NIS2, cybersecurityverzekeringen en cloud security: de uitdagingen van een next-gen CISO
Een goed securitybeleid staat gelijk aan business continuity. En daarom brachten we tijdens ons event ‘The Next-Generation CISO: Legal, strategy & prevention’ Chief Information Security Officers samen. Aan het woord? VDV iLaw, advocatenkantoor gespecialiseerd in IT-recht, D’hondt Insurance, internationale verzekeraar, en Microsoft. Samen schenen ze hun licht op de toekomst van informatiebeveiliging en hoe je je organisatie best voorbereidt op de nieuwe Europese wetgeving en het toenemende aantal cyberaanvallen. Want een gewaarschuwd man/vrouw, is er twee waard!
NIS2 en GDPR: wat is het, wat zijn de sancties en wat is jouw aansprakelijkheid?
Cybersecurity wordt nog te vaak gezien als een kost en geen investering, vindt Maarten Verhaghe, partner bij VDV iLaw, de afdeling van VDV Advocaten gespecialiseerd in IT-recht. Maar wist je dat preventie minder kost dan curatief optreden? Om je daarbij te helpen, gaat mr. Verhaghe dieper in op de wetgeving rond de GDPR en NIS2.
GDPR
De GDPR (General Data Protection Regulation) heeft, zoals de naam het zelf zegt, als doel om de persoonsgegevens te beschermen. En dit is wettelijk verplicht wanneer je gegevens verwerkt. Wist je trouwens dat je beschouwd wordt als dataverwerker van zodra je werkt met een vorm van data? Denk bijvoorbeeld aan je personeelsbestand. Ook jij bent dus een dataverwerker.
Om je GDPR-security in orde te brengen, geeft mr. Verhaghe enkele vuistregels mee:
- Spring om met je data als een goede huisvader: verwerk niet te veel data en houd er niet te veel bij.
- Neem gepaste technische én organisatorische maatregelen. Beveilig niet alleen de servers die jouw data bewaren, maar zorg er ook voor dat wie er niet moet zijn, niet zomaar toegang kan krijgen tot jouw kantoren.
- Wat je zelf doet, doe je meestal niet beter. Stel een (externe) Data Protection Officer (DPO) aan en wees kritisch: het is niet omdat je een DPO hebt, dat je in orde bent.
- Vraag je af of je voldoende georganiseerd bent om een datalek aan te pakken en te melden wanneer deze zich voordoet.
En die GDPR-security respecteren, dat is van groot belang. Want net zoals bij iedere wetgeving, kunnen de sancties bij het niet naleven ervan groot zijn. Daar ziet de Gegevensbeschermingsautoriteit (GBA) op toe. Zij mogen strafrechtelijk vervolgen en boetes uitschrijven op basis van de soort inbreuk, de ernst van de inbreuk én je omzet. De maximale boete? 10 miljoen euro!
NIS2
De NIS2-wetgeving is update van een Europese richtlijn (NIS of Network and Information Systems) die is omgezet in een Belgische wet en Koninklijk Besluit. De wetgeving is van toepassing op iedere organisatie met meer dan 50 werknemers of een jaaromzet van meer dan 10 miljoen euro. Volgens NIS2 moeten zij zich niet alleen registreren op een nationaal zelfregistratieplatform, maar moeten zijn state of the art maatregelen nemen in kader van de geïdentificeerde cybersecurityrisico’s.
Euh – help?! Het komt erop neer dat je moet een risicoanalyse maken van de cyberscurity-risico’s en de gevolgen ervan, en op basis daarvan organisatorische en technische maatregelen nemen. Denk aan plannen voor incidentenbeheer, een business continuity plan, crisisbeheerplannen, beleidsmaatregelen voor beveiliging van personeel, authenticatiesystemen en het beheer van de bevoorradingsketen, procedures om de doeltreffendheid van deze maatregelen te beoordelen en een DPO die de naleving van je beleid opvolgt. Daarnaast zal de directie deze maatregelen moeten goedkeuren én een basisopleiding cybersecurity moeten volgen.
Omdat de cybersecurityrisico’s niet meer zijn wat ze ooit waren, verandert er ook heel wat in de sancties. Cyberaanvallen worden immers niet meer gezien als onvoorspelbaar en onvoormijdelijk: wanneer je onvoldoende beschermd bent, kan je aansprakelijk gesteld worden voor de geleden schade. Het is ook niet langer mogelijk om te spreken van overmacht. Bij een ransomware-aanval is het dus mogelijk dat je dubbel getroffen wordt: door de schade van én door de sanctie die wordt opgelegd.
Nieuw is ook de bestuurdersaansprakelijkheid door schade: je CEO wordt aansprakelijk voor de schade die bijvoorbeeld je leveranciers of klanten hebben geleden wanneer jouw activiteiten stilvallen door bijvoorbeeld een cyberaanval. In zo’n gevallen zal je moeten kunnen aantonen dat je vanuit je rol als bestuurder alles bij machte hebt gedaan om je bedrijf en business continuity te beschermen. Denk daarbij aan security awareness trainingen voor je werknemers, regelmatige CSAT’s…
Dus?
Los van de dagdagelijkse cybersecurityrisico’s waar je mee te maken hebt, is ook het wettelijke kader heel belangrijk. Als je hier niet aan voldoet, is het immers mogelijk dat je dubbel getroffen wordt. Wees je dus bewust van de vereisten die de overheid stelt aan jouw organisatie en de maatregelen die je moet treffen. Wees kritisch over die maatregelen en laat je liefst bijstaan door een externe partij.
Hoe kan je je beschermen tegen wereldwijde bedrijfsrisico's?
Marie Ghesquière van D’hondt Insurance drukt ons meteen met de neus op de feiten: het aantal cyberaanvallen bij bedrijven is gi-gan-tisch gestegen in vergelijking met vorig jaar. Nauw aansluitend is er ook een grote stijging in bedrijfsonderbrekingen. Het is dan ook een goed idee om een cybersecurityverzekering af te sluiten. Want D’hondt Insurance merkt nog te vaak dat bedrijven zich pas verzekeren ná een incident en dan is het al te laat. Ze raadt bedrijven aan security niet langer te zien als een kost, want cyberaanvallen zijn niet langer een ver-van-mijn-bedshow.
Hoe laat je je verzekeren?
Eerst en vooral gebeurt er een audit samen met je interne IT-dienst en je externe IT-partner. Zo wordt in kaart gebracht wat de risico’s zijn, en die zijn afhankelijk van:
- Aantal werknemers: hoe groter het aantal werknemers, hoe groter het risico. De mens blijft immers de zwakste schakel in je security. En hoe meer mensen, hoe meer risico op menselijke fouten.
- De gevolgen van dataverlies
- Hoe data verzameld wordt
- Hoe er op dit moment beschermd wordt
Waartegen ben je verzekerd?
Een cybersecurityverzekering dekt afpersing, schade aan derden, administratieve sancties, de schadevergoeding en de kosten van de verdediging. Er wordt ook gedacht aan een consultant die nadenkt over de kosten voor herstel, de interventiekosten én hoe je opnieuw in een positief daglicht kan komen na een cyberaanval.
Daarbij is het natuurlijk wel van belang dat je je beveiliging up-to-date houdt. Als je bijvoorbeeld steeds de updates van je toestellen wegklikt in plaats van ze uit te voeren, is er sprake van nalatigheid. Of ben je slordig en laat je een poort openstaan waarlangs hackers zich toegang tot jouw bedrijfsnetwerk kunnen verschaffen? Ook dan was je niet voorzichtig genoeg. Het is dus van heel groot belang dat je je bewust bent van het menselijke aspect in je beveiliging.
Microsoft Security
Building a hyper-scale cloud platform
Garter zegt het al: ‘Reducing security vendors is here to stay.‘ Door je eieren in één mand te leggen, verlaag je de cybersecurityrisico’s. Want door te consolideren en voor een platformervaring te kiezen, maak je komaf met verschillende logins en de blindheid die met deze complexiteit gepaard gaat. Laat dat nu net zijn waar Microsoft, die cybersecurity hoog in het vaandel draagt, op inzet.
En door op hyper-scale niveau te werken, kan Microsoft ook écht resultaten boeken. Een greep uit die cijfers:
- De komende 5 jaar investeert Microsoft 4 miljard dollar per jaar, in acquisities, in R&D en in de verbetering van de bestaande producten
- Microsoft beschikt wereldwijd over 8.500 securityexperten die samenwerken met slechts één missie: beschermen van de Microsoft-cloud
- Microsoft verzamelt grote hoeveelheden threat intelligence data. De Azure cloud verwerkt en analyseert dagelijks 43 biljoen security-signalen.
A hyperconnected digital footprint, that's hackers' opportunity
We maken het cybercriminelen helaas heel gemakkelijk met onze huidige manier van werken. Mensen kunnen immers fouten maken – en daar liggen heel wat mogelijkheden voor hackers. Denk bijvoorbeeld aan de gigantische hoeveelheden paswoorden die je gebruikt in plaats van de veiligere Multi Factor Authentication-optie. Daarnaast stellen we te vaak ons rechtenbeheer niet streng genoeg in, waardoor bepaalde gebruikers te veel rechten hebben. Wanneer een cybercrimineel zich toegang kan verschaffen tot een van die accounts, kan hij ongelofelijk veel schade toebrengen aan je organisatie.
Daarnaast brengen ook de huidige trends extra gevaren met zich mee. IoT (Internet of Things: toestellen als Google Home, slimme deurbellen, robotstofzuigers…) is er zo eentje. Typisch zijn IoT-devices de favorieten van hackers, omdat ze vaak niet voldoende beveiligd zijn, of dat mensen zich er niet van bewust zijn dat ze deze toestellen ook moeten beveiligen. Ook OT (Operational Technology: hardware en software die vaak gebruikt wordt buiten kantoren om bijvoorbeeld te assisteren of monitoren in productie- of logistieke omgevingen) vormt een gigantisch risico. Wist je bijvoorbeeld dat Gartner verwacht dat in de komende 12 maanden de eerste dodelijke slachtoffers door een OT-breach zullen vallen? Scary, maar reële risico’s van onvoldoende beveiligen.
De remedie? Gebruik je technologie om je inzichten te geven en je te beschermen! Meten is weten. Onderzoek je zwakke plekken en werk met tools zoals een CSAT om de verbetermogelijkheden bloot te leggen. Gebruik state of the art technologie die gesofisticeerde aanvallen kan afweren.
Gerelateerde artikelen
Meer weten over cybersecurity?
Onze experts staan voor je klaar en kunnen je organisatie bijstaan in een audit, CSAT, actieve monitoring of cybersecuritytrainingen voor je medewerkers. Zo laat jij jou niet verrassen door cyberaanvallen. Neem vrijblijvend contact met ons op om de mogelijkheden te bespreken.