Hoe organisaties cybersecurity aanpakken
Cyberaanvallen zijn tegenwoordig overal. Het is niet langer de vraag "of" het zal gebeuren, maar eerder "wanneer". Een voormalig directeur van de FBI heeft gezegd: "Er zijn maar twee soorten bedrijven: Bedrijven die gehackt zijn en bedrijven die gehackt zullen worden. Geen enkele organisatie kan zaken doen zonder internet en daarom kan geen enkele organisatie zonder cybersecurity. Deze blog is het eerste deel van een serie blogs, waarin een overzicht wordt gegeven van de aanpak van cybersecurity voor het beveiligen van uw organisatie.
Laten we Peter voorstellen, het pas benoemde hoofd cybersecurity van een waterleidingbedrijf. Het bedrijf levert drinkwater aan ongeveer 2 miljoen mensen en maakt deel uit van de kritieke infrastructuur van het land. De algemene vraag van Peter is:
"Hoe beveilig ik mijn organisatie tegen cyberdreigingen?"
Het antwoord is niet 42 zoals je zou denken, het is een beetje ingewikkelder. Laten we eens kijken wat voor vragen Peter moet stellen om deze belangrijke vraag te beantwoorden.
De Business Case van de Aanvaller
Alles begint met de business case van de aanvaller. Een persoon, een organisatie of een staat kan een motief hebben om uw organisatie te hacken, hetzij om informatie te achterhalen, hetzij om bedrijfs- of productieprocessen in gevaar te brengen, hetzij om de privacy van personen te schenden, hetzij om maatschappelijke schade te veroorzaken. Om de risico's voor uw organisatie te begrijpen, moet u de Business Case van de aanvaller begrijpen. Waarom zou iemand geïnteresseerd zijn in een aanval op uw organisatie?
Financieel gewin is een belangrijke drijfveer. Criminele groepen proberen organisaties te chanteren met zogeheten ransomware-aanvallen; deze aanvallen ontzeggen organisaties de toegang tot hun eigen gegevens. Een ransomware-aanval kan financiële, productie- of klantgegevens versleutelen, waardoor een organisatie in wezen buiten spel komt te staan.
Erkenning en prestatie. Hackers kunnen geïnteresseerd zijn in het openbaar maken van geheime informatie van organisaties, alleen maar om te laten zien dat zij in staat zijn om goed verdedigde systemen binnen te dringen. De aanvaller kan een ethische intentie hebben, om de organisatie te helpen door zwakke punten in de cyberverdedigingsstructuur van de organisatie te ontdekken, of het kan met kwaadaardige bedoelingen zijn.
Insider bedreigingen. Veel verdedigingsmechanismen zijn waardeloos als iemand van binnen de organisatie de toegestane toegang tot interne informatie mishandelt of misbruikt. Naast werknemers kunnen ook andere partijen die toegang hebben tot interne systemen, zoals klanten, verkopers of aannemers, als actoren worden beschouwd. In veel gevallen is dit soort bedreigingen geen opzettelijke actie, maar kunnen ze worden toegeschreven aan onzorgvuldigheid of onwetendheid.
Hacktivisme. Hacktivistische aanvallers worden gemotiveerd door een ideologische zaak. Hun belangrijkste doel is publiciteit of het verstoren van de activiteiten van de aangevallen organisatie.
Staatsactoren. Je kunt aanvoeren dat staatsactoren een speciaal geval zijn. Met de enorme middelen die een staat heeft, is het moeilijk om zo'n aanval te stoppen. Het doel van de aanval is het bevorderen van het eigenbelang van de natie. Het hoofddoel is het stelen van informatie die gericht is op individuen, overheidsinformatie, of vertrouwelijke informatie van bedrijven.
Bedrijfsspionage. Cyberaanvallen om een voordeel op concurrenten te behalen. Concurrenten kunnen geïnteresseerd zijn in handelsgeheimen van de organisatie, commerciële of klantgegevens, of strategische informatie.
Er kunnen meer redenen zijn voor aanvallers om uw organisatie aan te vallen, maar over het algemeen vallen ze in een van de bovenstaande categorieën. Inzicht in het type en het doel van de aanvaller is essentieel bij het beveiligen van uw organisatie tegen cyberaanvallen, omdat het richting geeft aan het type verdediging dat relevant is voor de organisatie. Als het hoofddoel van een aanvaller het vergaren van informatie is (het achterhalen van gegevens, bijvoorbeeld voor bedrijfsspionage), dan moet de nadruk van de verdedigingsmechanismen liggen op de vertrouwelijkheid van informatie. Als een aanvaller daarentegen financieel gewin nastreeft, door middel van een ransomware-aanval, dan moet de verdediging gericht zijn op de beschikbaarheid van gegevens.
Dit is natuurlijk geen zwart-wit situatie. Aanvallers kunnen meer dan één doel hebben, en aan de andere kant kunnen er verdedigingsmaatregelen beschikbaar zijn die meer dan één type aanval blokkeren. Toch helpt inzicht in de business case van de aanvaller bij het bepalen van een effectieve cyberverdediging. De twee belangrijkste vragen om de business case van de aanvaller te bepalen zijn:
Voor welke soorten aanvallers is de organisatie van belang?
Wat zijn de hoofddoelen van een aanvaller?
Terug naar Peter. Laten we met hem nadenken over de zakelijke kant van de aanvaller.
Wij moeten beseffen dat de watervoorziening deel uitmaakt van de kritieke infrastructuur van het land. Kritieke infrastructuren worden gedefinieerd als diensten die, indien zij niet worden geleverd, ernstige maatschappelijke ontwrichting zullen veroorzaken. Dit betekent dat de continuïteit van de watervoorziening van het grootste belang wordt geacht. Daarom is de hoogste prioriteit van Pete de continuïteit van de watervoorziening te beschermen tegen cyberaanvallen.
In de analyse van Peter kunnen verschillende soorten aanvallers geïnteresseerd zijn in een aanval op het waterbedrijf. Hij heeft de volgende hoofdredenen voor een aanvaller om het waterbedrijf aan te vallen geïdentificeerd: financieel gewin, insider bedreigingen en staatsactoren. Financieel gewin is relevant omdat, indien iemand de waterlevering zou onderbreken, de organisatie weinig andere keuze heeft dan in te gaan op de financiële eisen van de aanvaller, vanwege de vereiste continuïteit van de watervoorziening. Bedreigingen van binnenuit kunnen een risico vormen, waarschijnlijk niet in de eerste plaats met kwade bedoelingen, maar door bedieningsfouten of een andere onzorgvuldige activiteit die de watervoorziening kan verstoren. En tenslotte, tja, statelijke actoren kunnen een mogelijkheid zijn, vooral in het geval van internationale conflicten. De andere beweegredenen voor aanvallers worden minder relevant geacht, vanwege het openbare karakter van de organisatie.
Hiermee eindigt het eerste deel van de blogreeks over cybersecurity. In de volgende blog zal de risicobereidheid van de organisatie worden besproken.