De interne en externe risico’s van Cybersecurity

Cybersecurity

Onlangs mochten wij aanwezig zijn op het Cybersecurity & Dataprotection Event, georganiseerd door Mazars. Het evenement werd gehouden op een prachtige locatie, namelijk het Rijksmuseum Twenthe in Enschede. Voor Leap was dit een mooi moment om de kennis omtrent dit veelbesproken onderwerp up-to-date te houden.

 

Externe risico’s

Een van de besproken onderwerpen is Open Source Intelligence (OSINT) en gaat over de digitale voetafdruk die bedrijven achter laten op het internet. Het verbinden van systemen via internet impliceert dat een aantal aspecten van de digitale omgeving van een organisatie openbaar en online zichtbaar zijn. Denk hierbij aan domeinnamen, namen van medewerkers, IP-adressen en mogelijk vergeten en eerder opgezegde domeinnamen. Deze digitale footprint vormt een potentieel gevaar wanneer hiermee ongewenste informatie wordt prijsgegeven.

In de praktijk blijkt dat veel organisaties zich niet bewust zijn van hun digitale footprint en de daaraan gekoppelde risico’s. Kwaadwillenden gebruiken deze informatie voor cyberaanvallen of andere schadelijke activiteiten.

Daarnaast werd aan de hand van voorbeelden uitgelegd hoe een bepaalde aanval door hackers wordt uitgevoerd, ook wel de ‘Kill-Chain’ genoemd. Het uitvoeren van een cyber-aanval gebeurt niet van de ene op de andere dag, daar gaat een heel traject aan vooraf. Een aanval van buitenaf gaat over het algemeen volgens het volgende patroon: Verkenning, Bewapening, Aflevering, Exploitatie, Installatie, Bestuur & Beheer en Uitvoering.

 

Interne Risico’s

Naast externe risico’s zijn er uiteraard ook interne risico’s op het vlak van cybersecurity: het eigen personeel. Zij kunnen het slachtoffer worden van phishing e-mails of telefonische oplichting. Het gebruik van bedrijfsapparatuur (telefoon, laptop, opslagmedia, etc.) kan een extra risico vormen wanneer deze worden verbonden met externe netwerken.

 

Wetsvoorstellen

Om deze situaties het hoofd te kunnen bieden werkt de Europese Unie – naast de huidige AVG / GDPR wet en regelgeving aan een aantal nieuwe wetsvoorstellen:

– DORA: een eenduidig wettelijk kader voor digitale weerbaarheid van de financiële sector in alle EU-landen. Het moet gaan zorgen voor harmonisatie van wetgeving en een gelijk speelveld voor financiële dienstverleners binnen de EU. DORA stelt eisen aan uitbesteding door kritieke derde dienstverleners, om risico’s beter te beheersen.

– NIS2: het voorstel voor de nieuwe NIS2 adresseert de tekortkomingen en past zich aan naar de huidige behoeftes en toekomstige wensen. De verantwoordelijkheden voor bedrijven over de toeleveringsketens en leveranciersrelaties worden met verhoogde en verbreedde security-eisen aangescherpt. Hiermee wil men het niveau verhogen van cyberweerbaarheid van een uitgebreide reeks bedrijven die actief zijn in de Europese Unie in alle relevante sectoren.

Een interessante ontwikkeling die onze ICT consultants op de voet blijven volgen. Ten slotte werd op het event waardevolle kennis gedeeld over hoe organisaties hun cybersecurity op niveau kunnen brengen én houden. Daarbij werd bijvoorbeeld uitgebreid uitgelegd hoe een audit- en monitoringcyclus hier aan kan bijdragen.

Thomas Breijer

MEER WETEN?

We helpen u graag verder,
neem contact op met:

 

THOMAS BREIJER

Consultant

Mail t.breijer@leap.nlBel 024-711 33 49