De risico's van datalekken zijn bijzonder hoog voor overheden en organisaties in de publieke sector, waardoor zij voor grote uitdagingen staan bij het handhaven van de cybersecurity. Vanwege de aard van de publieke sector moeten deze organisaties enorme hoeveelheden geclassificeerde en persoonlijke informatie opslaan, wat de hoogste niveaus van gegevensbescherming vereist en hen ook een aantrekkelijk doelwit maakt voor hackers. Het gebruik van verouderde gegevensverwerkende systemen door veel organisaties maakt bovendien dat de beveiliging mogelijk zwakker is dan zou moeten. Dit wordt verder bemoeilijkt door de toenemende digitale verbinding van overheidsorganisaties en publieke instellingen met hun stakeholders, bijvoorbeeld via internet ontsloten apps en portals.
De kosten van een datalek kunnen behoorlijk oplopen. Volgens het rapport van IBM over de kosten van een gegevensinbreuk kost een cyberaanval op een overheidsorganisatie gemiddeld $ 2 miljoen dollar om de gevolgen te beperken aan herstel. De gevolgen zijn niet alleen financieel: een inbreuk kan het vertrouwen van stakeholders en het grote publiek ondermijnen en reputatie- en politieke schade veroorzaken die moeilijk te herstellen zijn.
Dit toenemende gebruik van technologie waarbij digitaal verbonden organisaties van elkaar afhankelijk worden, vergroot het cyberrisico. De uitdaging is om te allen tijde controle te houden over deze digitale ketens en waarbij data veelal bij derde partijen wordt ondergebracht maar de verantwoordelijkheid voor de data blijft bestaan.
Cyberaanvallen in de publieke sector
Overheidsorganisaties hebben meestal stabiele IT-systemen die ze gebruiken voor kernactiviteiten, zoals financiële processen en de uitvoering van wettelijke taken. In de meeste gevallen worden industriestandaarden gebruikt voor beveiligingsprocessen als referentiekader, wat positief is, maar de technische en operationele weerbaarheid van systemen moet nog steeds worden gerealiseerd en best practices voor beveiligingsbeheer moeten worden gevolgd.
Organisaties kunnen kwetsbaarder worden voor cyberaanvallen wanneer ze technologische oplossingen op maat hebben. Bijvoorbeeld, een zorgorganisatie kan systemen hebben voor het opslaan van data die zeer specifiek zijn voor hun behoeften. Hoewel het core IT-zorgsysteem zelf misschien niet op maat gemaakt is, zal het wel customisations kennen en verbonden zijn via web toepassingen met het internet. Daar neemt het risico op een inbreuk toe.
Het beperken van cyberrisico's
Het eerste wat organisaties moeten doen, is ervoor zorgen dat de mensen die toegang hebben tot hun IT-systemen op de hoogte zijn van best practices op het gebied van cybersecurity. Zij moeten zich bewust zijn van welke gegevens ze hebben en van veelvoorkomende methoden van cyberaanvallen, zodat zij verdachte activiteiten zoals phishing-emails kunnen herkennen. Ook moeten zij er voor zorgen dat zij een sterke authenticatiemethode gebruiken voor toegang tot hun systemen. Veel organisaties gebruiken nog steeds gebruikers-ID's en wachtwoorden, en dat is gewoon niet genoeg. Twee-staps-verificatie biedt veel sterkere bescherming: naast een wachtwoord (iets wat u weet), kan ook een mobiele telefoon worden gebruikt als een manier om toegang te verlenen (iets wat u hebt).
Een andere sterke maatregel is segmentatie. Dit betekent het creëren van segmentaties tussen de meer dynamische internetgerichte web toepassingen en de backoffice waar alle gegevens zijn opgeslagen, zodat als een systeem in een segment wordt gecompromitteerd, niet meteen de hele database wordt blootgesteld. Het ontwerpen van een netwerk op basis van deze principes van beveiligingsarchitectuur is een sterke maatregel en maakt deel uit van 'security by design'.
Het voortdurend monitoren van software is ook essentieel. Software kan zwakke punten of, zoals ze vaak worden genoemd, kwetsbaarheden bevatten. Organisaties moeten ervoor zorgen dat deze kwetsbaarheden zo snel mogelijk worden geïdentificeerd en 'gepatcht'. Bijvoorbeeld, als er een beveiligingsupdate is van een softwareleverancier, moet deze direct worden geïnstalleerd, omdat dit een zwak punt is dat kan worden misbruikt, en kwetsbaarheden worden zeer snel openbare informatie.
Vaak publiceren de cyberbeveiligingscentra van de overheid, of vergelijkbare organisaties, waarschuwingen voor cyberdreigingen, om anderen te waarschuwen. Er zijn ook commerciële databases online beschikbaar waarin de nieuwste geïdentificeerde kwetsbaarheden worden vermeld; hackers kijken hier altijd naar.
Reputatiemanagement na een cyberaanval
Het handhaven van cybersecurity helpt om de reputatie van een organisatie en de veiligheid van haar klanten, leden en medewerkers te beschermen. Uiteindelijk ligt de verantwoordelijkheid hiervoor bij de CEO. Het is van vitaal belang dat de CEO updates en informatie ontvangt met betrekking tot cybersecurity en -incidenten, zodat zij geïnformeerde uitspraken kunnen doen over cybersecurity wanneer dat nodig is. Vertrouwen op communicatie van de IT-afdeling, of zelfs hun uitbestede IT-provider, is niet voldoende. Bovendien is er geen standaardrapportage voor cybersecurity, en dat kan een probleem zijn.
Dit is belangrijk, omdat wanneer er cyberinbreuken plaatsvinden, de CEO aan stakeholders moet uitleggen wat er is misgegaan. Honderd procent beveiliging handhaven is niet mogelijk. Een incident zal zich voordoen, en dan is het zeer belangrijk dat u uw communicatieplan gereed heeft.
Meer weten over het beschermen van gegevens?
Wilt u meer weten over wat u kunt doen om cyberrisico’s te beheersen? Neem dan contact op met Jan Matto per e-mail of per telefoon: +31 (0)88 277 13 99 of met Jeffrey de Bruijn per e-mail of per telefoon +31 (0)88 277 11 27. Zij helpen u graag verder.