtijdig signaleren van incidenten of andere afwijkende patronen, maar dan moeten ze wel weten waar ze op moeten letten. Het maken van bewustwordingsprogramma's voor medewerkers en regelmatige trainingen helpen om risico's te verminderen, wat vervolgens bijdraagt aan een betere digitale weerbaarheid.

We moeten niet alleen preventieve maatregelen nemen, maar ook een plan maken om incidenten aan te pakken en een programma om de reactieve maatregelen en plannen te testen. Testen en trainen zijn namelijk belangrijk voor het detecteren, afhandelen en voorkomen van risico's en incidenten. By the way, wanneer je deze processen in je werkprocessen integreert, verbetert dit de incidentresponse en daarmee de digitale weerbaarheid van de organisatie. Informatiebeveiliging is namelijk geen aparte ‘business unit’, maar vereist om effectief te zijn een organisatie brede aanpak.

De reden waarom ik dit zeg is omdat, informatiebeveiliging vaak wordt gezien als een IT-feestje, waardoor er tijdens incidenten naar de IT-afdeling wordt gewezen, terwijl de IT-afdeling naar de 'business' wijst omdat de IT-afdeling wel 'eigenaar' is van de (IT) systemen, maar niet van de werkprocessen en data. Vergeet daarom ook het stukje governance niet. Zorg er voor dat binnen de organisatie duidelijke rollen en verantwoordelijkheden zijn gedefinieerd. Bovendien dien je onafhankelijke controles in te richten volgens het Three Lines model om de effectiviteit van de maatregelen te waarborgen. Volg ten slotte de ontwikkelingen rondom DORA op de voet, inclusief de publicaties van RTS en Implementing Technical Standards (ITS). Door dit te doen, kun je tijdig en adequaat reageren op nieuwe vereisten en uitdagingen.

Key take aways!

De Digital Operational Resilience Act (DORA) is dus een wet die de digitale veiligheid van de financiële sector moet verbeteren. De regels van DORA helpen financiële instellingen beter voorbereid te zijn op (toekomstige) cyberdreigingen en incidenten. Dit zal de algehele stabiliteit van het financiële systeem en de bescherming van de belangen van klanten en andere stakeholders vergroten. DORA gaat op 17 januari 2025 in werking. Wacht dus niet te lang en begin vandaag al met de voorbereiding. Een goede voorbereiding op DORA begint met de volgende punten:

Voer een GAP-analyse uit om de huidige situatie te beoordelen en de 'as-is' en 'to-be' situaties in kaart te brengen.
Gebruik een goed Risk Management framework zoals ERM, evalueer en update het regelmatig.
Integreer third-party risk management en ontwikkel strategieën voor het beheersen van externe risico's.
Zorg dat je een Business Continuity Plan (BCP) hebt en test dit regelmatig, controleer ICT-systemen en zorg dat je tijdig op veranderingen en incidenten reageert.
Zorg ervoor dat je medewerkers bewust worden van informatiebeveiliging door ze regelmatig te trainen.
Integreer testen en trainen in werkprocessen om incidenten effectief te detecteren, af te handelen en te voorkomen, en verbeter de incidentresponse door regelmatige oefeningen.
Zorg voor duidelijke rollen en verantwoordelijkheden binnen de organisatie en richt onafhankelijke controle- en auditfuncties in.
Blijf op de hoogte van de laatste updates over DORA om tijdig te reageren op nieuwe problemen.

Gebruikte bronnen:

Digital Operational Resilience Act (DORA). (z.d.-a). European Insurance And Occupational Pensions Authority. https://www.eiopa.europa.eu/digital-operational-resilience-act-dora_en
Digital Operational Resilience Act (DORA). (z.d.-b). ©2022 AFM. https://www.afm.nl/en/sector/themas/digitalisering/dora
Digital Operational Resilience Act (DORA) - Regulation (EU) 2022/2554. (z.d.-a). https://www.digital-operational-resilience-act.com/
Digital Operational Resilience Act (DORA) - Regulation (EU) 2022/2554. (z.d.-b). https://www.digital-operational-resilience-act.com/
L_2022333EN.01000101.XML. (z.d.). https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX%3A32022R2554
Regulation - 2022/2554 - EN - DORA - EUR-Lex. (z.d.). https://eur-lex.europa.eu/eli/reg/2022/2554/oj

NIS2

Fri, 14 Jun 2024 14:15:29 GMT

NIS2... wat moet ik ermee?

Auteur: Tim Fitters - IT Risk & Compliance Consultant Cyberus

Wat is NIS2 en waarvoor bestaat het?

Er is al redelijk veel geschreven over de nieuwe Network and Information Security Directive (NIS2) richtlijn. Dit kan ervoor zorgen dat je door de bomen het bos niet meer ziet. In deze blog leg ik uit wat de NIS2 richtlijn is en wat dit betekent voor jouw organisatie. NIS2 is in 2022 door ‘Europa’ in het leven geroepen als antwoord op diverse bedreigingen die de veiligheid van onze economie en maatschappij onder druk zetten, zoals toenemende cyberdreigingen, pandemieën (herinneren we ons COVID-19 nog?), gevolgen van klimaatverandering en de oorlog in Oekraïne. (Ministerie van Justitie en Veiligheid, 2024). Hierdoor zijn er nieuwe kwetsbaarheden ontstaan zoals:

cyberaanvallen gericht op leveranciers, bijvoorbeeld voor het verstoren van logistieke processen.
onveilige externe toegang, die door aanvallers misbruikt kunnen worden, doordat de beveiliging van andere partijen in de supplychain niet voldoende is.
malware kan zich door de supplychain heen verspreiden.

De NIS2 moet ervoor zorgen dat Europese lidstaten beter beschermd zijn tegen cyberaanvallen en dat ze weerbaarder zijn tegen digitale, fysieke en economische bedreigingen. Hoe? De NIS2 gaat de weerbaarheid van Europese lidstaten vergroten door:

De cybersecurity van organisaties in de EU verbeteren.
De weerbaarheid van essentiële diensten en digitale infrastructuur verhogen;
Het vertrouwen in de digitale economie vergroten.
De ontwikkeling van de digitale markt in Europa te versterken (Europees parlement en de raad van de europese unie, 2022).

De NIS2 is overigens de opvolger van de eerste NIS-richtlijn, in Nederland ook wel bekend als de NIB, die in Nederland in 2016 is opgenomen in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni) (Ministerie van Justitie en Veiligheid, 2024b).

Wie valt onder de NIS2-richtlijn?:

Afhankelijk van de sector en de omvang van een organisatie wordt bepaald of deze onder de NIS2-richtlijn valt, inclusief de Cyberbeveiligingswet. De omvang van een organisatie wordt vastgesteld aan de hand van twee criteria:

Een organisatie wordt als 'groot' beschouwd als zij minstens 250 medewerkers heeft OF een jaaromzet van meer dan 50 miljoen euro en een balanstotaal van meer dan 43 miljoen euro.
Een organisatie wordt als 'middelgroot' beschouwd als zij minstens 50 medewerkers heeft OF een jaaromzet van meer dan 10 miljoen euro en een balanstotaal van meer dan 10 miljoen euro.

Vervolgens wordt op basis van de hieronder genoemde vermelde sectoren in bijlage I en 2 van de Cyberbeveiligingswet bepaald of een organisatie wordt geclassificeerd als een 'essentiële entiteit' of een 'belangrijke entiteit'(Ministerie van Justitie en Veiligheid, 2024c).

Zeer kritieke sectoren bijlage 1

Andere kritieke sectoren bijlage 2

Energie
Transport
Bankwezen
Infrastructuur financiële markt
Gezondheidszorg
Drinkwater
Digitale infrastructuur
Beheerders van ICT-diensten
Afvalwater
Overheidsdiensten
Lokale overheden
Ruimtevaart
Digitale aanbieders
Post- en koeriersdiensten
Afvalstoffenbeheer
Levensmiddelen
Chemische stoffen
Onderzoek
Vervaardiging / manufacturing

(Ministerie van Justitie en Veiligheid, 2024c)

Ik val onder de criteria, wat betekent dit?

Als je onder de criteria van de NIS2 valt, heeft dit korte de volgende gevolgen voor je organisatie:

Je hebt een zorgplicht, dit betekent dat je zelf risicoanalyses moet uitvoeren en daar vervolgens passende maatregelen moet nemen om de organisatie te beschermen. Dit zou in principe niets nieuws moeten zijn, want dit dient elke organisatie te doen…
Je hebt een registratieplicht, dat betekent dat je jezelf dient in te schrijven in het entiteitenregister.
Je hebt een meldplicht, dit houdt in dat je ernstige incidenten binnen 24 uur moet melden bij de toezichthouder en bij het Computer Security Incident Response Team (CSIRT).
Je staat onder toezicht van een (onafhankelijke) toezichthouder om te controleren of dat je aan de verplichtingen voldoet. Want organisaties die niet voldoen aan de verplichtingen uit de richtlijn, kunnen sancties krijgen, zoals boetes of andere maatregelen (Digitale Overheid, 2024).

Wacht niet te lang en begin met voorbereiden!

Volgend jaar zullen bedrijven aan deze wet moeten voldoen, dus de tijd dringt! De voorbereidingen en het implementeren van de maatregelen kost namelijk tijd. Daarbij is de NIS2 in het leven geroepen om de digitale weerbaarheid van organisaties te vergroten, dus of je nu als bedrijf aan de NIS2 moet voldoen of niet, het is altijd goed om de NIS2 mee te nemen in je beveiligingsmaatregelen om zo de bedrijfscontinuïteit nog beter te waarborgen (Ministerie van Justitie en Veiligheid, 2024b).

Wat je nu al kunt doen ter voorbereiding op de NIS2 of om gewoon de digitale weerbaarheid van je organisatie te vergrootten:

Risico’s in kaart brengen:

Je begin met het in kaart brengen van je risico’s. Hierbij breng je de digitale en fysieke bedreigingen in kaart die impact kunnen hebben op jouw bedrijf en hoe groot de kans is dat dit voorvalt. Een risico kun je niet aanpakken als die niet is geïdentificeerd, dus we gaan de risico’s in kaart brengen. Hoe zou je dit kunnen doen? Er zijn verschillende manieren, maar voor deze blog behandelen we de volgende twee manieren.

a. Scenario’s : Bij deze manier werk je met verschillende scenario’s om te onderzoeken hoe bepaalde risico’s impact kunnen hebben op je organisatie en hoe groot deze impact zal zijn. Vervolgens kun je per risico maatregelen bedenken. Doe dit bijvoorbeeld door middel van een brainstormsessie.

b. Risicoanalyse , om een risicoanalyse te maken, volg je de volgende vier stappen:

1. Je bepaalt wat je wilt beschermen en wat je ‘kroonjuwelen’ zijn, dus wat zijn de belangrijkste onderdelen van mijn organisatie. Bijvoorbeeld: klantgegevens, medewerkersgegevens, unieke ontwerpen, specifieke productiemethoden of processen, financiële gegevens of je reputatie.

2. Je identificeert de risico’s. Je bepaalt de waarde van je ‘kroonjuwelen’ en welke risico’s ze lopen en hoe groot de kans is dat dit risico gebeurd. Je moet hierbij denken aan bijvoorbeeld de kwetsbaarheden van je systemen, gebouw, personeel. Dus wat als er brand uitbreekt, wat als een medewerker een fout maakt of in social engineering trapt. Zulke risico’s bespreek je binnen het bedrijf, want wellicht heb je iets over het hoofd gezien. Vraag hiervoor ervaren medewerkers of business managers om hun mening, kijk naar ervaringen uit het verleden wat zegt wet- en regelgeving erover. Natuurlijk kun je ook hulp aan ons vragen, we are happy to help.

3. Analyseer de gevonden risico’s. Beoordeel de kans en de gevolgen van de gevonden risico’s. Zet deze in een matrix met op de verticale as: de kans dat het gebeurd en op de horizontale as de impact. Gebruik termen als ‘Laag’, ‘Medium’ of ‘Hoog’ om overzichtelijk de kans en gevolgen weer te geven. Je kunt ook cijfers en statistieken uit het verleden gebruiken om de risico’s te kwalificeren, echter vind ik de matrix manier fijner, aangezien dit gelijk een duidelijk overzicht van de risico’s geeft.

4. Besluit wat je met de risico’s gaat doen. Neem hierbij besluiten op basis van de kans en gevolgen van de risico’s. Om deze reden vind ik een matrix fijner, aangezien je dan een overzicht hebt. Je gebruikt dan de matrix om passend met de risico om te gaan. De maatregelen zijn afhankelijk van je risk appetite en risk capaciteit, maar daarover in een andere blog meer. De volgende acties gebruik je om de risico’s te behandelen:

Accepteren : Accepteer het risico bij kleine kans en kleine gevolgen.
Mitigeren : Neem maatregelen om het risico te beperken, bijvoorbeeld, maak een back-up om verlies van bestanden te voorkomen.
Overdragen : Schuif het risico naar een ander door een verzekering af te sluiten bij kleine kans en grote gevolgen (bijv. brandverzekering).
Stoppen : Stop de risicovolle activiteiten bij grote kans en grote gevolgen (Stappenplan Risicoanalyse, z.d.).

Maatregelen nemen! De risico’s zijn in kaart gebracht en je hebt bepaald wat je gaat doen met de risico’s. Waarschijnlijk heb je er voor gekozen om bepaalde risico’s te mitigeren. Risico’s mitigeren kun je onder andere doen door:

Beleidstukken, plannen en protocollen te schrijven voor verschillende situaties.
Door meerdere toeleveranciers te identificeren, voorkom je supplier lock-in en kun je de continuïteit van je organisatie waarborgen als er een leverancier wegvalt.
Awareness en training van personeel
De basisprincipes van digitaal veilig ondernemen van het Digital Trust Center (DTC) implementeren. De vijf basisprincipes zijn:

1. Inventariseer kwetsbaarheden: Analyseer de interne systemen en identificeer potentiële zwakke punten, inclusief afhankelijkheden van leveranciers. Dit helpt bij het opstellen van noodplannen en bij het prioriteren van beveiligingsmaatregelen.

2. Kies veilige instellingen: Standaardinstellingen van apparatuur en software zijn vaak onveilig; pas deze direct aan om ongeautoriseerde toegang te voorkomen.

3. Houd alles up-to-date: Installeer regelmatig updates voor alle verbonden apparaten en software om beveiligingslekken te dichten en bescherming tegen cyberdreigingen te waarborgen.

4. Beheer toegangsrechten: Beperk toegang tot systemen en data tot wat strikt noodzakelijk is om het risico op ongeautoriseerde toegang te minimaliseren. Dit houdt in het classificeren en rubriceren van data onder het principe van least privilege waarvan gebruikers alleen strikt noodzakelijke toegang tot data krijgen. Toegangsrechten kunnen gebaseerd zijn op functie (rolebasedacces (RBAC)), afgeleid uit beleid (Mandatory Acces Control (MAC)) op basis van een set van claims (Claims Based Acces Control (CBAC)) of op basis van het eigen inzicht van de data-eigenaar (Discretionary Acces Control (DAC)), leg altijd wel goed vast waarom je iemand toegang tot bepaalde data geeft.

5. Bescherm tegen malware: Neem maatregelen om systemen te beschermen tegen malware zoals virussen, ransomware en andere bedreigingen die schade kunnen veroorzaken of gegevens kunnen stelen. Dit zijn maatregelen zoals: multifactorauthenticatie (MFA), antivirus, antispamfiltering, endpoint detection and response (EDR) en regelmatige back-ups (De 5 Basisprincipes van Veilig Digitaal Ondernemen, z.d.).

Blijf de maatregelen continue monitoren en pas deze waar nodig aan om de effectiviteit te verhogen.

Incident response:

Last, but not least: bepaald hoe je gaat reageren op incidenten. Hiervoor stel je procedures op voor het detecteren, monitoren, oplossen en melden van incidenten. Zoals eerder gezegd heb je als je onder de NIS2 valt een meldingsplicht. Factoren die een incident meldingsplichtig maken, zijn bijvoorbeeld de duur van een incident of het aantal getroffen personen. Dit betreft een vroegtijdige melding binnen 24 uur en een uitgebreide melding binnen 72 bij bevoegde autoriteiten zoals het nationale computer security incident response teams (CSIRT’s) (Europees Parlement en de raad van de Europese Unie, 2022).

Of dat je nu meldingsplicht bent of niet. Het is als organisatie altijd goed om een incident response plan te hebben. Want een incident kan elk bedrijf overkomen. Een incident response dient volgens Shaked et al., 2023 en het Digital Trust Center (DTC) uit de volgende punten te bestaan:

1. Voorbereiding

In deze fase bereid je je voor op mogelijke incidenten. Dit houdt in dat je een risicoanalyse maakt, een incident response plan en team opstelt en oefen je hoe je moet reageren op eventuele incidenten. Zoals je als bedrijf ook regelmatig brandoefeningen doet of BHV-oefeningen, oefen zo ook het incident response.

2. Detectie en Analysefase

Dit is het begin van het incident response en beginnen de taken van het incident response team. Het detecteren van een fysiek incident zoals brand is geen rocketscience, maar ik geef toe dat het detecteren van cyberincidenten iets moeilijker is. Cyberincidenten kun je detecteren door bijvoorbeeld: signalen van ongebruikelijke netwerkactiviteit, verdachte logging of activiteiten, systeemfouten, traag netwerk of meldingen van medewerkers. Nadat het incident is gedetecteerd verzamelt en analyseert het incident response team zoveel mogelijk gegevens om te bepalen wat de ernst en de impact van het incident is. Het verzamelen van gegevens over een incident kan bijvoorbeeld door: het interviewen van betrokken medewerkers, betrokken systemen onderzoeken/uitlezen en de logging onderzoeken. Het analyseren van het incident is belangrijk voor het prioriteren van maatregelen.

3. Containment en Eliminatiefase

Nu gaan je met actieve maatregelen ervoor zorgen dat je de situatie weer onder controle krijgt, dus het incident stoppen en de schade beperken. In het geval van een intruder, ga je die eruit gooien! Je gaat de schade beperken door de getroffen systemen of netwerken te isoleren om zo verdere verspreiding te voorkomen. Dit kunnen maatregelen zijn zoals: het uitschakelen van besmette systemen, blokkeren van netwerkverkeer of andere beveiligingsmaatregelen. Vervolgens ga je het incident stoppen door de bedreiging te elimineren. Dit is bijvoorbeeld het verwijderen van malware, het installeren van een patch of het herstellen van de systemen na een storing.

4. Herstel

Nu de bedreiging geëlimineerd is, begint het herstelproces om zo snel mogelijk de bedrijfsactiviteiten te hervatten. Na het indammen en elimineren van de bedreiging begint het herstelproces om de bedrijfsactiviteiten zo snel mogelijk te hervatten. Dit omvat het terugzetten van gegevens vanuit back-ups, herinstalleren van software, herconfiguratie van systemen om normale functionaliteit weer te herstellen. Blijf na herstel wel de systemen monitoren om te controleren of het incident daadwerkelijk geëlimineerd is en te controleren op eventuele andere of verdere problemen. Communiceer vervolgens ook met de stakeholders over de situatie en de genomen maatregelen.

5. Evalueren

Na het incident volgt een uitgebreide evaluatie om te begrijpen wat er gebeurd is, hoe dit gebeurd is en om lessen te leren voor toekomstige incidenten, zodat ze sneller opgelost of helemaal voorkomen kunnen worden. In deze fase beoordeel je ook de effectiviteit van het incident response plan en de genomen maatregelen. Wat ging er bijvoorbeeld goed en wat kon er beter? Deze evaluatie documenteer en de geleerde lessen kun je ook meenemen in de awarnesstrainingen.

Door deze gestructureerde aanpak kun je effectief en efficiënt reageren op incidenten, wat essentieel is voor het minimaliseren van schade, het beschermen van gegevens en het behouden van het vertrouwen van klanten en stakeholders (Incident Response Plan, z.d.).

Key take aways!

Nu ik een uitgebreid overzicht heb gegeven wat je kan doen om je voor te bereiden op de NIS2, zal ik de belangrijkste punten samenvatten. NIS2 is een EU-richtlijn uit 2022 die de cybersecurity en weerbaarheid van essentiële diensten en digitale infrastructuur wil verbeteren. Waarbij bedrijven die onder de NIS2 vallen: onder toezicht staan en een registratieplicht, meldplicht en zorgplicht hebben. De key take aways voor bedrijven die zich willen voorbereiden op de NIS2 of hun digitale weerbaarheid willen vergroten zijn:

· Voer een risicoanalyse uit.

· Maak een plan voor het mitigeren van de risico’s

· Werk samen met andere organisaties om incidenten te voorkomen en te bestrijden

· Bied je medewerkers (awareness) trainingen aan

· Maak een incident response plan en test deze regelmatig

· Implementeer de basisprincipes van het DTC

· Implementeer de basismaatregelen, zoals encryptie, MFA, back-ups, EDR, antivirus en antispamfilter.

Door deze stappen te volgen, kan je organisatie zich beter voorbereiden op de nieuwe wetgeving en de digitale weerbaarheid vergroten. Veel succes met het implementeren van de genoemde maatregelen! Mocht je er niet uitkomen? Wij bij Cyberus staan altijd klaar om je te helpen!

References

· De 5 basisprincipes van veilig digitaal ondernemen. (z.d.). Digital Trust Center (Min. Van EZK). https://www.digitaltrustcenter.nl/de-5-basisprincipes-van-veilig-digitaal-ondernemen

· Digitale Overheid. (2024, 28 mei). NIS2-richtlijn NIS2-richtlijn - digitale overheid. https://www.digitaleoverheid.nl/overzicht-van-alle-onderwerpen/nis2-richtlijn/

· EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE. (2022). RICHTLIJN (EU) 2022/2555 VAN HET EUROPEES PARLEMENT EN DE RAAD betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU) nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot intrekking van Richtlijn (EU) 2016/1148 (NIS 2-richtlijn) (Voor de EER relevante tekst). In Publicatieblad van de Europese Unie.

· Incident response plan. (z.d.). Digital Trust Center (Min. Van EZK). https://www.digitaltrustcenter.nl/informatie-advies/incident-response-plan

· Ministerie van Justitie en Veiligheid. (2024a, mei 17). CER- en NIS2-richtlijnen. Nationaal Coördinator Terrorismebestrijding en Veiligheid. https://www.nctv.nl/onderwerpen/cer--en-nis2-richtlijnen

· Ministerie van Justitie en Veiligheid. (2024b, mei 17). CER- en NIS2-richtlijnen. Nationaal Coördinator Terrorismebestrijding en Veiligheid. https://www.nctv.nl/onderwerpen/cer--en-nis2-richtlijnen

· Ministerie van Justitie en Veiligheid. (2024c, mei 24). Wat zijn de CER- en NIS2-richtlijnen? CER- en NIS2-richtlijnen | Nationaal Coördinator Terrorismebestrijding en Veiligheid. https://www.nctv.nl/onderwerpen/cer--en-nis2-richtlijnen/wat-zijn-de-cer-en-nis2-richtlijnen

· Ministerie van Justitie en Veiligheid. (2024d, juni 10). Wat zijn de sectoren en criteria die bepalen of een organisatie onder de NIS2-richtlijn valt? CER- en NIS2-richtlijnen | Nationaal Coördinator Terrorismebestrijding en Veiligheid. https://www.nctv.nl/onderwerpen/cer--en-nis2-richtlijnen/wat-zijn-de-sectoren-en-criteria-die-bepalen-of-een-organisatie-onder-de-nis2-richtlijn-valt

· Shaked, A., Cherdantseva, Y., Burnap, P., & Maynard, P. (2023). Operations-informed incident response playbooks. Computers & Security, 134, 103454. https://doi.org/10.1016/j.cose.2023.103454

· Stappenplan risicoanalyse. (z.d.). Digital Trust Center (Min. Van EZK). https://www.digitaltrustcenter.nl/stappenplan-risicoanalyse

Cyberus Beach Party

Sun, 09 Jun 2024 15:17:49 GMT

Cyberus Beach Event

Afgelopen weekend was het zover: de langverwachte beach party van Cyberus. Ondanks de sombere weersvoorspellingen en de regen die ons uiteindelijk trof, werd het evenement een groot succes met zo’n 50 enthousiaste deelnemers.

Het strand, normaal een plek voor zonaanbidders, was dit keer het decor voor een levendige en sfeervolle bijeenkomst. Met kleurrijke paraplu’s, regenjassen en een onuitputtelijke dosis goede moed, trotseerden onze collega’s de regen. De weersomstandigheden vormden geen obstakel, maar juist een extra element van avontuur en gezelligheid.

De dag begon met heerlijke hapjes en drankjes, zorgvuldig bereid door een lokale favoriet. Warme dranken en smakelijke snacks hielden ons van binnen warm en zorgden voor een gezellige start van de dag. Het gelach en gejuich klonken luid, ondanks het zachte getik van de regen op de tenten.

Er waren tal van activiteiten georganiseerd, van beachvolleybal en zandkastelen bouwen tot een creatieve regenfotografie competitie. De muziek, zorgvuldig geselecteerd door onze eigen DJ, hield de sfeer vrolijk en energiek.

Een van de hoogtepunten van de dag was de verrassingsworkshop ‘Regenkunst’, waar onze collega’s hun creativiteit de vrije loop konden laten. Dit resulteerde in prachtige kunstwerken, geïnspireerd door de regen zelf.

Toen de avond viel, kwam iedereen samen rond een groot kampvuur (onder een tent uiteraard) voor marshmallows, verhalen en muziek. Het was een moment van samenzijn en reflectie, waar we als team konden genieten van elkaars gezelschap en de unieke ervaring die deze dag ons had gebracht.

De Cyberus beach party bewees dat een beetje regen ons niet kan tegenhouden. Het was een dag vol verbinding, plezier en onvergetelijke momenten. Dank aan iedereen die aanwezig was en bijdroeg aan het succes van deze bijzondere dag. We kijken nu al uit naar het volgende evenement, regen of zonneschijn!

Tot dan!

Het Cyberus Team

AI Act

Sat, 08 Jun 2024 15:23:57 GMT

The Artificial Intelligence (AI) Act

Wat is de AI Act?

De AI Act is een wet die AI in de EU reguleert. AI is een populair onderwerp en van groot belang vanwege de brede toepassingen die het heeft. AI is eenvoudig te gebruiken en kost (op het gebied van geld) niets, want je betaalt met je data en kan je organisatie helpen verbeteren.

De snelle ontwikkeling en integratie van AI-systemen brengen echter ook uitdagingen en risico's met zich mee, zoals privacy kwesties en veiligheidsproblemen. Je betaalt bijvoorbeeld vaak met je data, zoals we al zeiden. Als je bekend bent met AI, machine learning (ML) en algoritmes, dan weet je dat de data die je in een AI (chat)bot stopt, gebruikt wordt om de algoritmes in te leren en te verbeteren. Regulering is dus een goed idee om ervoor te zorgen dat AI op een verantwoorde en ethische manier wordt ontwikkeld en toegepast.

Daarom heeft de Europese Raad op 21 mei 2024 de AI Act goedgekeurd (Endendijk, 2024). Deze wet is belangrijk, want het kan een internationale norm stellen voor de regulering van AI (AI Act, 2024). De AI Act heeft tot doel een evenwicht te vinden tussen innovatie en de privacy, rechten en veiligheid van burgers te waarborgen. De AI Act stelt regels voor bedrijven en ontwikkelaars om gebruikers te beschermen. Er zijn ook regels voor de gebruikers zelf.

Waarom komt de AI Act?
Het Europees Parlement wil dat AI-systemen in de EU veilig, transparant, traceerbaar, niet-discriminerend en milieuvriendelijk zijn, dus moeten ze onder toezicht staan van mensen, om zo schadelijke uitkomsten te beperken. Wij mensen zijn natuurlijk wel degelijk objectief... Dit besluit is best logisch, want kunstmatige intelligente (AI) is geen kunstmatig bewustzijn, dus voor enigszins een beetje ethiek moeten we toch bij mensen zijn. Bovendien heeft iedereen een eigen mening over AI en daarmee ook een eigen definitie. Om die reden streeft het Europees Parlement naar een technologie-neutrale en uniforme definitie voor AI die toepasbaar is op toekomstige AI-systemen.

Belangrijkste bepalingen in de AI-Act.

Risiconiveaus
Er komen risiconiveaus en eisen voor het gebruik van AI. De nieuwe regels stellen verplichtingen vast voor aanbieders en gebruikers, afhankelijk van het risiconiveau van AI. Veel AI-systemen zijn niet gevaarlijk, maar ze moeten wel worden beoordeeld. Risiconiveaus zijn:

Onacceptabel risico: AI-systemen met een onaanvaardbaar risico zijn systemen die als een bedreiging voor mensen worden beschouwd en worden daarom verboden. Deze omvatten:

Cognitieve gedragsmanipulatie: AI-systemen die het gedrag van mensen of kwetsbare groepen beïnvloeden, zoals speelgoed dat kinderen aanmoedigt om gevaarlijk gedrag te vertonen.
Sociale classificatie: AI-systemen die mensen classificeren op basis van hun gedrag, sociaaleconomische status of persoonlijke kenmerken.
Biometrische identificatie en categorisatie: Systemen zoals gezichtsherkenning die individuen identificeren en categoriseren.

Er zijn uitzonderingen die kunnen worden toegestaan voor het handhaven van bepaalde wetten en politieonderzoek. Bijvoorbeeld het gebruik van biometrische identificatiesystemen op afstand, waarbij je, na een korte vertraging, wordt geïdentificeerd, zal in een aantal gevallen worden toegestaan bij het onderzoeken van ernstige misdrijven en alleen als de rechtbank het goedkeurt.

Hoog risico: AI-systemen die de veiligheid of fundamentele rechten negatief beïnvloeden worden als hoog risico beschouwd. Dit omvat onder andere AI in speelgoed, auto's, medische apparaten en belangrijke infrastructuur. Deze systemen moeten geregistreerd worden in een EU-database en worden beoordeeld voor en tijdens hun levenscyclus. AI-systemen die de veiligheid of de grondrechten in negatief beïnvloeden, worden als zeer gevaarlijk beschouwd en in twee categorieën onderverdeeld:

1) AI-systemen die in producten worden gebruikt die onder de EU-wetgeving voor productveiligheid vallen. Hieronder vallen speelgoed, vliegtuigen, auto's, medische apparatuur en liften.

2) AI-systemen die in een EU-database moeten worden geregistreerd, omdat zij worden gebruikt in specifieke en belangrijke gebieden. Deze omvat AI bij/in:

· Het beheer en de exploitatie van kritieke infrastructuur.

· Onderwijs en beroepsopleiding

· Werk, het beheer van werknemers en toegang tot zelfstandig ondernemerschap

· Het gebruik van essentiële particuliere diensten en overheidsdiensten en -uitkeringen.

· Rechtshandhaving

· Beheer van migratie, asiel en grenscontrole

· Bijstand bij juridische interpretatie en toepassing van de wet.

Transparantie-eisen
Niet alle AI valt onder een bepaald risiconiveau. Het gebruik van Generatieve AI, zoals ChatGPT, is niet onder een bepaald risiconiveau, maar moet wel aan transparantie-eisen en EU-auteurswetgeving voldoen, waaronder het bekend maken dat de inhoud door AI is gegenereerd of gemodificeerd, AI inrichten dat het geen illegale inhoud genereert en samenvattingen publiceren die zijn gebruikt om het model te trainen/ in te leren . Ook moeten AI-modellen zoals GPT-4 goed worden geëvalueerd en ernstige problemen moeten gemeld worden aan de Europese Commissie.

Ondersteuning van innovatie
De wet geeft niet alleen regels, maar ook mogelijkheden. Nationale autoriteiten moeten bedrijven namelijk een testomgeving bieden die lijkt op de echte wereld. Dit maakt het mogelijk voor bedrijven en start-ups om AI-modellen te ontwikkelen en te testen voordat ze op de markt komen. Maak hier dus vooral aanspraak op bij de overheid ��.

Tijdlijn AI Act
De Artificial Intelligence ( AI) Act zal 24 maanden na inwerkingtreding van kracht zijn, maar sommige onderdelen van de wet zijn eerder van toepassing.

Het verbod op AI-systemen met onacceptabele risico's gaat zes maanden na de inwerkingtreding in.
De gedragscodes zullen negen maanden na inwerkingtreding van kracht zijn.
Regels voor AI-systemen die aan transparantie-eisen moeten voldoen, worden 12 maanden na inwerkingtreding van kracht.
Hoogrisicosystemen krijgen meer tijd om aan de eisen te voldoen, namelijk 36 maanden na de inwerkingtreding (High-level Summary Of The AI Act | EU Artificial Intelligence Act, z.d.), (EU AI Act: First Regulation On Artificial Intelligence | Topics | European Parliament, 2023).

Wat betekent dit voor mijn bedrijf?

De AI Act zal dus nieuwe regels met zich meebrengen en dit betekent dat organisaties in Nederland hun AI-praktijken grondig moeten herzien en mogelijk aanpassen om te voldoen aan de nieuwe EU-regelgeving. Dit vraagt om een investering in risicobeoordeling, transparantie en naleving, maar het kan ook kansen bieden voor innovatie en groei. Als bedrijven voldoen aan de AI Act, kunnen ze het vertrouwen van consumenten en zakelijke partners vergroten, wat kan leiden tot betere klantrelaties en zakelijke kansen. Net zoals veiligheidscertificaten dit doen. Bovendien kan de AI Act, net als de GDPR, een internationale standaard worden. Dit kan ertoe leiden dat bedrijven die zich aan de AI Act houden, een betere positie kunnen innemen op internationale markten die vergelijkbare regelgeving aannemen.

Neem vooral de volgende aandachtsgebieden mee ter voorbereidingen op de AI Act.

· Compliance en Regelgeving

Bedrijven dienen hun bestaande AI-systemen te herzien en aan te passen om aan de nieuwe regelgeving te voldoen. Dit betekent dat je de risico's moet beoordelen en de transparantie-eisen moet naleven. Bedrijven moeten weten wat het risiconiveau is van hun AI-systemen en zich houden aan de bijbehorende verplichtingen, zoals het registreren van hoog risico AI-systemen en het implementeren van maatregelen om risico's te minimaliseren. Ik weet dat het veel geld kost om systemen en processen aan te passen om aan de AI Act te voldoen. Maar ik wil benadrukken dat niet-naleving kan leiden tot boetes en andere sancties, wat grotere financiële consequenties kan hebben. Maak vooral een kosten-batenanalyse ;).

Dit alles is niet iets wat je zomaar even doet. Daarom krijgen bedrijven een bepaalde tijd, zoals beschreven in ‘Tijdlijn AI Act’, om zich aan te passen aan de nieuwe regelgeving. Er moet tijdig worden begonnen met de aanpassingen om zo de deadlines te halen. Het is het beste om ook samen te werken met nationale toezichthoudende autoriteiten om naleving te waarborgen en voorbereid te zijn op mogelijke audits en inspecties.

· Transparantie en Verantwoording

Er moet duidelijkheid zijn over de werking van de AI-systemen die binnen het bedrijf in gebruik zijn, inclusief het waarborgen van menselijk toezicht om zo schadelijke resultaten te voorkomen. Het is belangrijk dat bedrijven ook open en transparant zijn over het gebruik van AI, vooral als het gaat om generatieve AI-systemen zoals ChatGPT. Wanneer gebruikers interactie hebben met AI-gegenereerde content, moeten zij hiervan op de hoogte gesteld worden.

· Verboden op bepaalde AI-systemen

Bedrijven moeten risicovolle AI-toepassingen/systemen, die onder de nieuwe wet verboden zijn, niet gebruiken. Bijvoorbeeld AI-systemen die gedragsmanipulatie en sociale scoring meten, zijn niet toegestaan onder de AI Act. Aan AI-systemen die in sectoren zoals gezondheidszorg, transport en rechtshandhaving worden gebruikt, zullen strenge eisen gesteld worden. Op deze systemen moeten dan ook uitgebreide tests en certificeringen worden uitgevoerd.

Het is van belang te vermelden dat deze punten helpen AI Act aware te worden en daarmee een begin te maken met compliant te worden. Als je de bovenstaande punten volgt, ben je niet automatisch AI Act compliant. Als je nog twijfelt of de AI die je gebruikt onder de AI Act valt, kun je de AI Act compliance checker gebruiken. Natuurlijk staan wij bij Cyberus ook altijd klaar om je te helpen!

References:

AI Act. (2024, 30 april). Shaping Europe’s Digital Future. https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai#:~:text=The%20AI%20Act%20is%20the%20first%2Dever%20comprehensive%20legal%20framework,powerful%20and%20impactful%20AI%20models.

Endendijk, L. (2024, 28 mei). Europese AI Act goedgekeurd. Digitale Overheid. https://www.digitaleoverheid.nl/nieuws/europese-ai-act-goedgekeurd/

EU AI Act: first regulation on artificial intelligence | Topics | European Parliament. (2023, 6 augustus). Topics | European Parliament. https://www.europarl.europa.eu/topics/en/article/20230601STO93804/eu-ai-act-first-regulation-on-artificial-intelligence

High-level summary of the AI Act | EU Artificial Intelligence Act. (z.d.). https://artificialintelligenceact.eu/high-level-summary/

Information Security

Fri, 07 Jun 2024 15:26:16 GMT

Help! Wat kan ik zelf doen voor het verbeteren van mijn informatiebeveiliging?

De wereld wordt digitaal. Wie niet mee digitaliseert, blijft achter en loopt de voordelen van digitalisering mis. Het is ons bekend dat digitalisering de toekomst is en vele voordelen met zich meebrengt... Wat betekent dit voor de informatiebeveiliging van mijn organisatie? Moet ik per se mee in deze digitalisering? Wat als ik het niet doe? Terechte vragen wat mij betreft. De druk om te digitaliseren neemt overigens toe. Uit een studie van Tam et al. (2021) over de cyberbeveiliging in bedrijven blijkt dat bedrijven onder druk staan om technologieën te gebruiken en toe te passen als gevolg van digitale ontwikkelingen en trends. Deze druk wordt aangewakkerd door de steeds hoger wordende verwachtingen van klanten. Want mag je klanten nog wel enkele uren later wachten?

In the old days, maakten we vooral gebruik van post en deze werd meestal een maal per dag opgehaald, wat ons tijd gaf om even goed na te denken en te reageren, maar als je tegenwoordig niet binnen een uur op een e-mail heb gereageerd, dan krijg je al een reminder … Dit is even heel ongenuanceerd, maar het geeft wel weer hoe snel tegenwoordig alles moet en wat dit betekent voor de business. Het digitaliseren van je bedrijf en daarmee steeds meer afhankelijk worden van informatiesystemen is niet erg toch?

Ja en Nee. Het is goed om te digitaliseren, zodat je de concurrentie en de markt kunt blijven volgen. We kennen tegenwoordig allemaal het V&D-verhaal wel. Het is echter van belang de beveiliging van je systemen in dit digitalisatieproces mee te nemen. Ghahramani et al. (2022) benadrukken het belang van cyberbeveiliging binnen organisaties. Uit hun studie blijkt dat digitalisering, in combinatie met de toenemende afhankelijkheid van informatiesystemen, organisaties tot een aantrekkelijk doelwit maakt voor voortdurend evoluerende bedreigingen van de veiligheid. Ze waarschuwen dat als de informatiebeveiliging niet wordt verbeterd, organisaties het risico lopen dat hun aanpak en werkwijzen verouderd raken, waardoor ze kwetsbaar worden. Organisaties moeten zich bewust zijn van deze bedreigingen en hun informatiebeveiligingsmaatregelen voortdurend verbeteren. Volgens onderzoek van Pawar en Palivela (2022) leidt de verschuiving in de digitale behoeften van bedrijven tot een groter aanvalsoppervlak. Bovendien zijn veel bedrijven geneigd deze risico's te negeren, wat verder bijdraagt aan hun kwetsbaarheid.

Zou ik zelf kunnen helpen de informatiebeveiliging in mijn bedrijf te verbeteren zonder een fortuin te investeren?

Voor dit artikel laten we alle technische maatregelen voor wat ze zijn. Want als (non IT savvy) manager kun je eigenlijk al heel veel zelf doen. Sterker nog, dit moet je zelf doen. Iedereen is zich bewust van het feit dat je personeel de zwakke schakel is van je informatiebeveiliging.

Daarom gaat het onderzoek van Dhillon et al. (2021) en Von Solms en Van Niekerk (2013) in op de menselijke factor in cybersecurity. Zij stellen dat werknemers de zwakste schakel in cyberbeveiliging blijven en een bedreiging vormen voor de beveiliging van informatiesystemen (IS).

Waarbij het hebben van beleid en standaarden geen garantie voor succes is. Want niet het beleid is belangrijk, maar de naleving er van. Het is van cruciaal belang dat medewerkers beleid en procedures naleven om een robuuste IS-beveiliging te bereiken. Managers moeten dus rekening houden met zowel technische als menselijke factoren bij het toezicht op de beveiliging van informatiesystemen. Tejay en Mohammed (2023) ondersteunen dit perspectief en stellen dat het gedrag en bewustzijn van werknemers een cruciale rol spelen bij cyberbeveiliging. Om de uitdagingen in verband met menselijke factoren bij informatiebeveiliging aan te pakken en informatie goed te beveiligen, moet er een robuuste informatiebeveiligingscultuur worden gecreëerd.

Goed een informatiebeveiligingscultuur creëren dus. Makkelijker gezegd dan gedaan …

Ik geef toe een informatiebeveiligingscultuur is niet EEN-TWEE-DRIE gecreëerd. Het vereist niet alleen een bedrijfsbrede holistische aanpak, maar het is ook per bedrijf verschillend hoe een cultuur tot stand komt en wat de cultuur uiteindelijk wordt. Elk bedrijf is namelijk anders. Deze whitepaper is bedoeld om bedrijven inzichten en aanbevelingen te geven om een begin te maken met een informatiebeveiligingsbeleid. Zie het als een manier om te beginnen. Bedrijven kunnen een sterke informatiebeveiligingscultuur creëren door de volgende punten mee te nemen.

1. Leiderschap en Governance

- Betrokkenheid van het management is cruciaal. Leiders moeten zich actief inzetten voor informatiebeveiligingsinitiatieven en deze integreren in de strategische doelstellingen van de organisatie.

- Het opzetten van duidelijke communicatiekanalen en verantwoordelijkheden zorgt ervoor dat informatiebeveiliging ieders verantwoordelijkheid wordt, niet alleen die van de IT-afdeling.

2. Rollen en verantwoordelijkheden

- Het duidelijk definiëren van rollen en verantwoordelijkheden op het gebied van informatiebeveiliging is van fundamenteel belang. Bedrijven moeten outsourcing overwegen als het intern beheren van de beveiliging te veel of te moeilijk wordt.

- Bij het selecteren van een geschikte serviceprovider moeten de verwachtingen duidelijk worden vastgelegd in een Service Level Agreement (SLA).

3. Beveiligingsbeleid

- Het afstemmen van het beveiligingsbeleid op de behoeften van de organisatie en het betrekken van werknemers bij de ontwikkeling ervan zorgt voor praktische uitvoerbaarheid en naleving.

- Het mitigeren van de belangrijkste risico’s is een prima vertrekpunt voor een informatiebeveiligingsbeleid.

- Regelmatige herzieningen en updates van het beleid zijn essentieel om gelijke tred te houden met veranderende bedreigingen en bedrijfsdynamiek.

- Het integreren van veranderingen in het informatiebeveiligingsbeleid zorgt voor consistentie en afstemming op de doelstellingen van de organisatie.

4. Compliance verhogen

- Het implementeren van mechanismen voor continue monitoring en compliance zorgt ervoor dat beveiligingsmaatregelen effectief blijven.

- Het stimuleren van een positieve beveiligingscultuur door middel van stimulansen en transparante communicatie verbetert de naleving en veerkracht.

- personeel regelmatig trainen, minimaal een keer per jaar.

5. Awareness verhogen

- Regelgebaseerde toegangscontroles (RBAC) moeten worden geïmplementeerd om de toegang tot gegevens effectief te beheren en werknemers te informeren over het belang ervan.

- Voortdurende training en phishing-tests helpen om het bewustzijn en de naleving door het personeel op peil te houden.

6. Technologische maatregelen

- Basistechnische hygiënemaatregelen zoals multi-factor authenticatie en regelmatige back-ups zijn van fundamenteel belang.

- Het ontwikkelen en oefenen van een incident response plan zorgt ervoor dat je klaar bent om beveiligingsincidenten snel te beperken en te herstellen.

- Aanpassing aan nieuwe technologieën en markttrends vereist een zorgvuldige afweging van risico's en voordelen.

Wacht niet langer!

Het is nu tijd om de aandacht te richten op het beschermen van informatie. Wilt u vandaag nog een stevige informatiebeveiligingscultuur in uw bedrijf creëren? Neem dan de eerste stap door de zes punten uit dit artikel te implementeren en maak informatiebeveiliging ieders verantwoordelijkheid. Laat je bedrijf digitaliseren en niet kwetsbaar zijn voor cyberbedreigingen – begin nu! Natuurlijk, mocht je vragen hebben of er niet uitkomen. Wij van Cyberus staan altijd klaar om te helpen!

References:

Tejay, G. P. S., & Mohammed, Z. A. (2023). Cultivating security culture for information

security success: A mixed-methods study based on anthropological perspective.

Information & Management, 60(3), Article 103751. https://doiorg.

tilburguniversity.idm.oclc.org/10.1016/j.im.2022.103751

Von Solms, R., & Van Niekerk, J. (2013). From information security to cyber security.

Computers & Security, 38, 97-102. https://doi.org/10.1016/j.cose.2013.04.004

Pawar, S., & Palivela, H. (2022). LCCI: A framework for least cybersecurity controls to

be implemented for small and medium enterprises (SMEs). International Journal

of Information Management Data Insights, 2(1), Article 100080.

https://doi.org/10.1016/j.jjimei.2022.100080

Ghahramani, F., Yazdanmehr, A., Chen, D., & Wang, J. (2022). Continuous

improvement of information securitymanagement: An organisational

learningperspective. European Journal of Information Systems, 32(6), 1011-

1032. https://doi.org/10.1080/0960085X.2022.2096491

Dhillon, G., Smith, K., & Dissanayaka, I. (2021). Information systems security research

agenda: Exploring the gap between research and practice. The Journal of

Strategic Information Systems, 30(4), Article 101693.

https://doi.org/10.1016/j.jsis.2021.101693

CISM vs CISSP

Sun, 07 Apr 2024 19:58:56 GMT

CISM vs CISSP aan welke certificering heb je meer als cyber security consultant?

Cybersecurity is een zich snel ontwikkelend vakgebied dat van professionals vraagt om op de hoogte te blijven van de nieuwste trends en technologieën. In zo'n competitief cybersecuritylandschap hebben certificeringen een immense waarde om iemands vaardigheden en kennis te valideren. Dus, het behalen van een certificering is absoluut noodzakelijk als je voorop wilt blijven lopen en je expertise wilt aantonen. Twee zeer gerespecteerde certificeringen in dit domein zijn de Certified Information Security Manager (CISM) en de Certified Information Systems Security Professional (CISSP).

Beide worden ook aangeboden gerenommeerde organisaties, toch richten deze certificeringen zich op verschillende aspecten van informatieveiligheid. In deze blog gaan wij in op de kerngebieden, loopbaantrajecten, voordelen en verschillen tussen CISM en CISSP. Daarnaast geven wij wat tips en adviezen om jullie loopbaan doelen te behalen.

Certified Information Security Manager (CISM)

De Certified Information Security Manager (CISM) certificering is een uitstekende optie voor opkomende cybersecurityprofessionals die hun loopbaanperspectieven en -vaardigheden willen verbeteren. CISM is een certificering die de bekwaamheid van een persoon verifieert in het creëren, uitvoeren en onderhouden van een informatiebeveiligingsprogramma voor een organisatie. Het wordt uitgereikt door de Information Systems Audit and Control Association (ISACA). De Nederlandse chapter van ISACA groeit binnen Europa als hardst. Goed moment om je CISM te behalen zou ik zeggen. Join the movement.

Loopbaantrajecten met CISM

In cybersecurity en digitale beveiliging kan het behalen van de Certified Information Security Manager (CISM) certificering leiden tot verschillende loopbaantrajecten. Enkele populaire carrièrepaden in verband met CISM zijn:

- Informatiebeveiligingsmanager

- IT Security Consultant

- Chief Information Security Officer

Wat wij veel zien is dat als je CISM hebt behaald je uitstekend in staat bent om Informatiebeveiliging programma’s te leiden en te organiseren en dat kan dus zonder technische achtergrond.

Voordelen van het behalen van CISM

Voor degenen die werken in de gebieden van cybersecurity en informatiebeveiliging, heeft het behalen van de Certified Information Security Manager (CISM) certificering verschillende voordelen. Enkele significante voordelen zijn:

- Wereldwijde erkenning;

- Loopbaanontwikkeling;

- Vaardigheid in Informatiebeveiliging.

Certified Information Systems Security Professional (CISSP)

De Certified Information Systems Security Professional (CISSP) referentie wordt in de cybersecuritybranche breed beschouwd als de gouden standaard van bekwaamheid. De CISSP-certificering, verleend door het International Information Systems Security Certification Consortium (ISC)², certificeert dat een persoon een grondige kennis heeft van de acht relevante beveiligingsdomeinen en hen de knowhow en bekwaamheden geeft om beveiligingsprogramma's te creëren, uit te voeren en te beheren.

Fundamentele Domeinen van CISSP

De brede variëteit aan onderwerpen die door de Certified Information Systems Security Professional (CISSP) certificering wordt behandeld, vertegenwoordigt de primaire kennis en vaardigheden die nodig zijn voor professionals in de informatiebeveiliging.

Carrièremogelijkheden met CISSP

Het behalen van de CISSP-certificering biedt verschillende opties voor een toekomst in de cybersecurity. Enkele mogelijke carrièremogelijkheden in verband met CISSP zijn:

- Informatiebeveiligingsmanager

- Chief Information Security Officers (CISO's)

- Beveiligingsadviseurs

Voordelen van het behalen van een CISSP

De CISSP-certificering geniet wereldwijde erkenning en geloofwaardigheid en biedt verschillende voordelen, waaronder:

- Wereldwijde erkenning en geloofwaardigheid;

- Hoger verdienpotentieel;

- Toegang tot een wereldwijde gemeenschap van cybersecurity-experts.

Verschillen tussen CISM en CISSP

Hoewel beide certificeringen worden erkend in het domein van informatiebeveiliging, verschillen de Certified Information Security Manager (CISM) en de Certified Information Systems Security Professional (CISSP) in focus, doelgroep en dekkingsgebied van domeinen. Hier zijn de belangrijkste verschillen tussen CISM en CISSP:

- Focus (technisch vs managerial);

- Ervaringseisen;

- Certificeringsinstantie.

Conclusie:

Het kiezen tussen CISM en CISSP-certificeringen is essentieel voor iedereen die zich waagt in de wereld van cybersecurity. CISM richt zich op managementfuncties met de nadruk op governance en risico, terwijl CISSP een breder technisch begrip biedt over meerdere beveiligingsdomeinen. De juiste keuze hangt af van individuele loopbaan doelen, waarbij sommigen beide certificeringen selecteren om hun vaardigheden uitgebreid te versterken. Het is belangrijk om je professionele wensen, ervaringsniveau en industriële eisen in overweging te nemen bij het nemen van deze cruciale beslissing in cybersecurity. En voor het ontwikkelen van een uitgebreide vaardighedenset die naadloos aansluit bij uw professionele doelen, kunt u altijd kiezen voor een Cybersecurity Expert Programma.

Cybersecurity Workforce Study

Sun, 07 Apr 2024 19:56:26 GMT

Cijfers en resultaten uit ISC2 Cybersecurity Workforce Study

ISC2 - 's werelds toonaangevende non-profitorganisatie voor cybersecurityprofessionals - schat dat het mondiale cybersecurity-werknemersbestand 5,5 miljoen mensen heeft bereikt, een stijging van 8,7% ten opzichte van 2022, wat neerkomt op 440.000 nieuwe banen. Hoewel dit het hoogste aantal werknemers is dat ISC2 ooit heeft geregistreerd, brengt de ISC2 Cybersecurity Workforce Study van 2023 aan het licht dat de vraag nog steeds groter is dan het aanbod. Het gat in het cybersecurity-werknemersbestand heeft een recordhoogte bereikt, waarbij 4 miljoen professionals nodig zijn om digitale activa adequaat te beschermen. De studie van dit jaar omvatte een recordaantal van 14.865 cybersecurityprofessionals. Het onderzoek wijst ook op nieuwe uitdagingen die professionals in het veld ervaren, waaronder economische onzekerheid, kunstmatige intelligentie, gefragmenteerde regelgeving en vaardigheidstekorten. Daarnaast blijft een bedreigende dreigingsomgeving boven het veld hangen, waarbij 75% van de cybersecurityprofessionals zegt dat de huidige dreigingsomgeving de afgelopen vijf jaar het meest uitdagend is geweest. Slechts 52% gelooft dat hun organisatie over adequate tools en personeel beschikt om te reageren op cyberincidenten in de komende twee tot drie jaar. De uitdagingen waarmee cybersecurityprofessionals worden geconfronteerd zijn onder andere:

Arbeids- en vaardigheidstekorten

- 92% van de cybersecurityprofessionals melden vaardigheidstekorten in hun organisatie.

- De top drie vaardigheidstekorten in een organisatie zijn cloud computing-beveiliging (35%), kunstmatige intelligentie/machine learning (32%) en implementatie van zero trust (29%).

- 51% van de organisaties die te maken hebben gehad met cybersecurity-ontslagen zijn getroffen door één of meer significante vaardigheidstekorten, in vergelijking met slechts 39% van de organisaties die geen ontslagen hebben gehad.

Economische onzekerheid

- 47% van de respondenten heeft te maken gehad met bezuinigingen, waaronder budgettaire beperkingen, ontslagen en het bevriezen van aanwervingen en promoties.

- 35% kreeg te maken met bezuinigingen op cybersecurity-trainingsprogramma's, die essentieel zijn voor vaardighedenontwikkeling en groei van het werknemersbestand.

- Tweederde van de respondenten zegt dat bezuinigingen een negatieve invloed hebben gehad op hun productiviteit, teammorale en hun werkdruk hebben verhoogd.

- 57% gaf aan dat hun reactie op dreigingen werd belemmerd door bezuinigingen, en 52% heeft een toename gezien van incidenten gerelateerd aan interne risico's.

- 31% van de professionals gelooft dat bezuinigingen zullen doorgaan in 2024, en 70% verwacht dat die bezuinigingen ontslagen zullen omvatten.

Opkomende technologieën

- 47% van de respondenten heeft geen of minimale kennis van kunstmatige intelligentie (AI).

- 47% ziet cloud computing-beveiliging als de meest gewilde vaardigheid voor carrière-ontwikkeling.

- 45% van de respondenten voorziet AI als hun grootste uitdaging in de komende twee jaar.

"Terwijl we het recordaantal nieuwe cybersecurityprofessionals die het veld betreden vieren, is de dringende realiteit dat we dit werknemersbestand moeten verdubbelen om organisaties en hun kritieke activa adequaat te beschermen," zei ISC2 CEO Clar Rosso, CC. "In het huidige dreigingslandschap, dat het meest complex en geavanceerd is geweest, benadrukken de escalerende uitdagingen waarmee cybersecurityprofessionals worden geconfronteerd de urgentie van onze boodschap: organisaties moeten investeren in hun teams, zowel wat betreft nieuw talent als bestaand personeel, hen voorzien van de essentiële vaardigheden om te navigeren door het voortdurend evoluerende dreigingslandschap. Het is de enige manier om een veerkrachtig beroep te garanderen dat onze collectieve veiligheid kan versterken."

Het versterken van de cybersecurity-werknemers van de toekomst

Organisaties zijn actief bezig met het aannemen van strategieën om hun cybersecurityteams te versterken. Enquêterespondenten geven aan dat hun organisaties investeren in personeelstraining (72%), flexibele arbeidsvoorwaarden aanbieden (69%), financiering bieden voor diversiteit, gelijkheid en inclusie (DGI) programma's (68%), certificeringen ondersteunen (67%) en hun teams uitbreiden door nieuwe medewerkers te werven, aan te nemen en in te werken (67%) om tekorten aan personeel te voorkomen of te verminderen.

Het bevorderen van diversiteit en inclusie in cybersecurity

Om een meer divers werknemersbestand te bevorderen, omarmen organisaties DGI-initiatieven, incorporeren ze op vaardigheden gebaseerd aannemen en herzien ze functieomschrijvingen om DGI-doelen te benadrukken. Organisaties die op vaardigheden gebaseerd werven hebben een positief effect gezien, met een gemiddelde van 25,5% vrouwen in hun werknemersbestand in vergelijking met 22,2% bij degenen die deze initiatieven niet hebben omarmd. Er is echter nog werk aan de winkel, aangezien vrouwen slechts 26% van de cybersecurityprofessionals onder de 30 jaar vertegenwoordigen. DGI-initiatieven stimuleren niet alleen diversiteit, maar verhogen ook de effectiviteit van het werknemersbestand. Organisaties die DGI-wervingspraktijken implementeren rapporteren een sterker gevoel van voorbereidheid onder hun cybersecurityprofessionals bij het omgaan met dreigingen binnen de komende twee tot drie jaar.

Werving voor de niet-technische vaardigheden

Naast technische vaardigheid in verschillende vaardigheden, benadrukken cybersecurityprofessionals het belang van niet-technische eigenschappen. Probleemoplossende vaardigheden (45%) staan bovenaan de lijst, gevolgd door nieuwsgierigheid en leergierigheid (39%) en effectieve communicatie (38%).

(Bron: https://www.isc2.org/Insights/2023/10/ISC2-Reveals-Workforce-Growth-But-Record-Breaking-Gap-4-Million-Cybersecurity-Professionals?queryID=268873237da1c10f783a969772c5008f )

Tekort cybersecurity professionals

Sun, 07 Apr 2024 19:51:11 GMT

Tekort aan cybersecurity professionals is een groot probleem.

Het tekort aan cybersecurity professionals is een groeiend probleem dat steeds meer aandacht verdient in een wereld waar digitale dreigingen toenemen. Volgens het rapport van Salesforce ( https://security.salesforce.com/nl/blog/cybersecurity-learning-hub-addressing-the-global-workforce-gap-through-education ) wordt dit tekort steeds nijpender en heeft het invloed op organisaties wereldwijd.

Organisaties worden steeds afhankelijker van digitale systemen en gegevens, wat hen kwetsbaarder maakt voor cyberaanvallen. Het is daarom essentieel om voldoende cybersecurity professionals in dienst te hebben die deze systemen kunnen beschermen.

Helaas is er een tekort aan gekwalificeerde experts die over de nodige kennis en vaardigheden beschikken om deze uitdaging aan te gaan. Dit tekort heeft verschillende oorzaken, waaronder een gebrek aan cybersecurity-opleidingen en -trainingen, een snel veranderend dreigingslandschap en de concurrentie van andere sectoren die ook op zoek zijn naar cybersecurity talent. Als gevolg hiervan worstelen veel organisaties met het vinden en behouden van gekwalificeerd personeel op het gebied van cybersecurity.

Om dit probleem aan te pakken, moeten er meer investeringen worden gedaan in cybersecurity-opleidingen en -trainingen, zowel in het onderwijs als binnen organisaties zelf. Daarnaast is het belangrijk om het bewustzijn rond cybersecurity te vergroten en om te streven naar meer diversiteit binnen het vakgebied. Alleen door gezamenlijke inspanningen kunnen we het tekort aan cybersecurity professionals aanpakken en onze digitale systemen en gegevens beter beschermen tegen cyberdreigingen.

Stemgedrag beïnvloed via AI van vijandige staten...

Tue, 12 Dec 2023 20:51:17 GMT

EU-verkiezingen lopen gevaar door de opkomst van door AI ondersteunde informatiemanipulatie

De 11e editie van het Threat Landscape van het Agentschap van de Europese Unie voor Cybersecurity (ENISA) benadrukt de ontwrichtende gevolgen van AI-chatbots en AI-gestuurde manipulatie van informatie.

De bevindingen van het Threat Landscape-rapport uit 2023 van het Agentschap van de Europese Unie voor Cybersecurity (ENISA) benadrukken de noodzaak van waakzaamheid in de aanloop naar de komende Europese verkiezingen in 2024.

ENISA registreerde ongeveer 2580 incidenten tijdens de rapportageperiode vanaf juli 2022 tot en met juni 2023. Aan dit totaal moeten 220 incidenten worden toegevoegd die specifiek gericht zijn op twee of meer EU-lidstaten.

Sectoren die het meest doelwit zijn, zijn onder meer de overheidsdiensten voor 19% en de gezondheidszorg voor 8%. Vanwege de onderlinge afhankelijkheid wordt echter een cascade-effect waargenomen, waarbij een enkele gebeurtenis meestal meerdere sectoren tegelijk treft. 6% van alle evenementen is gericht op de productie-, transport- en financiële sector.

Het ENISA Threat Landscape 2023 is het jaarverslag van het EU-Agentschap voor Cybersecurity.

Impact van social engineering- en informatiemanipulatiecampagnes

Van het totale aantal evenementen gerelateerd aan social engineering richtte 30% zich op het grote publiek, 18% op het openbaar bestuur en 8% op alle sectoren. Op dezelfde manier waren campagnes voor informatiemanipulatie gericht op individuen voor 47%, op het openbaar bestuur voor 29%, gevolgd door de verdediging voor 9% en media/entertainment voor 8%. Campagnes voor informatiemanipulatie worden beschouwd als een grote bedreiging voor verkiezingsprocessen.

Overzicht van evoluerende trends op het gebied van bedreigingsactoren

• Activiteiten van dreigingsactoren zoals cybercriminelen, statelijke actoren en hacktivisten worden beïnvloed door geopolitieke gebeurtenissen. Actoren op het gebied van de staatsrelaties richten zich steeds vaker op werknemers op sleutelposities, politici, overheidsfunctionarissen, journalisten of activisten. Ze nemen vooral hun toevlucht tot traditionele spearphishing-e-mails en tot sociale netwerken.

• Het trojaniseren van bekende softwarepakketten: we zien dat statelijke actoren aanvalspatronen overnemen die typisch zijn voor criminele campagnes. Of, in sommige gevallen, steunden actoren op het gebied van de staatsverbanden acties van cybercriminelen, direct of indirect. Enkele van de technieken omvatten gerichte malvertising waarbij kwaadaardige sites verwijzen naar getrojaniseerde versies van legitieme applicaties. Deze actoren nemen ook hun toevlucht tot technieken die hen volledige controle geven over het opstartproces van het besturingssysteem (OS), en het vervolgens mogelijk maken om de beveiligingsmechanismen van het besturingssysteem uit te schakelen.

• Software voor Remote Monitoring and Management (RMM) trok ook de aandacht van cybercriminelen. Met deze software kunnen aanvallers zich mengen in de normale activiteiten.

• Bedreigingsactoren maken ook misbruik van configuratiefouten in beveiligingsproducten om antivirusprogramma's zonder beheerdersrechten uit te schakelen of deze in te zetten voor laterale verplaatsing.

• Cybercriminelen wenden zich tot de cloudinfrastructuur van potentiële slachtoffers om schade aan te richten, voornamelijk door misbruik te maken van verkeerde cloudconfiguraties. Dit beperkt zich niet tot de systemen, opslag en netwerken van organisaties die in de cloud draaien, maar strekt zich ook uit tot de beheerconsoles van cloudinfrastructuren.

Belangrijkste bedreigingen

Ransomware staat nog steeds bovenaan het podium en is verantwoordelijk voor 34% van de EU-bedreigingen met DDoS, goed voor 28% van alle bedreigingen.

Bedreigingen door sectoren

Ransomware richt zich op alle sectoren, waarbij de productie 14% van alle ransomware-gebeurtenissen voor zijn rekening neemt, gevolgd door de gezondheidszorg voor 13%, vervolgens door het openbaar bestuur voor 11% en de dienstensector voor 9%.

Wat betreft DDoS-aanvallen en datagerelateerde bedreigingen was 34% van de DDoS-aanvallen gericht op het openbaar bestuur, gevolgd door de transportsector voor 17% en de bank- en financiële sector voor 9%.

Bedreigingen voor de beschikbaarheid van internet hadden vooral gevolgen voor de digitale infrastructuur voor 28% en voor digitale dienstverleners voor 10%.

De omvang van de impact van aanvallen op de toeleveringsketen komt naar voren als een substantiële zorg in het kader van de komende verkiezingen. Dit komt omdat dergelijke aanvallen het openbaar bestuur voor 21% en digitale dienstverleners voor 16% troffen. Bovendien werd de exploitatie van kwetsbaarheden in verband gebracht met gebeurtenissen waarbij digitale dienstverleners voor 25%, digitale infrastructuren voor 23% en het openbaar bestuur voor 15% betrokken waren.

Doelsectoren per aantal incidenten (juli 2022-juni 2023)

Financieel gewin en disruptie als topmotivatie

In de meeste gevallen kunnen topdreigingen worden gemotiveerd door een combinatie van bedoelingen, zoals financieel gewin, verstoring, spionage, vernietiging of ideologie in het geval van hacktivisme.

Hoewel ransomware-aanvallen primair gemotiveerd zijn door financieel gewin, is een aantal van dergelijke aanvallen ook bedoeld om een ontwrichtend effect te hebben. Disruptie wordt nu geïdentificeerd als het tweede meest voorkomende motief, na financieel gewin. Disruptie is de belangrijkste drijfveer voor DDoS-aanvallen en voor informatiemanipulatie.

Diepe nep en AI

Kunstmatige intelligentie en de complexiteit van grote taalmodellen (LLM's) hebben de laatste tijd veel aandacht gekregen. Deepfakes en andere soortgelijke technologieën kunnen bijdragen aan het doel van realistische en gerichte social engineering-aanvallen. We moeten alert zijn op het potentiële misbruik van door kunstmatige intelligentie aangedreven chatbots bij phishing-pogingen, informatiemanipulatie en cybercriminaliteit.

Een aantal oudere technieken vergen echter veel minder inspanning en blijven nog steeds zeer efficiënt. Er is een heropleving van deze technieken waargenomen. Vergiftiging door zoekmachineoptimalisatie (SEO) en hoewel gedateerd, malvertising heeft nieuwe belangstelling gewekt onder cybercriminaliteitsactoren.

Veelvoorkomende kwetsbaarheden en blootstellingen (CVE)

Er werden in totaal 24.690 veelvoorkomende kwetsbaarheden en blootstellingen geregistreerd, wat een stijging betekent van 2.770 in vergelijking met de voorgaande rapportageperiode, die liep van juli 2021 tot juli 2022 en waarin in die periode 21.920 kwetsbaarheden werden geïdentificeerd.

Achtergrond

Het ENISA Threat Landscape-rapport brengt het cyberdreigingslandschap in kaart om besluitvormers, beleidsmakers en veiligheidsspecialisten te helpen strategieën te definiëren om burgers, organisaties en cyberspace te verdedigen. Dit werk maakt deel uit van het jaarlijkse werkprogramma van het EU-Agentschap voor Cybersecurity om strategische informatie aan zijn belanghebbenden te verstrekken.

De inhoud van het rapport is afkomstig uit open bronnen zoals mediaartikelen, meningen van deskundigen, inlichtingenrapporten, incidentanalyses en veiligheidsonderzoeksrapporten; evenals via interviews met leden van de ENISA Cyber Threat Landscapes Working Group (CTL-werkgroep).

De analyse en standpunten van het dreigingslandschap door ENISA zijn sector- en leveranciersneutraal. Informatie gebaseerd op OSINT (Open Source Intelligence) en het werk van ENISA op het gebied van situationeel bewustzijn hielpen ook bij het documenteren van de analyse die in het rapport wordt gepresenteerd.

Gemeentes in scope NIS2

Sun, 26 Nov 2023 11:40:41 GMT

Ook gemeentes vallen onder NIS2.

Overheden waaronder gemeentes zijn essentieel verklaard onder de nieuwe Europese NIS2 -wetgeving, dat schrijft demissionair staatssecretaris Van Huffelen in een brief van 20-11-2023 aan IPO, UvW en VNG.

Gemeenten krijgen daarmee ook te maken met een zorgplicht, toezicht en meldplicht van NIS2.

Op dit moment is de Europese NIS2 wetgeving nog omgezet in een Nederlandse wetgeving, maar de minister schrijft dat de wetgeving uiterlijk 17-11-2023 in een nationale wetgeving omgezet moet worden.

Immers, indien deze datum niet gehaald wordt is de Europese wetgeving automatisch van toepassing.

Voor de brief van demissionair staatssecretaris Van Huffelen :

https://vng.nl/sites/default/files/2023-11/brief-nis2-bij-de-overheid.pdf

Aan de slag met DORA

Sun, 29 Oct 2023 12:19:29 GMT

Aan de slag met DORA

Vanaf 2025 worden financiële instellingen geconfronteerd met de verplichting om te voldoen aan de Digital Operational Resilience Act, afgekort DORA. Wat houdt DORA precies in? Wat zijn de voornaamste vereisten en wat voor effect heeft deze wetgeving? De experts bij Into Control verschaffen helderheid over dit onderwerp.

De Digital Operational Resilience Act biedt een allesomvattende benadering voor het beheer van ICT-gerelateerde risico's. Deze nieuwe Europese wetgeving is een reactie op de toenemende digitale afhankelijkheid van bedrijven en de groeiende bedreigingen van cyberaanvallen en datalekken.

Met de invoering van de DORA-verordening zet de Europese Unie een stap voorwaarts om de financiële sector veerkrachtiger te maken tegen aanzienlijke operationele verstoringen veroorzaakt door digitale dreigingen.

Aan de slag met de Digital Operational Resilience Act (DORA)

Vanaf 17 januari 2025 zijn financiële instellingen verplicht om aan DORA te voldoen. Deze verordening is van toepassing op een breed scala van financiële entiteiten in de Europese Unie, waaronder banken, verzekeraars, crowdfundingdienstverleners, cryptodienstverleners, pensioenfondsen en beleggingsondernemingen.

DORA stelt eisen en biedt richtlijnen aan bedrijven in de financiële sector, zodat de digitale systemen en infrastructuur beveiligd en beheerd worden, en organisaties tijdig en adequaat kunnen reageren op cyberincidenten en datalekken. Deze wetgeving is bedoeld om bedrijven in de nabije toekomst beter voor te bereiden op digitale dreigingen en de gevolgen daarvan.

Belangrijkste vereisten van DORA

Hoewel DORA ruimte laat voor verdere regelgeving in de vorm van gedelegeerde handelingen, zijn de hoofdlijnen al vrij specifiek vastgelegd. De volgende categorieën zijn te vinden in DORA:

Herziene organisatie en bestuur: DORA schrijft specifieke bestuurlijke en organisatorische vereisten voor met betrekking tot het monitoren van ICT-risico's.

Implementatie van een ICT-risk management framework: Financiële entiteiten moeten een ICT-risk management framework implementeren als onderdeel van hun algemene risicobeheersysteem.

Rapportage van ICT-incidenten: Er dient een specifieke procedure te worden ingevoerd voor het rapporteren van ICT-gerelateerde incidenten.

Strategie voor digitale operationele weerbaarheid: Maatregelen moeten worden genomen om cyberincidenten te voorkomen, te detecteren, de schade te beperken en een snel herstel te waarborgen.

Toezicht op ICT-risicobeheer bij derde partijen: Financiële entiteiten dragen verantwoordelijkheid voor de ICT-risico's van derde partijen en dienen deze risico's te definiëren en te monitoren.

Aan de slag met DORA

Hoewel januari 2025 nog in de toekomst ligt, is het van groot belang om tijdig te starten met de implementatie van DORA. Deze wetgeving is complex en omvat verschillende aspecten die aanpassingen binnen diverse afdelingen van een organisatie vereisen.

In de eerste plaats is het essentieel om te identificeren welke personen binnen de organisatie betrokken zijn bij de relevante aspecten van DORA. Zorg ervoor dat zij op de hoogte zijn van de nieuwe verordening en zich verdiepen in het onderwerp. Na het vaststellen van de verantwoordelijke personen binnen de organisatie, kunnen vervolgstappen systematisch worden ondernomen.

Het is tevens van belang om snel te beoordelen in hoeverre de organisatie al aan de vereisten van DORA voldoet. Als de organisatie nog niet volledig voldoet, dienen de benodigde systemen, middelen of procedures te worden geïdentificeerd om aan deze vereisten te voldoen. Eenmaal gedefinieerd, kan de organisatie samen met de verantwoordelijke personen de vereisten van de verordening implementeren.

DORA

Sun, 29 Oct 2023 12:16:25 GMT

This is a subtitle for your new post

Pensioenfondsen en -uitvoeringsorganisaties worden tijdens de overgang naar het nieuwe pensioenstelsel geconfronteerd met extra risico's met betrekking tot informatiebeveiliging en de daarmee gepaard gaande cyberrisico's. Tegelijkertijd biedt deze overgang in de komende jaren de gelegenheid om informatiebeveiliging en digitale weerbaarheid vanaf het begin in het ontwerp van hun processen en systemen op te nemen.

Wanneer een organisatie grote veranderingen ondergaat, zijn risicomanagers altijd alert. De focus verschuift dan vaak naar de inhoud van deze veranderingen, zoals een nieuwe koers, nieuwe werkmethoden, nieuwe teamleden, enzovoort. Risicobeheersingskwesties hebben de neiging om tijdelijk naar de achtergrond te verdwijnen.

Bij de uitvoering van de afspraken uit het Pensioenakkoord kan dit ook gebeuren met betrekking tot IT- en cyberrisico's in pensioenfondsen en -uitvoeringsorganisaties. Deze overgang is namelijk omvangrijk en complex en vereist aanzienlijke inspanningen van alle betrokken partijen. Er bestaat een risico dat de benodigde aandacht voor effectieve risicobeheersing wordt verwaarloosd.

Dit is een situatie die de pensioensector zich niet kan veroorloven. De Nederlandse Bank (DNB) heeft eerder al inspanningen geleverd om best practices en toezicht te bevorderen, met als doel het volwassenheidsniveau van risicobeheersing in de sector te verhogen. In de afgelopen jaren is er hard gewerkt om aan de minimale vereisten te voldoen. Het is daarom van cruciaal belang om ten minste dit niveau te handhaven en bij voorkeur verder te verbeteren, vooral met het oog op aanstaande regelgeving. Rond 2024 wordt naar verwachting de Digital Operational Resilience Act (DORA) van kracht, een nieuwe en strengere Europese verordening met eisen met betrekking tot digitale weerbaarheid. Het is van groot belang om tijdig aan deze verordening te voldoen.

Het verhogen van het niveau van informatiebeveiliging (DNB) tijdens de overgangsfase is een noodzaak voor pensioenfondsen en -uitvoeringsorganisaties en biedt tegelijkertijd de gelegenheid om de digitale weerbaarheid (DORA) te verbeteren. De vereisten van DORA zijn strenger dan die van DNB, met name met betrekking tot uitbesteding, weerbaarheidstests en incidentrapportage. Het is van cruciaal belang om de financiële transacties en persoonlijke gegevens op een zodanige manier te beschermen dat de beschikbaarheid, integriteit en vertrouwelijkheid van deze gegevens niet in gevaar komen.

Het tijdig aanpakken van deze kwesties betekent ook dat er na de overgangsfase minder noodzaak zal zijn voor achteraf reparaties, wat aanzienlijke kostenbesparingen met zich meebrengt. Preventieve maatregelen zijn namelijk doorgaans eenvoudiger in te bouwen dan correcties achteraf uit te voeren.

Daarom is het van groot belang om informatiebeveiliging 'in te bouwen' in de pensioensector tijdens de overgang naar het nieuwe stelsel. Deze overgang biedt een kans om beveiligingsmaatregelen direct te integreren bij het ontwerpen van nieuwe systemen of het aanpassen van bestaande systemen.

We kunnen dit benaderen als 'Control by design.' Hoewel dit enige uitdagingen met zich meebrengt, zoals het benodigde extra tijdsbeslag in een periode waarin tijd schaars is en het vinden van het juiste evenwicht tussen veiligheid en flexibiliteit, levert dit uiteindelijk de beste resultaten op. Organisaties die meerdere pensioenregelingen willen aanbieden en administratieve flexibiliteit nodig hebben, kunnen bijvoorbeeld wendbaarheid behouden, wat soms lastig te verenigen is met het volledig vergrendelen van digitale toegang.

KPMG staat paraat om pensioenfondsen en -uitvoeringsorganisaties te ondersteunen bij deze uitdagingen. We hebben uitgebreide ervaring in het verhogen van het volwassenheidsniveau van risicobeheersing met betrekking tot informatiebeveiliging en digitale weerbaarheid, en we begrijpen hoe dit niveau kan worden versterkt en gehandhaafd tijdens de overgang naar het nieuwe pensioenstelsel. Onze aanpak omvat zowel organisatorische ontwikkeling als technische maatregelen, zoals het versterken van het risicobewustzijn van medewerkers, het waarborgen van functiescheidingen, technische configuraties, kwetsbaarheidsscans en penetratietests. Ons gespecialiseerde team op het gebied van IT- en cyberrisico's in de pensioensector werkt samen met u aan de meest geschikte beheersoplossingen voor uw organisatie.

Als u interesse heeft in hoe Cyberus uw pensioenfonds of uitvoeringsorganisatie kan ondersteunen, aarzel dan niet om contact met ons op te nemen. We zijn graag bereid om een gesprek aan te gaan en u verder te adviseren.

NIS2GO: Cyberus & Chapter8

Thu, 19 Oct 2023 11:23:51 GMT

NIS2 GO: Cyberus & Chapter8 alliantie.

Samenwerking van IT Advocaten, Governance, Risk & Compliance Adviseurs en Cyber Security Experts .

De “Network and Information Security directive”, of NIS2-richtlijn, is bedoeld om de cyberbeveiliging en de weerbaarheid van essentiële diensten in EU-lidstaten te verbeteren. De NIS2 vergroot de reikwijdte van de eerste richtlijn door meer sectoren te omvatten.

Dergelijke wetten zijn complex te doorgronden, implementeren, na te leven en op te sturen. Om als organisatie NIS2 compliant te zijn, vergt dit een business transformatie waarbij er meerdere disciplines nodig zijn.

Voor meer info over de NIS2 GO aanpak, zie onze interne pagina van Cyberus en die van NIS2 GO .

Jouw NIS2 partner in jouw gehele route naar effectief NIS2 compliancy

Verdere vormgeving AI ACT

Thu, 19 Oct 2023 10:46:12 GMT

Vormgeving van de AI ACT

De EU staat voor de uitdaging om een balans te vinden die zowel grote technologiebedrijven als kleinere spelers in het veld van kunstmatige intelligentie kan reguleren. Volgens berichtgeving van Bloomberg zijn er nu meer concrete plannen waarin de EU AI-innovaties kan indelen in een van de drie categorieën.

1. Foundation models: transparantie, protocollen, opt-out

Foundation models worden vaak omschreven als AI-modellen die kunnen worden ingezet voor diverse taken, zoals voorgesteld door EU-onderhandelaars. De eisen voor dergelijke basismodellen zijn strikt. Het trainingsproces moet transparant zijn, met onafhankelijke experts die proberen ongewenst gedrag op te sporen. Vervolgens vindt er een evaluatie plaats op basis van gestandaardiseerde protocollen. Bedrijven die gebruikmaken van een bepaald Foundation model zouden, volgens het voorgestelde AI Act, het recht hebben om informatie en tests van het model op te vragen. Daarnaast moeten klanten de mogelijkheid krijgen om zich af te melden, waardoor hun gegevens niet voor verdere training worden gebruikt.

Het is duidelijk gemaakt dat het reguleren van basismodellen op deze manier uitdagend kan zijn, maar het voldoen aan de voorschriften van de AI Act zou haalbaar moeten zijn, hoewel ontwikkelaars van basismodellen nog werk te verrichten hebben.

2. Rekenkracht als meetpunt

Striktere regels zijn in het verschiet voor "zeer capabele" foundation models, gedefinieerd aan de hand van een nader te bepalen criterium voor Floating Operations Per Second (FLOPS). Hier heeft de EU de meeste ruimte voor regulering en is er gelegenheid voor bedrijven om met beleidsmakers te overleggen over best practices en vrijwillige gedragscodes. De EU heeft echter nog steeds moeite om grip te krijgen op de snelle ontwikkelingen in het AI-landschap. Er is ook een voorstel om de potentiële impact van een model te beoordelen op basis van de toepassingen die ervan afhankelijk zijn. Als er aanzienlijke risico's verbonden zijn aan een oplossing, moeten de bijbehorende AI-systemen aan strengere eisen voldoen, met externe experts die potentiële risico's analyseren.

Dit blijft een uitdaging, met name voor open-source oplossingen, aangezien deze als gedecentraliseerde entiteiten moeilijk kunnen voldoen aan strikte voorschriften. De EU zal hierop nog een passend antwoord moeten formuleren, vooral omdat grote technologiebedrijven open-source als een belangrijke speler in het AI-ecosysteem beschouwen.

3. AI-oplossingen op basis van gebruikers

De laatste categorie omvat algemene AI-systemen. Elk systeem dat wordt gebruikt door 10.000 professionele klanten of 45 miljoen eindgebruikers moet verplicht worden onderworpen aan risicoanalyse en methoden voor risicovermindering, inclusief externe beoordelingen.

De genoemde gebruikersaantallen zijn echter niet dwingend, aangezien de EU het recht behoudt om andere systemen aanvullende voorschriften op te leggen.

Het blijkt opnieuw dat er binnen de gelaagde structuur van de AI Act meer ruimte is dan op het eerste gezicht lijkt.

NIS2: een nieuwe Europese richtlijn voor Netwerk- en Informatiebeveiliging

soha.iravany@cyberus.nl (Soha Iravany) — Tue, 06 Jun 2023 20:52:11 GMT

NIS2: een nieuwe Europese richtlijn voor Netwerk- en Informatiebeveiliging

De afkorting NIS verwijst naar Network & Information Systems, ook wel bekend als de NIB-richtlijn in het Nederlands. In dit geval staat NIB voor richtlijn Netwerk en Informatiebeveiliging. Zowel NIS als NIB zijn afkortingen voor dezelfde richtlijn die door de EU is opgesteld om een kader te bieden voor de beveiliging van netwerk- en informatiesystemen die van algemeen belang zijn voor de openbare veiligheid. Met andere woorden, het doel van de NIS is het verhogen van het niveau van cyberweerbaarheid binnen de EU. Gezien de toenemende dreigingen en de grote afhankelijkheid van de digitalisering van de maatschappij is de huidige NIS niet meer afdoende. Daarom wordt de richtlijn vervangen door de Network & Information Systems versie 2, ook wel bekend als NIS2.

Na de vaststelling van de NIS-richtlijn in 2016 hadden de EU-landen twee jaar de tijd om deze richtlijn om te zetten in nationale wetgeving. De NIS bood de EU-landen hierbij een aanzienlijke mate van vrijheid en flexibiliteit. In Nederland is de NIS-richtlijn omgezet in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni). Deze wet is van kracht sinds 9 november 2018 en heeft als doel de digitale weerbaarheid van Nederland te vergroten, de gevolgen van cyberincidenten te beperken en maatschappelijke ontwrichting te voorkomen.

In de NIS wordt gesproken over kritieke infrastructuur, waarbij de betrokken aanbieders bepaalde rechten en plichten hebben. De lidstaten hebben deze invulling grotendeels naar eigen inzicht kunnen bepalen. Met deze vrijheid beoogde de EU rekening te houden met nationale omstandigheden.

Ingangsdatum NIS2

Op 27 december 2022 is de NIS2 gepubliceerd en deze zal van kracht worden op 16 januari 2023. Alle Europese landen hebben tot 17 oktober 2024 de tijd om de richtlijn te implementeren in hun nationale wet- en regelgeving.

NIS: Essentieel voor de Nederlandse samenleving

De term kritieke infrastructuur heeft verschillende synoniemen, zoals essentiële infrastructuur en vitale infrastructuur. Volgens de overheid worden bepaalde processen als zodanig beschouwd omdat uitval of verstoring ervan kan leiden tot ernstige maatschappelijke ontwrichting en een bedreiging vormt voor de nationale veiligheid. Voorbeelden van dergelijke vitale processen zijn elektriciteitsvoorziening, internettoegang, drinkwatervoorziening en betalingsverkeer. De aanbieders (organisaties) zijn verantwoordelijk voor het waarborgen van de continuïteit van deze vitale processen. Onder de huidige wetgeving worden de organisaties die vitaal zijn vastgesteld door vakdepartementen. Elk vakdepartement heeft zijn eigen beleidsverantwoordelijkheid en bepaalt binnen deze verantwoordelijkheid welke organisaties als vitaal worden aangemerkt, en zij informeren deze organisaties hierover.

Tot slot is er een aparte categorie genaamd Digital Service Providers (DSP's), waaronder online marktplaatsen, cloudservices en zoekmachines vallen. Deze DSP's worden apart benoemd vanwege hun specifieke zorg- en meldplicht. Ook zij vallen onder de NIS-regelgeving.

De vitale aanbieders

In Nederland zijn er twee categorieën van vitale aanbieders, namelijk de Aanbieders van een Essentiële Dienst (AED) en de Andere Aangewezen Vitale Aanbieders (AAVA). Daarnaast maakt de NIS-richtlijn ook melding van Digital Service Providers (DSP's). Om het onderscheid tussen deze drie categorieën uit te leggen, is het belangrijk om terug te gaan naar de NIS-richtlijn, waarin specifieke sectoren worden genoemd waarop de richtlijn van toepassing is. Deze sectoren omvatten:

Energie
Transport
Bankwezen
Financiële instellingen
Zorg
Drinkwater
Digitale infrastructuur

De aanbieders die binnen deze sectoren vallen en door het vakdepartement zijn aangewezen, behoren tot de groep AED. Daarnaast zijn er in Nederland processen die van vitaal belang zijn voor het land, zoals waterkering, maar die niet specifiek zijn opgenomen in de richtlijn. De aanbieders die dus vitaal zijn voor Nederland, maar niet onder de richtlijn vallen, worden aangeduid als AAVA.

Rechten en plichten

Alle vitale aanbieders hebben volgens de Wbni het recht op ondersteuning van het Nationaal Cyber Security Centrum (NCSC) bij het nemen van maatregelen om de continuïteit van hun diensten te waarborgen of te herstellen. Daarnaast ontvangen deze partijen informatie en advies van het NCSC over dreigingen en incidenten met betrekking tot hun netwerk- en informatiesystemen. Voor Digital Service Providers (DSP's) geldt dat zij gebruik kunnen maken van het CSIRT DSP, dat momenteel valt onder het Ministerie van Economische Zaken en Klimaat.

Naast deze rechten hebben vitale aanbieders ook verplichtingen, waarbij onderscheid wordt gemaakt tussen zorgplicht en meldplicht. Vitale aanbieders zijn verplicht om digitale incidenten en bijna-incidenten die aan bepaalde drempelwaarden voldoen te melden bij zowel het NCSC als de toezichthouder waaronder de aanbieder valt. Het melden bij het NCSC is bedoeld voor het verkrijgen van ondersteuning en bijstand, terwijl het melden bij de toezichthouder dient om vast te stellen of de aanbieder de noodzakelijke technische en organisatorische maatregelen heeft genomen.

DSP's moeten digitale incidenten en bijna-incidenten melden bij het CSIRT DSP en RDI.

Waarom NIS2?

Als gevolg van de NIS-richtlijn is de cyberveiligheid van EU-landen aanzienlijk verbeterd. Het is echter gebleken dat de huidige richtlijn ontoereikend is, gezien de toenemende dreigingen en de grote afhankelijkheid van digitalisering, die tijdens de coronacrisis nog duidelijker aan het licht kwam. Om deze reden heeft de Europese Commissie een voorstel ingediend om de bestaande NIS-richtlijn te vervangen door een nieuwe versie genaamd NIS2. Het besluitvormingsproces voor NIS2 is echter nog niet volledig afgerond. De verschillen tussen de huidige NIS-richtlijn (NIS1) en NIS2 hebben betrekking op sectoren en aanbieders, beveiligingseisen en toezichtsmaatregelen.

Sectoren en aanbieders

NIS1 hanteert twee categorieën van sectoren, namelijk kritieke infrastructuur en Digital Service Providers (DSP's). Zoals eerder vermeld, is het aan elke afzonderlijke lidstaat overgelaten om te bepalen welke aanbieders (organisaties) binnen deze categorieën vallen. NIS2 introduceert nu enkele wijzigingen in deze sectoren, breidt het aantal sectoren uit en biedt strengere richtlijnen met betrekking tot de betreffende aanbieders. Dit betekent dat lidstaten niet langer individuele aanbieders hoeven aan te wijzen.

Over het algemeen geldt de volgende richtlijn: alle organisaties binnen een essentiële sector met meer dan 50 medewerkers en een omzet van meer dan 10 miljoen euro worden gedefinieerd als essentiële aanbieders. Als er echter organisaties zijn binnen deze sector die van essentieel belang zijn, maar minder dan 50 medewerkers en minder dan 10 miljoen euro omzet hebben, kan een lidstaat deze alsnog aanmerken als essentiële aanbieders.

Naast de "essentiële sectoren" definieert NIS2 nu ook een tweede categorie, namelijk de "belangrijke sectoren". Het verschil tussen "essentieel" en "belangrijk" ligt hierbij in de mate van toezicht. Essentiële entiteiten vallen onder proactief toezicht, terwijl belangrijke entiteiten onder reactief toezicht vallen.

Beveiligingseisen: NIS2 gaat een stap verder

Naast de uitbreiding van sectoren en aanbieders zijn er ook verschillen tussen NIS1 en NIS2 met betrekking tot de vereiste beveiligingseisen. In NIS1 wordt van lidstaten verwacht dat ze een nationale strategie voor netwerk- en informatiebeveiliging hebben vastgesteld. Bovendien moeten lidstaten beveiligings- en meldingsvereisten hebben opgesteld voor de betreffende sectoren (essentieel en DSP).

NIS2 gaat verder in het definiëren van beveiligingseisen voor essentiële en belangrijke sectoren. Hierbij is de certificering van producten, diensten en processen volgens specifieke EU-cybersecuritycertificatieschema's van groot belang. Naast wat reeds is voorgeschreven in NIS1, bevat NIS2 ook een sectie (Artikel 21 van de NIS-richtlijn) die specifieke eisen stelt aan organisaties die zich in de toeleveringsketen van een kritieke sector bevinden, evenals het opzetten van processen met betrekking tot incidentafhandeling. Bovendien zal ook de verplichting tot melden van potentiële cyberdreigingen worden uitgebreid.

Versterking van het toezicht en meer consistentie

In NIS1 wordt geëist dat alle lidstaten hun toezichthoudende instanties versterken en de mogelijkheid hebben om boetes op te leggen in geval van non-compliance. De specifieke invulling hiervan, evenals de hoogte van de boetes, is echter aan de lidstaten overgelaten. Zowel NIS2 als NIS1 bieden de lidstaten ruimte om hierin hun eigen invulling te geven. Desalniettemin zal er meer duidelijkheid komen over hoe de toezichthoudende instanties moeten handhaven. Denk bijvoorbeeld aan boetes vergelijkbaar met die van de AVG (Algemene verordening gegevensbescherming) in geval van non-compliance. Het idee is dat het toezicht strenger geregeld wordt en dat de handhaving en boetes meer consistent zijn tussen de lidstaten.

A blog of the HSD

soha.iravany@cyberus.nl (Soha Iravany) — Mon, 29 May 2023 13:52:35 GMT

A blog of the Hague Security Delta (HSD)

Insights from Cyberus

In today's technology-driven landscape, ensuring the safety and security of data is a top priority for organisations across industries. The fields of IT auditing, IT risk management, privacy, compliance, and cyber security have become critical in safeguarding sensitive information, and businesses must prioritise these areas to stay protected against potential threats. Along with other regional industry leaders at HSD Campus , Cyberus has emerged as a go to option for companies looking to manage their IT risk and in need of IT auditing.

The firm was founded by Dwayne Valkenburg who we sat down with together with Firas Abali , a partner at Cyberus, both of whom are former Big Four IT auditors and IT risk consultants with extensive experience in the field. In light of the continually increasing complexity of regulations for IT organisations, as well as risk, compliance, and audit departments, Cyberus has emerged as a reliable and comprehensive solution. The demand for these services has increased over the years, and as Dwayne explained, there is a considerable market inefficiency in who larger firms tend to put on cases. “If you hire [larger traditional firms], you are likely to get the junior unit where people are fresh out of college, with limited experience and proper knowledge. But you pay a premium, because they have the brand”. After having worked for firms that fall under this category for years, the partners sought what it would take to offer a similar product, but for a more fair price and conducted by more experienced employees. As Dwayne put it, “it’s a winning game for everyone.”

With new EU regulations on the horizon, companies are preparing for EU regulations such as DORA and NIS2 in order to remain compliant. In the wake of these regulatory changes, many of Cyberus’ clients, including insurance agencies, are seeking support in managing these new regulatory requirements. Cyberus offers a total package solution to guide organisations on their journey towards compliance, from the starting point of a new regulation to the implementation of mitigating controls. For example, if a client needs to implement a privilege access management solution, Cyberus can provide guidance on this. Additionally, the company helps clients to establish governance processes and maintain their desired level of global compliance for regulatory requirements.

The field of AI and machine learning is also experiencing rapid growth and innovation, with new self-learning algorithms emerging regularly. This trend is upending the traditional approach to control management, and even large companies are grappling with its implications. AI also brings further issues such as privacy and automated decision making. “With new technology comes a lot of risk. New rules will be implemented, and we will be the ones that make sure you can be in compliance with them”, Firas added.

The accomplishments of Cyberus have been impressive since their founding, and they have benefited from the support of HSD Campus and being integrated into the local cybersecurity ecosystem. Not only was the prime location that makes it easy for people to commute as Firas is based in Breda but “also due to the like minded, young people, most of whom are very ambitious. If I have a problem, and I want some information on something security related, I can just pass down to my neighbour’s office and have a chat,” as Dwayne stated. This atmosphere and concentration of highly capable individuals and like minded businesses creates an environment where networking is highly probable and encouraged. Since their arrival, Cyberus has been working towards establishing multiple partnerships and plans on continuing this trend in the future, all with the hopes of further establishing itself as a leading company within cybersecurity and making the digital world a safer place for all.

Should you have any questions or compliance and regulations requirements of your own, then consider reaching out to Cyberus on their website .

NIS2 toepasbaar framework

soha.iravany@cyberus.nl (Soha Iravany) — Sun, 28 May 2023 20:12:22 GMT

Cyberus ontwikkelt NIS2 normenkader

Het team van Cyberus is verheugd om aan te kondigen dat we de NIS2 Richtlijnen hebben vertaald naar een bruikbaar en praktisch normenkader. Dit normenkader is ontworpen om organisaties te helpen bij het navigeren door en het implementeren van de NIS2 Richtlijn.

Het unieke aan ons normenkader is dat het is gebaseerd op bekende en gerespecteerde normen en frameworks zoals het NIST Cybersecurity Framework (CSF), ISO 27001/27002, CIS Controls en IEC 62443. Dit betekent dat ons normenkader niet alleen voldoet aan de eisen van de NIS2 Richtlijn, maar ook de beste praktijken in cybersecurity integreert.

GAP Analyse voor NIS2 Compliance

Het voldoen aan de NIS2 Richtlijn kan een uitdagende onderneming zijn voor organisaties, gezien de uitgebreide en complexe aard van de regelgeving. Daarom biedt Cyberus ook een GAP-analyse aan. We vergelijken de huidige beveiligingspraktijken en -protocollen van uw organisatie met de eisen van de NIS2 Richtlijn. Hierdoor kunnen we de 'gaps' of lacunes identificeren die moeten worden aangepakt om volledige compliance te bereiken.

Advies en Partnerschap bij Implementatie

Naast het aanbieden van het normenkader en de GAP-analyse, biedt Cyberus ook advies en partnerschap bij de implementatie van de NIS2 Richtlijn. We begrijpen dat de weg naar compliance niet altijd eenvoudig is. Daarom staan onze ervaren consultants klaar om u te ondersteunen bij elke stap van het proces. Of u nu hulp nodig heeft bij het begrijpen van de regelgeving, het aanpakken van de geïdentificeerde 'gaps', of het implementeren van nieuwe beveiligingsmaatregelen, Cyberus is uw partner.

Vooruitblikkend

De implementatie van de NIS2 Richtlijn is een belangrijke stap in de versterking van de digitale veiligheid binnen de EU. Bij Cyberus zijn we toegewijd aan het ondersteunen van onze klanten bij deze overgang. Of uw organisatie nu net begint met het proces of al verder gevorderd is, we kunnen u helpen om uw doelen te bereiken en compliance te waarborgen.

We zijn enthousiast over deze nieuwe ontwikkeling en kijken ernaar uit om met u samen te werken aan uw NIS2 compliance traject.

Voor meer informatie neem vrijblijvend contact op via info@cyberus.nl of ons contactformulier:

https://www.cyberus.nl/contact

Nieuwe Cyberus partner Firas Abali

soha.iravany@cyberus.nl (Soha Iravany) — Tue, 26 Apr 2022 19:11:34 GMT

Welkom Firas Abali, de nieuwe Cyberus partner

Met trots kondigen wij de benoeming aan van Firas Abali als onze nieuwe IT Audit, Risk en Compliance Management Partner bij Cyberus. Firas, een doorgewinterde professional in het veld, brengt een schat aan ervaring met zich mee, opgedaan bij vooraanstaande organisaties zoals PwC, ASML en diverse overheidsinstellingen.

Over Firas Abali

Firas heeft een indrukwekkende loopbaan in IT Audit, IT consulting en IT Risk- en Compliance management, met ervaring die strekt van gerenommeerde corporates, tot de publieke sector. Zijn achtergrond bij PwC, een van de meest gerespecteerde adviesbureaus ter wereld, heeft hem voorzien van een diepgaand begrip van IT audit, IT risk management en compliance. Bij ASML, een wereldleider in de semiconductor-industrie, heeft Firas waardevolle technische ervaring opgedaan en bewezen succesvol te zijn in een snel evoluerende, zeer complexe en technologiegedreven omgeving.

Bovendien heeft Firas gewerkt bij verschillende overheidsinstellingen, waar hij betrokken was bij complexe en maatschappelijk relevante projecten die de veiligheid van IT-systemen en de bescherming van gevoelige informatie vereisten. Deze ervaring zal van onschatbare waarde zijn als we ons inzetten om onze klanten te helpen voldoen aan strenge normen en hun systemen tegen cybersecurity dreigingen te beschermen.

Wat betekent dit voor onze klanten?

Met Firas aan het roer van ons IT Audit-, Risk- en Compliance management team zullen we in staat zijn om:

Onze klanten nog beter te ondersteunen bij het navigeren door het complexe landschap van IT-risico's en compliance-eisen.
Diepgaande risicobeoordelingen en aanbevelingen voor verbeteringen te leveren op basis van de beste praktijken in de industrie.
Sterke strategieën voor IT risk en compliance management te ontwikkelen en te implementeren die de technische uitdagingen van vandaag de dag aankunnen.
We zijn ervan overtuigd dat Firas' leiderschap en expertise ons team zullen versterken en ons in staat zullen stellen om onze klanten nog beter te bedienen.. Met als doel waarde te kunnen leveren aan onze klanten en hen te helpen hun digitale omgevingen veilig te houden.

Kijken naar de Toekomst

We zijn verheugd om Firas te verwelkomen in het Cyberus-team en kijken uit naar de waardevolle bijdragen die hij zal leveren aan onze organisatie en aan onze klanten. Terwijl we vooruit kijken, blijven we ons inzetten om de beste IT Risk en Compliance Management diensten te bieden, en met Firas aan boord zijn wij nog beter gepositioneerd om dit te doen.

Namens het hele team bij Cyberus heten we Firas van harte welkom. We kijken ernaar uit om samen te werken aan het versterken van onze dienstverlening en het beschermen van de digitale assets van onze klanten.

Neem gerust contact op met onze nieuwe partner Firas Abali via firas.abali@cyberus.nl

Cyberus is trots HSD Campus lid, 'The Hague Security Delta'

Sat, 01 Jan 2022 20:42:22 GMT

This is a subtitle for your new post

The body content of your post goes here. To edit this text, click on it and delete this default text and start typing your own or paste your own from a different source.

Hyarchis SOC 2

Mon, 05 Jul 2021 20:10:38 GMT

Partnership Cerrix

Thu, 01 Jul 2021 16:59:02 GMT

Partnership CERRIX GRC Technology

CERRIX is een software organisatie die zich heeft gespecialiseerd op het gebied van Risico-, Audit, Governance, Compliance en Procesmanagement. CERRIX streeft ernaar om de GRC (Governance, Risk en Compliance) sector te innoveren, middels in de inzet van technology en waarmee process geautomatiseerd worden en grip verkregen kan worden op GRC vraagstukken.

Waarbij CERRIX een gepaste GRC Technology oplossing kan bieden voor verschillende GRC vraagstukken, stelt Cyberus de organisatie instaat om het maximale uit CERRIX in uw organisatie te halen en dit op een meest efficient mogelijke wijze te implementeren.

Cyberus consultant beschikken over een ervaring met verschillende GRC Technology implementatie trajecten, bij grote corporates, banken en verzekeraars.

Op dit vlak zijn CERRIX en Cyberus een partnership aangegaan.

SOC2 IT Audit partnership

Sun, 20 Jun 2021 20:04:17 GMT

This is a subtitle for your new post

The body content of your post goes here. To edit this text, click on it and delete this default text and start typing your own or paste your own from a different source.

Trotse sponsor ISACA NL

soha.iravany@cyberus.nl (Soha Iravany) — Sun, 17 Mar 2019 21:19:00 GMT

Trotse sponsor ISACA Nederland

2019 Risk Congres

Gedurende het afgelopen ISACA Risk Congres was Cyberus trotse sponsor van het IT Risk congres in de Amsterdam arena.

NCSC Beveilingsadviezen

AI in Cybersecurity

AI in Cybersecurity

Zero Trust: Wat is het en waarom zou ik het gebruiken?

Zero Trust: Wat is het en waarom zou ik het gebruiken?

Security Behavior & Culture

Security Behavior & Culture

Digital Services Act

Digital Services Act (DSA)

Cyber Resilience Act

Cyber Resilience Act (CRA)

Digital Operation Resilicience Act (DORA)

Digital Operation Resilicience Act (DORA)

NIS2

NIS2... wat moet ik ermee?

Cyberus Beach Party

Cyberus Beach Event ﻿

AI Act

The Artificial Intelligence (AI) Act

Information Security

Help! Wat kan ik zelf doen voor het verbeteren van mijn informatiebeveiliging? ﻿

CISM vs CISSP

CISM vs CISSP aan welke certificering heb je meer als cyber security consultant?

Cybersecurity Workforce Study

Cijfers en resultaten uit ISC2 Cybersecurity Workforce Study

Tekort cybersecurity professionals

Tekort aan cybersecurity professionals is een groot probleem.

Stemgedrag beïnvloed via AI van vijandige staten...

EU-verkiezingen lopen gevaar door de opkomst van door AI ondersteunde informatiemanipulatie

Gemeentes in scope NIS2

Ook gemeentes vallen onder NIS2.

Aan de slag met DORA

Aan de slag met DORA

DORA

This is a subtitle for your new post

NIS2GO: Cyberus & Chapter8

NIS2 GO: Cyberus & Chapter8 alliantie.

Jouw NIS2 partner in jouw gehele route naar effectief NIS2 compliancy

Verdere vormgeving AI ACT

Vormgeving van de AI ACT

NIS2: een nieuwe Europese richtlijn voor Netwerk- en Informatiebeveiliging

NIS2: een nieuwe Europese richtlijn voor Netwerk- en Informatiebeveiliging ﻿

Ingangsdatum NIS2

NIS: Essentieel voor de Nederlandse samenleving

De vitale aanbieders

Rechten en plichten

Waarom NIS2?

Sectoren en aanbieders

Beveiligingseisen: NIS2 gaat een stap verder

Versterking van het toezicht en meer consistentie

A blog of the HSD

A blog of the Hague Security Delta (HSD)

NIS2 toepasbaar framework

Cyberus ontwikkelt NIS2 normenkader

GAP Analyse voor NIS2 Compliance

Advies en Partnerschap bij Implementatie

Vooruitblikkend

Nieuwe Cyberus partner Firas Abali

Welkom Firas Abali, de nieuwe Cyberus partner

Over Firas Abali

Wat betekent dit voor onze klanten?

Kijken naar de Toekomst

Cyberus is trots HSD Campus lid, 'The Hague Security Delta'

This is a subtitle for your new post

Hyarchis SOC 2

Partnership Cerrix

Partnership CERRIX GRC Technology

SOC2 IT Audit partnership

This is a subtitle for your new post

Trotse sponsor ISACA NL

Trotse sponsor ISACA Nederland

2019 Risk Congres

Cyberus Beach Event

Help! Wat kan ik zelf doen voor het verbeteren van mijn informatiebeveiliging?

NIS2: een nieuwe Europese richtlijn voor Netwerk- en Informatiebeveiliging