“De risico’s veranderen. Daarom is zero trust nodig”
Partner content verbindt organisaties met de lezers van en doet een beroep op de specialisten van Roularta Brand Studio voor tekst en illustraties. De inhoud wordt eventueel aangebracht door de partner en valt buiten de verantwoordelijkheid van de redactie.
Het securitylandschap verandert razendsnel. Niet alleen de opzet en aanpak van de aanvallen evolueren, maar ook de manier waarop bedrijven zich daartegen beveiligen. Meer dan ooit moeten organisaties over de eigen grenzen heen kijken. Hun eigen beveiliging is mogelijk van cruciaal belang voor de werking van een complete supplychain.
Er is nood aan meer bewustzijn rond het belang van security. “We zien een opvallende groei in zogenaamde state-sponsored attacks”, zegt Geert van der Linden, CISO en Executive VP Cybersecurity bij Capgemini. “Tegelijk verandert de focus bij de aanvallen. Vroeger waren ze vooral op het stelen van geld gericht, vandaag meer en meer op het creëren van sociale onrust, bijvoorbeeld door de werking van nutsbedrijven of ziekenhuizen te verstoren.”
In de context van cybersecurity verschuift intussen ook de aansprakelijkheid. Als dienstverlener ben je verantwoordelijk voor de kwaliteit van de beveiliging van die dienst. “Dat verandert veel. Kijk naar DORA (Digital Operational Resilience Act), bijvoorbeeld. Volgens die Europese wetgeving moet je je weerbaarheid kunnen aantonen.” De wet richt zich in eerste instantie op de financiële sector, maar de verwachting is dat het toepassingsveld snel uitbreiding krijgt.
Meer dan infrastructuur
Hoe past een bedrijf zich aan de wijzigende context aan? “De basis blijft infrastructuurgerelateerde security”, zegt Geert van der Linden, “maar de aard van de risico’s verandert. Daarom is zero trust nodig.” Het concept van zero trust draait het klassieke beveiligingsprincipe om. Vroeger had de gebruiker toegang tot alles, tenzij tot wat strikt verboden was. Bij zero trust heeft de gebruiker geen enkele toegang, behalve tot wat formeel is toegestaan. “En dat moet voldoende gedetailleerd gebeuren. Je wil niet dat een gebruiker met één login toegang krijgt tot alle data en applicaties.”
“De basis blijft infrastructuurgerelateerde security. Maar de aard van de risico’s verandert. Daarom is zero trust nodig.”
Geert van der Linden, CISO en Executive VP Cybersecurity bij Capgemini
Tegelijk komt er meer nadruk op de beveiliging van die applicaties – en dus niet alleen van de infrastructuur. “We zien dat hackers zich meer en meer focussen op applicaties, want daar zit voor hen extra waarde in.” Net daarom moet de CISO ook meekijken naar de beveiliging van de operationele technologie: niet alleen IT, maar ook OT. Want dat weten de cybercriminelen ook. Als ze de productie verstoren, lijdt het bedrijf verlies. Tegelijk moet een organisatie over haar eigen grenzen heen kijken. Een hack bij een klein bedrijf heeft mogelijk impact op een hele supplychain, waardoor het incident ook grote organisaties raakt.
Snelle evolutie
Wie even bij de evolutie van security stilstaat, merkt het meteen: de complexiteit van het hele verhaal neemt hand over hand toe. Bedrijven besteden hun IT-security daarom steeds vaker uit: niet alleen om die complexiteit aan te kunnen, maar vaak ook omdat er op de arbeidsmarkt niet voldoende securityspecialisten beschikbaar zijn. Wat daarbij nog opvalt: de dienstverleners die puur op het kostenelement spelen, verliezen terrein. “De groei zit bij de spelers die waar voor hun geld bieden”, zegt Geert van der Linden. “Net omdat het securitylandschap zo snel verandert, is uitbesteden een goed idee. Op je eentje kun je die evolutie niet bijhouden.”
Open communicatie
Veel van de incidenten die de pers halen, hebben te maken met ransomware. De IT-sector heeft het daarbij altijd graag over open communicatie: slachtoffers zouden hun ervaring moeten delen, zodat andere bedrijven daaruit kunnen leren. In de praktijk zien we die openheid maar zelden. “Er is schaamte, maar ook de vrees dat klanten zullen afhaken. Bedrijven geven niet graag toe dat ze hun security niet op orde hebben, om niet nog meer cybercriminelen aan te trekken.”
Nochtans kan open communicatie net helpen om de schade te herstellen. “Dat is wat Maersk deed”, besluit Geert van der Linden. In 2016 was het logistieke bedrijf het slachtoffer van een grootschalige malwareaanval. “Het management liet toen weten dat het gehackt was en veel data was verloren. Daarop kreeg het bedrijf veel hulp van klanten die data terugbezorgden.”
Meer info op www.capgemini.com