Volgens het Engelse Oxford-woordenboek is het woord ‘cybersecurity’ voor het eerst gebruikt in 1989. Cybersecurity-teams bij overheden en bedrijven, zijn dus soms al 26 jaar geleden gestart met de strijd tegen veelal vastberaden tegenstanders. Terwijl deze strijd tot op de dag van vandaag voortduurt, wordt langzaam maar zeker een ding helder: we verliezen veel veldslagen omdat er geen samenhangende strategie is.
De onlangs geïntroduceerde Cybersecurity Poverty Index, laat dit duidelijk zien. Mijn organisatie analyseerde hiervoor, geanonimiseerde data van deelnemers aan Cybersecurity Maturity Assessments. De onderzoeksgroep bestond uit vierhonderd security-professionals uit 61 landen. De bevraagde professionals waren werkzaam in allerlei soorten organisaties, van de commerciële sector tot overheden. De conclusies uit dit onderzoek zijn soms te verwachten, maar daarom niet minder alarmerend:
● Een overweldigende meerderheid van organisaties, van alle groottes, types en geografische ligging is onvoorbereid op de cyber-bedreigingen van vandaag de dag.
● De cybersecurity-activiteiten die worden ingezet sluiten vaak niet aan op de geavanceerde dreigingen.
● De strategische cyber-doelen die door de leiding van veel organisaties wordt gemaakt, wordt vaak niet doorgevoerd in de gehele organisatie.
De bevindingen zijn een perfecte blauwdruk van hoe we onze zwakheden op het gebied van cybersecurity moeten aanpakken.
Cybersecurity framework
Allereerst moeten er aan de slag worden gegaan om een cybersecurity framework (csf) te implementeren. Het National Institute of Standards and Technology (Nist) heeft daar een kant en klare handreiking voor maar er zijn meer, vaak sectorspecifieke frameworks die goed gebruikt kunnen worden. Op dit moment hebben de opponenten praktisch een vrijbrief om hun gang te gaan.
Het csf is een eerste stap in de ontwikkeling van een effectieve strategie tegen cybercriminaliteit. Deze stap is belangrijk, omdat het organisaties helpt bij het ontwikkelen en/of versnellen van een effectieve cyber-defensie en het hebben van meer veerkracht. Het csf biedt verder een model dat helpt bij het identificeren en reduceren van kritieke business-risico’s. Het geeft organisaties een methode om in kaart te brengen waar hun cybersecurity-uitdagingen liggen. Dat helpt om de risico’s aan te pakken. Ofwel zelf of door een extra partij hiervoor in te schakelen.
Nodig met goede balans
Vervolgens moet een cyber-programma worden geïmplementeerd met een goede balans tussen resources en een focus op preventie, monitoring en actie. Vandaag de dag wijzen we teveel van de toch al beperkte resources toe aan een het beveiligen van de perimeter. Zeker 80 procent van het budget gaat naar preventie, terwijl de bad guys vaak al binnen het netwerk actief zijn.
Er is zichtbaarheid nodig in de it-omgevingen. Zo achterhalen we wat malafide krachten uitvoeren in onze netwerken. We moeten in staat zijn deze op te sporen en daar daadkrachtig op te reageren. Dit voordat het kwaad is geschied.
Kloof slechten
Afsluitend moet de kloof tussen cyber-wetgeving en de operationele werkelijkheid geslecht worden. De dagelijkse bedrijfsvoering moet de cyber-regels uit kunnen voeren. Uit het onderzoek bleek dat de capaciteit om cybersecurity-risico’s te meten en af te weren, de grootste zwakte was van bedrijven. Er zal een bepaalde vorm van cyber-hygiëne in elke organisatie, supply chain, zakelijke overeenkomst en andersoortige contracten moeten komen.
Licht aan eind van tunnel
De Cybersecurity Poverty Index schetst een realistische, maar onwenselijke situatie. Er is echter licht aan het einde van de tunnel. Steeds meer mensen zien de noodzaak van verandering en dat security op een andere manier moet worden aangepakt om deze oorlog te winnen.
De hierboven beschreven stappen, zijn hiervoor een belangrijke basis. Wanneer we samen aan een security-raamwerk en -strategie werken, zorgt dat er hopelijk voor dat we de tijden van cyber-armoede achter ons kunnen laten. Het liefst zonder dat er weer 26 jaar overheen gaan.