Je moet er niet aan denken, het hele elektriciteitsnet ligt eruit vanwege een cyberaanval. Dat moet toch niet kunnen? We leven in een tijdperk waarin digitalisering en de technologische ontwikkeling een ongekende hoogte bereiken. De afhankelijkheid van digitale beveiliging en de waarde van gegevens wordt hierdoor telkens duidelijker. Om de veerkracht van bedrijven en instellingen te vergroten en om de digitale infrastructuur van de EU te beschermen is de NIS 2 Richtlijn (Network and Information Security Directive 2) een belangrijk instrument geworden. 

Russische hackersgroepen vallen verschillende Nederlandse websites aan (bron: bnr.nl), van de Eerste kamer tot OV-nl. De digitale onderwereld ontwikkelt zich in grote mate en legt, soms met gemak, hele websites plat en in ergere gevallen hele systemen of bedrijven. De NIS 2 Richtlijn helpt om de cyberweerbaarheid te verbeteren.

Wat is de NIS 2

De NIS 2 (Netwerk- en Informatiesystemen 2) richtlijn is een Europese wetgeving die tot doel heeft de veerkracht van kritieke infrastructuren en digitale diensten te vergroten tegen de constante dreiging van cyberaanvallen. Het is een evolutie van de originele NIS-richtlijn en legt nog strengere eisen op aan organisaties om de cyberbeveiliging te verbeteren en de gevolgen van incidenten te minimaliseren.

Voor wie is de NIS 2?

De NIS 2 Richtlijn is gericht op bedrijven en organisaties die worden gezien als ‘essentiële dienstverleners’. Van energieleveranciers en transportnetwerken tot digitale platforms en financiële instellingen. Ook vallen verschillende overheidsinstanties onder de richtlijn. Dit zijn gemeenten, waterschappen, provincies, overheidsinstanties die zich richten op nationale veiligheid, Rijksoverheid, en andere zelfstandige bestuursorganen. In de afbeelding zijn de betreffende sectoren genoemd. Echter geldt het belang van cyberweerbaar zijn ook voor alle andere sectoren. Maar hoe doe je dit? Hoe beveilig je nou op de juiste manier informatie en diensten? 

Belangrijke eisen die de NIS 2 stelt

• Identificeren en beoordelen risico’s: Organisaties moeten een grondige risicoanalyse uitvoeren om potentiële bedreigingen voor hun netwerk- en informatiesystemen te identificeren. Deze analyse helpt bij het begrijpen van de kwetsbaarheden en risico’s waarmee ze worden geconfronteerd.
• Beveiligingsmaatregelen: NIS 2 vereist dat organisaties passende beveiligingsmaatregelen implementeren om hun systemen te beschermen tegen dreigingen. Dit omvat onder andere het versleutelen van gegevens, het monitoren van netwerkverkeer en het regelmatig bijwerken van software.
• Incidentmelding en reactie: Organisaties moeten mechanismen opzetten voor het snel detecteren, melden en reageren op cyberincidenten. Dit draagt bij aan het minimaliseren van schade en het herstellen van normale bedrijfsactiviteiten. Bij AVAQ noemen we dit onderdeel crisismanagement.

Beveiligingsmaatregelen die nu al genomen kunnen worden

Wacht niet tot de NIS 2 in werking treedt. Hieronder zijn enkele beveiligingsmaatregelen benoemt die je nu al kunt nemen om je organisatie te beschermen. We hebben de maatregelen opgedeeld in menselijke, fysieke, technische en organisatorische maatregelen:

Menselijke beveiligingsmaatregelen

• Menselijke interactie vormt de eerste verdedigingslinie tegen cyberaanvallen. Investeer in bewustwording en training om medewerkers uit te rusten met de kennis om bedreigingen te herkennen en erop te reageren. Een proactieve houding en de mogelijkheid om verdachte activiteiten eenvoudig te melden zijn van onschatbare waarde.

Fysieke beveiligingsmaatregelen

• Zorg ervoor dat fysieke toegang tot systemen en apparatuur strikt is gecontroleerd. Dit gaat over toegangsmanagement ten aanzien van serverruimtes, het beschermen van apparatuur tegen diefstal en het implementeren van procedures voor het vernietigen van vertrouwelijke fysieke documenten.

Technische beveiligingsmaatregelen

• Activeer multifactorauthenticatie (MFA) en maak dit verplicht voor alle gebruikers.
• Patch Management: Houd je software en systemen up-to-date met de nieuwste beveiligingspatches om bekende kwetsbaarheden te verhelpen.
• Netwerksegmentatie: Beperk de schade die een aanval kan veroorzaken door je netwerk in segmenten te verdelen en toegangscontroles toe te passen.

Organisatorische beveiligingsmaatregelen

• Identificeer en classificeer gevoelige gegevens (dataclassificatie), en beperk de toegang tot deze gegevens tot alleen geautoriseerde gebruikers (dit gaat over fysieke en digitale toegang).
• Backup en herstel: Regelmatige back-ups van je gegevens zijn essentieel voor het herstellen van informatie na een incident. Zorg ervoor dat je herstelprocedures en incidentresponsplan (crisismanagement) zijn getest en up-to-date zijn.

AVAQ kan ondersteunen

Bij AVAQ zijn wij goed thuis in de wereld van cyberdreigingen en beveiligingsoplossingen. AVAQ helpt bedrijven bij het identificeren van kwetsbaarheden, het ontwerpen van robuuste beveiligingsplannen en het opstellen van effectieve incidentresponsplannen.

Is je organisatie klaar voor de uitdagingen van de NIS 2? Ons team van experts staat klaar om je te begeleiden bij de implementatie van de NIS 2 richtlijnen. Samen kunnen we je organisatie voorbereiden, zodat je met vertrouwen de digitale toekomst tegemoet kunt zien.

Bij AVAQ begrijpen we dat informatiebeveiliging van vitaal belang is voor de groei en stabiliteit van je organisatie. Samen kunnen we ervoor zorgen dat je organisatie goed voorbereid is op de uitdagingen van de digitale wereld. Neem contact met ons op voor deskundig advies en ondersteuning. Samen beschermen we wat van waarde is. Neem hier contact met ons op.

Voor The Outstanding Security Performance Awards (OSPA’s) 2023 – Benelux is Daniël benoemd als jurylid. Hij bekleedt deze positie als afgevaardigde vanuit de Vereniging Beveiligingsprofessionals Nederland (VBN), waar hij bestuurslid is.

In 2021 was Daniël finalist in de categorie ‘Outstanding Young Security Professional’. Hij behaalde toen de tweede plaats.

Over de OSPA’s

De OSPA’s erkennen en belonen bedrijven en individuen in de gehele beveiligingssector. De OSPA’s zijn ontworpen om zowel onafhankelijk als inclusief te zijn, en bieden een kans voor uitmuntende presteerders om erkend te worden en hun succes te vieren.

Verdere informatie over de OSPA’s staat op de website.

Op 7 maart heeft Daniël een gastcollege over integriteit en bedrijfsrecherche gegeven bij Windesheim in Zwolle aan de eerstejaars van de opleiding Associate degree Management.

Een serieus onderwerp, maar natuurlijk met een grapje (zoals je van studenten mag verwachten): Denzell is kennelijk een hele integere student (zie afbeelding).

Er zijn diverse geanonimiseerde casussen over fraude, bedrijfsdiefstal, angstcultuur en intimidatie van behandeld en er is over cultuur- en structuurmaatregelen gesproken in het kader van integriteitsmanagement. Een mooie ochtend!

Onze adviseur-onderzoeker Daniël de Jong reageert op de reportage van Nieuwsuur 🎥.

Integriteitsonderzoek vraagt om een zorgvuldige aanpak, zeker als het gaat over ongewenstgedrag. Angst is daarbij een slechte raadgever en transparantie en een objectieve kijk cruciaal. Niets is namelijk wat het lijkt. 

Te snel emotioneel handelen draagt zelden bij aan een veilige werkomgeving en kan zelfs zorgen voor imagoschade of een onnodige ontslagvergoeding. 

Bekijk de gehele rapportage: https://lnkd.in/eAR2xKWi.

Vandaag, 28 januari, is het de dag van de privacy. De dag waar we even extra stil staan bij wat zo belangrijk is: onbezorgd jezelf kunnen zijn. Daar draait het namelijk om bij privacy. Iedereen heeft het recht op eerbieding van zijn persoonlijke levenssfeer (Grondwet Art. 10), maar dit recht komt telkens meer onder druk te staan. 

Datalekken zijn aan de orde van de dag. In veel gevallen slingeren ook jouw persoonsgegevens, door een datalek, rond op het internet. Er wordt gesproken van een datalek als er persoonsgegevens worden vernietigd, gewijzigd, gedeeld of verloren zijn gegaan zonder dat dit is toegestaan of de bedoeling is geweest. Een datalek kan onbewust plaatsvinden door bijvoorbeeld een fout in het systeem waardoor onbevoegden bij persoonsgegevens kunnen. Ook kunnen datalekken bewust plaatsvinden, waarbij bijvoorbeeld een hacker bewust persoonsgegevens probeert te bemachtigen. In beide gevallen kan en moet jij je hier tegen bewapenen!

Wat moet een crimineel met mijn data?

Een crimineel kan gebruik maken van gelekte data. Zo kunnen zij, in sommige gevallen, jouw identiteit aannemen om criminele activiteiten uit te voeren. Op deze manier wordt jouw naam gebruikt om anderen op te lichten.

Ook kunnen criminelen geraffineerder te werk gaan. Door de gegevens die zij van jou hebben kunnen zij gerichtere criminaliteit plegen. Dit doen zij door in een e-mail of telefoongesprek informatie van jou benadrukken waardoor zij betrouwbaar(der) overkomen en jij sneller meegaat in hun verhaal. Hierbij kan je denken aan babbeltrucs, waarbij de crimineel zich voordoet als bijvoorbeeld jouw bank. Ook kan je denken aan phishing, waardoor je in de val wordt gelokt om op een kwaadaardige link te klikken. Klik daarom niet zomaar op linkjes, maar zoek de site bijvoorbeeld op via Google.

In veel gevallen worden er ook wachtwoorden gelekt bij een datalek. De wachtwoorden van dat account met bijvoorbeeld al jouw vakantiefoto’s. Of de wachtwoorden van het account met jouw financiële gegevens. Criminelen maken gebruik van de gelekte wachtwoorden om in jouw account te komen, nu ben jij gehackt. 

Privacy managen bij jouw bedrijf

Om de privacy van de medewerkers, klanten en partners te beschermen dient jouw bedrijf hier goed mee om te gaan. Werkt jouw bedrijf al volgens Algemene Verordening Gegevensbescherming? Dit is namelijk niet alleen verplicht, maar draagt ook daadwerkelijk bij aan beveiliging! Naast de sancties die de Autoriteit Persoonsgegevens op kan leggen voor het niet juist omgaan met privacy kunnen de klanten, partners en medewerkers het zeer waarderen als jij hun privacy beschermt.

Is mijn data gelekt?

Wil je weten of jouw persoonsgegevens zijn gelekt? Bekijk dan bijvoorbeeld: https://haveibeenpwned.com

Of had ik jou zojuist niet geleerd om niet op links te klikken?… zoek dan via google: haveibeenpwned.

Meer weten over privacy en goed privacymanagement? AVAQ geeft grip op privacy risico’s. Neem voor ondersteuning, advies of een kennismaking vrijblijvend contact met ons op.