5 cyber security topics die goede doelen hoog op de agenda moeten hebben staan

Door: Patrick Jordens – The Trusted Third Party (TT3P)

Het is om moedeloos van te worden kan ik me voorstellen. Het is een terugkerende zeurende gedachte. Het zal toch niet… bij ons… 120 tandartsenpraktijken lagen recentelijk plat door een cyberaanval. Er is uiteindelijk 2.000.000 euro betaald aan cybercriminelen om maar weer verder te kunnen met werken. De kranten staan tegenwoordig bol van de voorbeelden.

Vandaag las ik een handig en relevant artikel uit een ICT magazine, waarvan ik een ‘vertaling’ voor goede doelen heb gemaakt. In deze blogpost lees je vijf cyber security-uitdagingen die jouw organisatie de komende tijd niet mag negeren. En…. nog iets… het maakt zowel voor het risico als voor de aanpak hiervan niet uit of je een grote of een kleine organisatie bent.

Daar gaan we:

1. Welke informatie en systemen heb ik als goed doel te beschermen?

Om informatiebeveiliging, want dat is natuurlijk normaal Nederlands voor cyber security, goed binnen je organisatie in te richten, moet je eerst een beeld hebben van wat je te beschermen hebt. In praktijk wordt daar zelden eerst over nagedacht. Er worden te vaak allerlei beheersmaatregelen getroffen (virusscanners, firewalls, monitoring etc.) zonder plan.

Logisch dat het bestuur van een organisatie uiteindelijk gaat denken: We hebben toch van alles geregeld? Is het nou nog niet genoeg! Het is zonder goed gedocumenteerd en gedragen informatiebeveiligingsbeleid gewoonweg lastiger om intern investeringen in informatiebeveiliging te onderbouwen.

Onderdeel van het beleid is altijd een inventarisatie van hardware, software en data. Dat is per slot van rekening het gene dat je wilt beschermen. Daarbij dient speciale aandacht te zijn voor ‘cloudificatie’. Veel applicaties slaan data op in de cloud. Maar waar staan deze data en hoe zijn de data beschermd?

 

2. Zorg voor consistentie in de bedrijfsvoering

Het verdient de aanbeveling om over informatiebeveiliging na te denken vanuit een gedachte van ‘assumed breach’. Je moet er simpelweg vanuit gaan dat het jouw organisatie ook gaat overkomen.

Het ontbreekt veel organisaties aan eigen inzicht en een (gedocumenteerd) plan voor informatiebeveiliging. En dus aan regie. En regie kun je niet outsourcen. Je IT-leverancier heeft vaak een te beperkte scope en ziet het meestal niet als zijn taak om alle aspecten van cyber security voor jouw organisatie op te pakken.

Het aantal beheersmaatregelen en de zwaarte waarmee deze zijn ingericht verschillen per organisatie en hangen sterk samen met de ‘ambitie’ op het gebied van cyber security. Niet iedereen is een ‘kerncentrale’! Maak passend beleid, documenteer, implementeer en controleer de werking in de praktijk.

Kosteloos: beleidssessie cyber security Naast techniek zijn mens en organisatie cruciaal voor cyberweerbaarheid van uw organisatie. TT3P Is cyber security partner van Goede Doelen Nederland. TT3P biedt ter kennismaking de leden van Goede Doelen Nederland nu kosteloos een online beleidssessie cyber security aan. Na de sessie heeft u een helder beeld van waar uw organisatie staat en welke vervolgaanpak er nodig is. Meld uw organisatie aan voor de beleidssessie door een email te sturen naar patrick.jordens@tt3p.nl en we nemen contact met u op.

3. Houd rekening met Supply Chain Attacks

In praktijk vertrouwen organisaties vaak volledig op hun ICT-leveranciers. Maar het is raadzaam deze leveranciers goed te bekijken en de goede vragen te stellen. Neem security vereisten altijd mee bij het selecteren van leveranciers. Dat geldt overigens niet alleen voor IT-leveranciers. Ook bijvoorbeeld voor online wervingsbureaus, telemarketingbureaus, straatwervingsbureaus en leveranciers van SaaS oplossingen. Dit type leverancier ‘zit’ vaak op veel data en zij hebben directe connecties met de systemen van goede doelen.

Even terug naar de IT-leveranciers. Uit de laatste datalekken rapportage van de Autoriteit Persoonsgegevens blijkt dat  het aantal cyber aanvallen (vooral met ransomware) op ICT-leveranciers hard toeneemt. Een hacker kan zo immers veel verschillende organisaties tegelijk treffen.

Dus mooi dat je zelf informatiebeveiligingsbeleid hebt ontwikkeld. Je moet je leveranciers alleen wel aan dezelfde standaarden houden en hierop controles uitvoeren.

4. Ransomware is een reëel en structureel probleem!

Ransomware is een van de meest populaire vormen van cyber crime. Met gijzelsoftware, want dat is natuurlijk normaal Nederlands voor ransomware, kunnen je systemen versleuteld worden en wordt je het werken onmogelijk gemaakt. Het kan leiden tot datadiefstal of impact hebben op de continuïteit van je organisatie.

De makers van ransomware zitten niet stil en ontwikkelen steeds weer meer geavanceerde varianten. Er is helaas een hele industrie omtrent ransomware ontstaan. Simpelweg omdat het loont en het de snelste weg biedt om schade aan te richten. Zo kan een cybercrimineel bijvoorbeeld Ransomware as a Service (RaaS) als dienst gebruiken. Verwerpelijk, maar helaas wel de realiteit. Tegen ransomware kun je technische maatregelen treffen. Maar kijk ook naar dieper liggende oorzaken. Zoals de medewerker die op foute linkjes klikt. Daar gaat het volgende topic over.

5. Training, bewustzijn en consistentie

Meer dan 90% van de cyber aanvallen wordt veroorzaakt door phishing. Dat zijn e-mails met foute links. Helaas klikken medewerkers daar nog regelmatig op. Ook als ze eerder zijn getraind. Mensen vormen de zwakke schakel in informatiebeveiliging. Maar als dat dan de conclusie is: waarom staan deze mensen dan achteraan in de rij voor wat betreft de investering in informatiebeveiliging? Bewustwording is cruciaal en zeker niet een eenmalige activiteit. Natuurlijk moet de boekhouder niet zo maar na een mailtje van de directeur een groot bedrag overmaken! Natuurlijk moet hij eerst even met hem bellen. “Gert weet je het zeker? Klopt dit wel?”. De praktijk is echter weerbarstiger.

Cyber security awareness los je niet op met een eenmalige instructie op papier of met huisregels. Het is een traject en het vergt een plan. Personeel moet altijd op de hoogte zijn van de laatste trends in oplichting. Computercriminaliteit moet continu op de agenda staan en voortdurend onder de aandacht worden gebracht. En dat kan! Dat is niet alleen voorbehouden aan grote organisaties met enorme securityafdelingen. Ieder bedrijf kan en moet dat doen. Idealiter gebeurt dat met fysieke sessies als startpunt en opvolgende e-learning om continu de boog gespannen te houden. Zo’n traject creëert bewustzijn en tegelijkertijd draagvlak voor het opvolgen van instructie van de organisatie op dit gebied. En de investeringen zijn te overzien.

Zorg er als organisatie voor dat bovenstaande topics op de agenda staan. Zorg voor gedocumenteerd beleid, implementeer beheersmaatregelen en voer controles op de werking uit. En als je denkt: “zo dat is heel wat…”, dan heb je gelijk.

Zij gingen u voor: Onze organisatie Stichting Sumbing Bibir (voor kinderen met schisis in Indonesië en India) - CBF erkend goed doel-  heeft de afgelopen jaren haar conformance en performance maatregelen binnen de organisatie geïmplementeerd.  Echter kan elke organisatie, klein of groot, het slachtoffer worden van cyber criminaliteit. Onze organisatie is continu alert en zoekende naar passende informatiebeveiliging. Via Goede Doelen Nederland zijn wij in contact gekomen met Patrick Jordens van TT3P (The Trusted Third Party). TT3P heeft kosteloos een cyber security beleidssessie voor ons bestuur georganiseerd. Deze sessie kunnen wij ieder goed doel aanraden. Door de sessie zijn wij ons bewust geworden van welke stappen we moeten nemen om tot passende beveiliging voor onze organisatie te komen. En we  willen nu samen met dit professionele bureau werken aan het optimaliseren van onze ICT security. em. prof. dr. A.M. (Annemarie) Kuijpers-Jagtman, voorzitter Stichting Sumbing Bibir