nieuws

Cyberveiligheid moet je delen

Schade 951

EU-lidstaten bereiden zich voor op het invoeren van nieuwe regels voor cyberveiligheid. De huidige richtlijn laat ruimte voor verschillende interpretaties. Wat betekent dit voor de implementatie bij verschillende landen en bedrijven in Europa?

Cyberveiligheid moet je delen

Het Internet Security Threat Report dat cyberbeveiliger Symantec in 2016 publiceerde, bevat een reeks angstaanjagende cijfers. In 2015 werden er meer dan 430 miljoen nieuwe malware-programma’s ontdekt. Dat is een derde meer dan het jaar ervoor. Het aantal zero-day-kwetsbaarheden (softwarelekken die niet bekend zijn bij de aanbieder ervan) verdubbelde en het aantal personeelsgerichte spearphishing-aanvallen (e-mailberichten waarin om vertrouwelijke gegevens wordt gevraagd) steeg met 55 procent.

NIB-richtlijn

Het is niet de vraag óf hackers zullen toeslaan, maar wanneer. Dit besef bij bedrijven gaat gepaard met een strategische verschuiving van preventie naar detectie. Maar in een digitale wereld waarin grenzen steeds verder vervagen, kan een aanval op een bedrijf in het ene land gevolgen hebben voor bedrijven elders. Als de veiligheid tussen verschillende landen en continenten niet consequent wordt aangepakt, blijven er zwakke schakels over die kunnen fungeren als toegangspoort voor een aanval.

Aanbieders van cruciale informatie moeten autoriteiten informeren over ernstige incidenten

Om dit probleem aan te pakken, keurde de Europese Commissie in juli 2016 de allereerste EU-regels voor cyberveiligheid goed. De lidstaten kregen twee jaar de tijd om de netwerk- en informatieveiligheid richtlijn (de NIB-richtlijn) in te voeren. Aanbieders van cruciale en/of digitale informatie moeten gepaste beveiligingsmaatregelen nemen en nationale autoriteiten informeren over ernstige incidenten.

Traagheid

Maar er zijn nogal wat uitdagingen die het implementeren van de nieuwe regels kunnen belemmeren. Bedrijven worstelen niet alleen met hacks door criminele bendes of individuele aanvallers. Ze krijgen steeds vaker te maken met bedrijfs- en economische spionage door hackers die in opdracht van een overheid handelen.

Cyberaanvallen werden pas na 469 dagen ontdekt

Ook de traagheid waarmee aanvallen worden opgemerkt, is zorgwekkend. Cyberaanvallen waarmee cybersecuritybedrijf Mandiant in 2015 in Europa, het Midden-Oosten en Afrika te maken kreeg, werden gemiddeld pas na 469 dagen ontdekt.

Transparantie is van cruciaal belang voor cyberveiligheid, net als het delen van gegevens. In Europa wordt dit niet consistent aangepakt. “Er worden geen eenduidige eisen gesteld aan de beveiligingsmiddelen die de industrie en de handel moeten gebruiken”, zegt informatie- en netwerkspecialist Nick Bellamy van Chubb UK & Ireland. En dat is vooral belangrijk voor digitale dienstverleners. De invoering van de NIB-richtlijn laat te lang op zich wachten. Veel van deze basisvoorzieningen worden nu door de private sector uitgevoerd.

Lappendeken van regels

De cybersecurity-sector is het er unaniem over eens dat de nieuwe richtlijn een goed idee is. Maar hoe gaat die geïmplementeerd worden? Bellamy vreest een ‘lappendeken van regels’.

‘Het probleem is dat dit een richtlijn is en geen verordening’

“Het is een uitstekend begin. Maar het probleem is dat dit een richtlijn is, en geen verordening”, stelt hij. “Alle lidstaten hebben twee jaar de tijd om een eigen versie ervan te verzinnen die ze vervolgens kunnen implementeren. Dat is natuurlijk geen garantie voor een samenhangend geheel. De regels zullen van land tot land verschillen. De manier waarop het Verenigd Koninkrijk de NIB aanpakt en de minimumeisen en standaarden die ze invoeren, zullen waarschijnlijk verschillen van een land als Portugal.”

Escalatieschema

Francis: “De definitie en reikwijdte van een incident worden door verschillende organisaties anders geïnterpreteerd. Daarom blijft de vraag wanneer een incident als belangrijk wordt beschouwd, een beetje een grijs gebied. Bedrijven moeten voor een goed omschreven escalatieschema zorgen. Zonder dat wordt het moeilijk om de juiste actie te ondernemen als ze een inbreuk moeten melden.”

In hoeverre moet het Verenigd Koninkrijk nog voldoen aan de nieuwe regels?

De klok voor het implementeren van de NIB tikt, maar sommige lidstaten zijn beter in staat de richtlijn door te voeren dan andere. Zo lanceerde de Britse regering in oktober 2016 het eerste National Cyber Security Centre, dat onderdeel is van de Britse inlichtingendienst GCHQ. Maar nu het land zich terugtrekt uit de EU is het niet duidelijk in hoeverre het Verenigd Koninkrijk nog moet voldoen aan de nieuwe regels.

Netwerk loskoppelen

Andere lidstaten hollen achter de feiten aan en moeten bedrijven er met de haren bijslepen. “Ik was onlangs in België bij een groot bedrijf. Volgens de Belgische regering is dit bedrijf van cruciaal belang voor het land, maar het bedrijf zelf vond van niet”, vertelt Wouter Wissink, informatie- en netwerkspecialist bij Chubb Europe.

“Uiteindelijk accepteerde het bedrijf zijn kritische status, en inmiddels heb ik daar de positieve gevolgen van kunnen zien. Het besloot zijn SCADA [supervisory control and data acquisition] netwerk los te koppelen van het internet. Het is een goede zaak dat bedrijven hierover nadenken en dat ze aan de autoriteiten moeten melden wat ze gaan doen en hoe ze dat gaan doen. Bedrijven zullen zich beter bewust worden van de problematiek. Dat is een positieve ontwikkeling.”

Als bedrijven en lidstaten informatie over de aard, de omvang en de gebruikte methode van een aanval delen, kunnen bedrijven hun cyberverdediging verbeteren. Het zal de aanvallen niet volledig stoppen, maar het helpt wel de schade te beperken.

Lees het volledige Engelstalige artikel in Progress Magazine van Chubb.

Reageer op dit artikel

Gerelateerde tags

Lees voordat u gaat reageren de spelregels

Reageren kan op twee manieren.

Meld uzelf als gebruiker aan, uw naam verschijnt dan automatisch bij de reacties.

Of vink de optie gast aan en reageer onder eigen naam of een schuilnaam. Inlog en wachtwoord zijn dan niet nodig. Het kan maximaal 1 minuut duren voordat uw reactie zichtbaar wordt.

Een e-mailadres wordt altijd gevraagd maar nooit getoond.