MENU

cyberaanvallen

Cyberaanvallen zijn met regelmaat onderdeel van het nieuws. Er heerst dan ook steeds meer bewustwording omtrent dit onderwerp. Zo blijkt uit onderzoek van het CBS dat naast de grote bedrijven ook middelgrote bedrijven maatregelen nemen met betrekking tot cybersecurity. Kortom: cyberaanvallen voorkomen is niet meer alleen een verhaal van de grote multinationals. Waar u ook werkzaam bent, u moet ermee aan de slag.


Het weren tegen digitale aanvallen is een uiterst complex proces, waarvoor vaak specifieke deskundigheid vereist is. Maar hoe weet u waar u op moet letten en waar staat uw organisatie op dit moment? Onderstaande 5 vragen geven u een indruk:  

Vraag 1: Weet ik welke apparatuur, software en gegevensopslag er in mijn organisatie worden gebruikt en door wie?

Met apparatuur denken we vaak aan zaken als telefoons, tablets, computers, laptops, externe gegevensdragers, etc. Dit is apparatuur die vaak onder de noemer IT (Information Technology) wordt benoemd en waarvan men de cyber risico’s verwacht.

Daarnaast is er ook apparatuur waar minder snel aan wordt gedacht, maar die wel tot een groot cyber risico kunnen leiden. Die valt onder de noemer OT (Operational Technology). Denk aan gebouwinstallaties, maar ook uw productieproces en machinepark. De OT-risico’s hebben vaak direct impact op uw bedrijfsprocessen en uw bedrijfscontinuïteit.

Door deze vraag te stellen, inventariseert u waar en bij wie de risico’s liggen. Ook de afhankelijkheid van leveranciers op dit gebied moet helder zijn. Hiermee zijn uw cyberdoelwitten duidelijk en is het tijd om u verder te verdiepen.


Vraag 2: Hoe vaak wordt onze data geback-upt?

Essentiële informatie wilt u niet verliezen, daarom is het van groot belang hiervan een back-up te maken. Van sommige gegevens is het vereist om dit continue te back-uppen, andere gegevens kunnen periodiek geback-upt worden. Zorg voor een eenduidig beleid, zodat in het geval zich een cyberaanval voordoet, u de juiste gegevens weer beschikbaar krijgt. Wat ook van belang is, is dat uw back-up op een andere locatie wordt bewaard, bij voorkeur losstaand van uw bedrijfsnetwerk.

Vraag 3: Is mijn software actueel?

Leveranciers van softwarepakketten voeren met regelmaat updates uit en dat moet ook wel. Cybercriminelen vinden steeds weer nieuwe manieren om binnen te dringen waarop geanticipeerd wordt door de softwarebedrijven. Door uw software te updaten, bent u beveiligd tegen de meest recente risico’s.

Gaat u voor een heel nieuw software pakket, vergeet dan niet meteen uw instellingen te personaliseren. Wanneer u de standaardinstellingen blijft gebruiken, zet u eigenlijk de poort open voor cybercriminelen. Want deze instellingen zijn vaak gemakkelijk te achterhalen.

Wat echter vaak vergeten wordt, is het updaten van de software van uw operationele processen. Een software update heeft vaak ten doel om een beveiligingslek te dichten. Helaas wordt het updaten van besturingen van machines, productielijnen, gebouwinstallaties en dergelijke vaak vergeten, waardoor deze gevoelig zijn voor cyber risico’s, terwijl dit nu juist de zaken zijn waar uw bedrijfsprocessen afhankelijk van zijn.

Vraag 4: Zijn mijn collega's zich bewust van de risico's?

Een heel belangrijk aspect om u te weren tegen cyberaanvallen is het bewustzijn bij collega’s. Iedere collega is een toegangsroute voor een cybercrimineel. Zorg daarom dat collega’s bewust zijn van de risico’s en dus:

  • Phishingmails kunnen herkennen
  • Updates altijd tijdig installeren
  • Gebruik maken van moeilijk te achterhalen wachtwoorden
  • Wanneer ze op reis gaan alleen gebruik maken van hun databundel en geen openbaar wifinetwerk

Als organisatie ligt hier een belangrijke verantwoordelijkheid om deze bewustwording te creëren en  collega’s in te lichten over de risico’s en wat zij kunnen doen aan preventie. Daarnaast kunnen risico’s afgedekt worden door collega’s enkel toegang te geven tot gegevens waar zij mee moeten werken en niet tot andere gegevens. Ook het beperken van het aantal inlogpogingen en het instellen van een tweefactor authenticatie zorgt voor extra beveiliging. En ga ook na hoe dit is geregeld bij uw service providers van uw machinepark? Weet u wie allemaal toegang hebben? Hoe is dit bij u ingeregeld?

Vraag 5: Bent u voorbereid op een cyberaanval?

De vorige vragen waren allemaal gericht op het voorkomen van (impact van) een cyberaanval. Maar wat als uw organisatie toch onverhoopt wordt getroffen door een cyberaanval, weet u dan wat u moet doen? Wie moet aangeschakeld worden (IT leveranciers, verzekering, politie?), welke stakeholders treft het en welke maatregelen moet u nemen? En bij een OT incident is de kans groot dat besturingen van productielijnen of het machinepark niet meer automatisch functioneren. Kunnen u medewerkers de processen nog handmatig aansturen? Met een gedegen crisisplan kunt u hopelijk de schade beperken.

Organiseer uw informatiebeveiliging effectief

Heeft u alle vragen met JA beantwoord, dan heeft u de basis op orde. Zit er nog een NEE tussen, dan is dat meteen een actiepunt. Vindt u het lastig om te bepalen wat u moet doen om u te weren tegen cyberaanvallen en in welke volgorde? Wat betreft uw IT processen helpt het ISO 27001 stappenplan u bij het vinden van de juiste balans tussen technische kennis, zorgen voor acceptatie en adoptie bij medewerkers. Deze norm richt zich vooral op gegevensbeveiliging en beveiligen van persoonsgegevens, vaak als IT-aspecten aangeduid.

Door het ‘Internet of Things’ (IoT) en het Industrial Internet of Things (IIoT) is het ook steeds belangrijker de operationele technologie (OT) van uw bedrijf te beschermen. Omdat diverse apparaten zoals camera’s, gebouwinstallaties, productiemachines etc. verbonden zijn met uw netwerk, lopen deze ook cyber risico’s.. De IEC62443 is specifiek voor OT aspecten ontwikkeld, waarbij ook verschillende delen bestaan die zich toespitsen op bepaalde rollen. Zo zijn er IEC62443-delen specifiek voor Asset Owners, Service Providers of Manufacturers.

Met een certificering conform de ISO27001 toont u aan dat uw IT-organisatie digitaal weerbaar is.

Met een certificering conform de IEC62443 toont u aan dat uw operationele processen digitaal weerbaar zijn.

Download hier het ISO 27001 stappenplan

New Call-to-action

Meer informatie over IEC 62443

 

Onderwerpen:

Alle onderwerpen Certificeren ISO 27001 informatiebeveiliging cybersecurity IEC 62443

Auteur

Deel deze pagina

Algemene vragen en opmerkingen

Tüv kantoor

TÜV Nederland

0499 - 339 500

Voor al uw algemene vragen en opmerkingen