Cyberparaatheid beoordelen: waar te beginnen?

In de Verenigde Staten staan steden en gemeenten op het punt deel te nemen aan het eerste en grootste financieringsprogramma voor cyberbeveiliging van het land om lokale overheden te helpen concrete stappen te zetten. Het wetsvoorstel voor infrastructuuruitgaven van president Biden, dat eind 2021 in de wet is ondertekend, richt zich op het verbeteren van cyberbeveiliging door een subsidieprogramma met $ 1 miljard aan financiering tot en met het fiscale jaar 2025, met de bedoeling om de beveiligingspositie van deze rechtsgebieden te verbeteren. Terwijl ze daar allemaal wachten op de definitieve regels, is het ook hier duidelijk geworden dat heel wat publieke managers en IT-leiders proberen de juiste strategie te bedenken om erachter te komen waar ze nu finaal moeten beginnen. Afgezien van het voor de hand liggende - namelijk ervoor zorgen dat alle communicatielijnen openstaan om inhoudelijke aankondigingen op te zetten - is het nu een goed moment om deftig na te kijken wat de huidige staat van cybersecurity in de gemeente of stad is. 

We merken op dat bepaalde programma’s geboost worden maar dat ze al even snel terug stilvallen, dit terwijl cyberbescherming een continu proces is en niet stopt met het eenmalig opzetten van een audit of test. We proberen alvast een aantal nuttige tips mee te geven om vooruit te plannen en om beter te kunnen inschatten wat je nu al hebt aan maatregelen, zodat je beter kunt formuleren wat je nog nodig hebt in je verdere planning.

Een Cyber Readiness Assessment begint met een zorgvuldige inventarisatie van wat men heeft, het is immers moeilijk iets te beheren en beheersen als je niet weet wat je hebt binnen de organisatie. Het is dus belangrijk om een actief programma voor zo’n vermogensbeheer te onderhouden zodat alle hardware en software wordt bijgehouden. Welke soorten hardware worden gebruikt en is deze toegewezen aan een bepaalde persoon (ownership)? Leg vast wanneer deze zijn gekocht en wanneer ze zijn stopgezet of weg genomen. Het is ook belangrijk om de verwachte datum van einde levensduur/dienstverlening te kennen en geef vooral ook mee welke updates en versies zijn toegepast op deze hardware en wanneer. Vooral dit laatste verdient maximale bewaking in een goed beveiligde omgeving.

Doe hetzelfde voor de software. Welke soorten applicaties zijn er in gebruik en welke versies gebruiken deze? Het is tevens handig om een goed beeld te hebben van hoeveel gebruikerslicenties er actief zijn en om te begrijpen wie toegang heeft tot welke licenties.

Een goed begrip van welke hardware- en softwaresystemen actief in gebruik zijn, is van cruciaal belang om te begrijpen wat er moet worden beschermd en hoe, maar vooral waar we moeten op toezien bij een mogelijk cyberincident.

Inventarisatie lijkt voor iedereen de evidentie zelve, doch bij navraag merken we dat deze meestal verouderd en/of onvolledig zijn.

Net als financiële audits wordt het minstens zo belangrijk om een IT-audit uit te voeren, bij voorkeur door een externe deskundige of een extern bedrijf. Zelfs de beste IT-mensen kunnen leren uit zo’n beoordeling. Er loopt een programma waarbij deze werden gesubsidieerd.

Zo’n audit bevat een test van buiten naar binnen de organisatie, waarbij men in sommige gevallen een perimetertest (pentest) uitvoert als onderdeel van deze IT-beoordeling. Het is vooral nuttig bij het bepalen van specifieke kwetsbaarheden waarbij bijvoorbeeld een “ethische hacker” op zoek gaat naar manieren om een overheidsomgeving binnen te dringen. Door potentiële of bestaande kwetsbaarheden beter te begrijpen, helpt dit op zijn beurt de IT-managers bij het ontwikkelen van plannen om hun systemen te verbeteren en te versterken.

We wijzen op het valse veiligheidsgevoel na het uitvoeren van zo’n audit of test, waarbij de “blootgelegde” kwetsbaarheden – als die dan al meteen in een plan van aanpak worden opgenomen – beperkt blijven tot de kennis van de uitvoerder.

Iets waar al te lichtzinnig mee omgesprongen wordt is Identiteitsbeheer en toegangsbeheer, ofwel een inzichtelijke blik op wachtwoord- en toegangscontrole. Heeft iedereen toegang tot de meeste bestanden en systemen? Als het antwoord meestal ja is, is het misschien tijd om beleid en procedures te gaan ontwikkelen over wie echt toegang nodig heeft tot welke systemen en documenten. Hierbij blijven de twee basisprincipes van finaliteit (waarom) en proportionaliteit (hoeveel) van toepassing. Hoe meer er aan toegangen kan worden verwijderd, hoe veiliger de systemen. 

Omdat overheden gevoelige en persoonsgegevens verwerken en opslaan is het in deze de facto een verplichting om over te gaan op multifactor-authenticatie. Net zoals alle financiële instellingen multi-factor of two-factor authenticatie vereisen zou dit bij overheidssystemen ook het geval moeten zijn. 

Bepalen wie toegang heeft en wat er nodig is om in te loggen op een systeem is van cruciaal belang voor een betere bescherming van de overheidsverwerkingsactiviteiten. Dit omvat ondermeer het vaak vergeten beleid met betrekking tot medewerkers die organisaties verlaten of intern verschuiven.

Hoewel het wordt beschouwd als een onderdeel van Identiteitsbeheer, is 'zero trust' een belangrijk raamwerk geworden voor het regelen van toegang tot overheidssystemen. Het is interessant om op te merken dat toen het internet voor het eerst verscheen, het werd gebouwd voor verschillende toepassingen en werd ontworpen als een open en vertrouwde omgeving. Internet werd in die tijd vooral gebruikt voor onderzoeksinstellingen en militaire belangen, die allemaal in een vertrouwde omgeving zaten. Tegenwoordig is het internet exponentieel gegroeid en we zijn ons er allemaal pijnlijk van bewust geworden dat er tal van slechte acteurs zijn met kwaadaardige en soms criminele bedoelingen. 

De kern van het zero trust-beleid is een herziene manier van denken die er in feite van uitgaat dat iedereen onbetrouwbaar is totdat het tegendeel is bewezen. Het is in deze geen slechte praktijk om – wanneer het systeem dit toestaat – een jaarlijkse vervaldatum op een toegang te plaatsen en iedereen te melden dat de verdere toegang enkel kan na een berichtgeving.

We zijn jammer genoeg niet aan het proefstuk bij de lokale besturen dat we gedwongen worden om ransomwarevergoedingen te betalen en als gevolg dagen, weken of maanden te besteden aan het opnieuw opbouwen van gecompromitteerde systemen. Ondanks de talloze campagnes zijn er nog te veel lokale overheden die slechte of ontoereikende back-upprocedures en -systemen hebben. Dit zou een artikel apart kunnen omvatten. Maar het volstaat te zeggen dat er goede praktijken zijn die moeten worden toegepast om back-ups van gegevens en applicaties beter te beschermen. 

Hieraan zijn kosten verbonden, maar de herstelkosten zijn vaak aanzienlijk hoger en daarom zou dit een integraal onderdeel moeten zijn van elk beleid voor cyberbeveiliging en risicominimalisering.

Zelfs vóór de pandemie was de groei van mobiele apparaten exponentieel. Meer dan 50 procent van het personeel in lokale besturen werkt in een “mobiele omgeving”. Vanuit de reeds omschreven inventarisatie is het belangrijk om te weten waar al uw mobiele apparaten zich bevinden en wie de primaire verantwoordelijkheid heeft. Een degelijk MDM-beleid houdt onder meer in dat bewaakt wordt dat op alle mobiele apparaten de nieuwste gepatchte en bijgewerkte software heeft geïnstalleerd. Als een apparaat verloren of gestolen wordt, zou er een externe “kill” optie mogelijk moeten zijn, waarmee het apparaat op afstand kan worden gewist. 

Mobiele apparaten, of het nu laptops, mobiele telefoons of tablets zijn, zijn cruciale verlengstukken van het overheidsnetwerk. Het is van essentieel belang dat deze goed worden beschermd.

Dit was ooit de saaiste taak in de IT. Een continue monitoring betekende vroeger dat personeel logboeken van al het netwerkverkeer bekeek en op zoek ging naar anomalieën die gemarkeerd werden voor verder of mogelijk onderzoek. Tegenwoordig zijn er veel uitstekende IT-serviceproviders en tools die deze monitoring op afstand en/of via softwareoplossingen aanbieden die op hun beurt het monitoringproces automatiseren. 

Dit soort systemen worden toch nog steeds over het hoofd gezien. Het is dus een goed idee om de huidige oplossingen te bekijken en te bepalen of er extra monitoring vereist is. Monitoringssystemen zouden kunnen gestandaardiseerd worden, waardoor inzichten ook meer kunnen vergeleken worden op overheidsniveau. Hiervoor zou men bijvoorbeeld ook collectieve overheidsmiddelen kunnen vrijmaken.

IT-certificering en training verdween iets te veel naar de achtergrond nadat de verplichte vorming en opleidingen ifv het statuut opgingen in een geïntegreerd vormingsbeleid.

Met de verhoogde behoefte aan kennis rond cyber- en informatieveiligheid is het moment aangebroken om alle kwalificaties van het huidige personeel te bekijken en te zien welke certificeringen men nodig heeft en - belangrijker nog - wanneer was de laatste keer dat de specialisten zijn gecertificeerd? De informatiesystemen veranderen in een sneller tempo en het is belangrijk om op de hoogte te blijven van huidige en nieuwe systemen, maar ook van de hedendaagse dreigingen. 

Er moet in ieder geval voldoende aandacht zijn voor training en certificeringen van onze publieke managers als we verwachten dat ze de goede beveiliging van de systemen mee bewaken. Overheidstechnologieën zijn complexer geworden en spelen een grotere rol in de dagelijkse bedrijfsvoering. Naarmate onze afhankelijkheid van technologie toeneemt, neemt ook de behoefte aan beter opgeleide mensen toe.

Nog specifieker – gelet op de groei en de aard van cyberbeveiligingsaanvallen - dienen cyberbewustzijnstrainingen jaarlijks verplicht trainingselement te zijn. Cyberbeveiligingsbewustzijn moet een continu proces zijn binnen de organisaties (leren en delen) en dient ervoor te zorgen dat iedereen de aard van de mogelijke risico's en het aanwezige potentieel van menselijke fouten goed begrijpt. Er zijn uitstekende programma's en bedrijven die dergelijke diensten aanbieden.

Net zoals bij de openbare veiligheid (cfr calamiteiten- en rampenplannen) moeten lokale overheden hun houding op vlak van cyberbeveiliging oefenen door trainingen uit te voeren. Wanneer een cyberaanval effectief plaatsvindt, is er weinig tijd om fouten te maken en te beslissen wat te doen of hoe te reageren, maar vooral ook hoe te communiceren. Dit kan via zandbakoefeningen en simulaties waarbij diverse scenario’s worden opgezet en uitgevoerd.