Waarom cyberoplossingen veel fitter moeten worden

Hoe worden we digitaal weerbaarder? In dat vraagstuk doken Dick Vonk (Dell Technologies), Rik Chorus (Kyndryl) en Rudrani Djwalapersad (EY).

De meeste bestuurders nemen de risico’s van cyber zeer serieus. Toch worstelen veel financiële instellingen met het thema. Onder leiding van Daan Smulders van EY bespreken Dick Vonk (manager Cyber Recovery & Data Protection Solutions van Dell Technologies), Rik Chorus (director Security & Resilience van Kyndryl) en Rudrani Djwalapersad (partner EY Cybersecurity Consulting) de uitdagingen en oplossingsrichtingen. “Als organisatie ben je een onderdeel van een ketting en de zwakste schakel bepaalt de kracht van het geheel.”

Cybersecurity is al jaren een hot topic en door een cocktail van ontwikkelingen blijft dat nog wel even zo. In het kort: organisaties raken meer met elkaar in netwerken verbonden, technologieën als AI ontwikkelen zich razendsnel, geopolitieke ontwikkelingen creëren een ander speelveld en vanaf 17 januari 2025 geldt de Europese Digital Operational Resilience Act (DORA). Hiermee stelt de Europese Commissie nieuwe eisen aan een grote groep organisaties.

Welke onderwerpen vereisen op dit moment specifieke aandacht?

Vonk: “Het breekijzer NIS2 en DORA. De Europese Commissie drukt daar hard op en dat is begrijpelijk. Want het gaat om de weerbaarheid van de samenleving als geheel en in een sterk met elkaar vervlochten wereld speelt elke organisatie daarin een rol. Je bent onderdeel van een ketting en de zwakste schakel bepaalt de kracht van het geheel. De wet dwingt veel organisaties stevige stappen te zetten, vooral op het vlak van recovery. Dat is een wat onderontwikkeld terrein: er is van oudsher veel aandacht voor detectie en preventie, maar wat moet er gebeuren als het toch fout gaat? Daar is te weinig aandacht voor. Er zijn in de markt gestandaardiseerde oplossingen verkrijgbaar, maar beheersafdelingen zetten vaak de hakken in het zand als bestuurders daarvoor willen kiezen. Liever houden ze vast aan de oplossingen die historisch zo zijn gegroeid.”

Het bekende ‘not invented here’-syndroom?

Vonk: “Precies. En discussies daarover kunnen in de praktijk zomaar negen maanden in beslag nemen. Onnodig.”

Wat zijn andere belangrijke onderwerpen?

Djwalapersad: “Er spelen natuurlijk heel veel onderwerpen. Van de serieuze dreigingen van ransomware tot de komst van quantum computing. En van nieuwe regelgeving tot geopolitieke ontwikkelingen. Waar ik aandacht voor wil vragen is de uitdaging om permanent de maatregelen bij te stellen. De kernvraag die je jezelf steeds moet stellen: zijn controls van vorig jaar nog het antwoord op de uitdagingen van vandaag? Het geheel aan maatregelen moet dynamisch meebewegen met je eigen organisatie en de omgeving. Fit for purpose worden is al lastig bij cyber. Maar fit for purpose blíjven is misschien nog wel lastiger. Om dynamisch mee te bewegen moet er nauwer samengewerkt worden met de business, zodat je aan het begin van de keten de juiste maatregelen implementeert.’

Chorus: “Eens. Technologie ontwikkelt zich en dus moet ook je framework met controls mee-ontwikkelen. Denk aan het gemak waarmee deep fakes worden gemaakt. Door de opkomst van AI kun je authenticiteit steeds lastiger vaststellen en daar gaan we serieus last van krijgen. Maar denk ook aan quantum computing. Dat levert op termijn grote vraagstukken op over hoe we met bestaande encryptietechnieken omgaan. Daar moet je nu al over nadenken. Verder zie ik dat de omvang van het aanvalsvlak ontploft nu digitale structuren steeds meer met elkaar en met de operationele wereld verweven raken. Het aantal sensoren en apparaten explodeert. Daarmee komen er ook steeds meer punten waarop een kwaadwillende een aanval kan doen. Wat ik zorgelijk vind, is dat veel organisaties eigenlijk geen goed inzicht hebben daarin. En al evenmin in wat ze doen om in te spelen op de dreigingen.”

Hoe komt dat?

Chorus: “Een van de problemen is dat organisaties na een incident direct maatregelen treffen. Maar ze denken niet wat fundamenteler na of de huidige strategie en het bijbehorende raamwerk aan maatregelen nog voldoet. Die reflex leidt tot complexiteit, terwijl er juist versimpeling nodig is. Sommige banken doen wel zaken met vijf partijen voor hun beveiliging en dat helpt vaak niet.”

Redeneren CISO’s daarbij te veel vanuit techniek?

Chorus: “Dat is wel een risico bij een CISO die vanuit de IT-functie opgroeit. Ik heb ook gesprekken met CISO’s met een businessachtergrond en die verlopen vaak heel anders. Zij redeneren primair vanuit de business, de wens om te innoveren en van daaruit naar de beheersingsmaatregelen die daarbij nodig zijn. En niet andersom.”

De Nationaal Coördinator Terrorismebestrijding en Veiligheid waarschuwde onlangs voor de gevaren van AI. Zien jullie die ook al in de praktijk?

Vonk: “Ik zie het nog niet terug in cyberaanvallen. Maar het is natuurlijk een feit dat AI-tools het steeds gemakkelijker maken om bijvoorbeeld phishingaanvallen uit te voeren.”

Djwalapersad: “Zeker gezien de populariteit van die tools is het zaak om fundamenteel na te denken over de controls rond het gebruik. Hoe ga je om met data? Welke verantwoordelijkheden heeft de gebruiker? Hoe regel je het privacy-aspect?”

Chorus: “Alleen al een vraag aan ChatGPT kan gevoelige informatie van jouw eigen bedrijf bevatten. Dat realiseert niet iedereen zich en dus is het goed om een helder beleid te formuleren voor het gebruik van AI.”

Hebben jullie nog een advies over hoe organisaties weerbaarder moeten worden?

Vonk: “Doe niet alles zelf. Bij negen van de tien succesvolle aanvallen zijn medewerkers van binnenuit betrokken. Voor veel organisaties is het knap lastig om de juiste mensen te vinden, maar ook om met functiescheidingen de juiste waarborgen in te bouwen. Voor gespecialiseerde partijen is dat wat gemakkelijker. Daarom zou ik de beveiliging van je kroonjuwelen bij een derde partij onderbrengen.”

Djwalapersad: “Het klinkt simpel, maar zorg dat je de basis op orde hebt. Realiseer je dat je niet alles honderd procent kunt beveiligen en maak dus keuzes op basis van je critical business-functies en -services. En wat betreft nieuwe technologieën als AI: zie dat niet alleen als een bedreiging, maar ook als een kans voor nieuwe producten of om sterkere controls te bouwen. Zeker als je de juiste inzichten uit data weet te halen, kun je met AI ook bijdragen aan een betere weerbaarheid.”

Chorus: “Graag laat ik de term zero trust nog even vallen. Ik weet dat het een buzzword is, maar het is meer dan een hip conceptje. Het is echt een fundamentele mindshift. Een andere manier van denken waarbij we er voorzichtigheidshalve vanuit moeten gaan dat alles vijandig is.”