Kyndryl-topman Rob Bravenboer over het belang van cyber resiliency
Rob Bravenboer staat inmiddels één jaar aan het roer van de Nederlandse tak van Kyndryl, een van ’s werelds grootste leveranciers van IT-infrastructuurdiensten. Een gesprek met de topman over het groeiend belang van cybersecurity, en waarom de aandacht steeds vaker verschuift naar cyber resiliency.
Waarom zou cyber resiliency belangrijker kunnen zijn dan cybersecurity?
“Cyber resiliency is niet belangrijker dan cybersecurity, maar eerder een uitbreiding ervan. Hoewel cybersecurity, het detecteren en reageren op cyberaanvallen, belangrijk is, is het niet altijd mogelijk om alle soorten aanvallen te detecteren. Ransomware wordt bijvoorbeeld mogelijk pas gedetecteerd wanneer er al schade is aangericht.”
“Veiligheidsexperts realiseren zich dat het vermogen om snel en naadloos te herstellen van een cyberaanval en het behouden van essentiële bedrijfsfuncties waardoor het bedrijf weer op de been komt, het allerbelangrijkste is. Het ‘recovery’-aspect is in het verleden vaak over het hoofd gezien, maar krijgt nu veel aandacht in verschillende wetgevingen, waaronder NIS2 (de richtlijn inzake netwerk- en informatiebeveiliging) en DORA (de Digital Operational Resilience Act).”
Wat is de meest voorkomende misvatting over cyber resiliency?
“Dat het alleen draait om slimme back-ups. Cyber resiliency omvat echter veel meer dan alleen het maken van slimme back-ups. Het draait in essentie om de veerkracht van een organisatie en het vermogen om weer terug te veren na een cyberincident. Zelfs back-ups kunnen malware bevatten, wat de continuïteit van een organisatie in gevaar kan brengen.”
“Bovendien zijn organisaties vaak minder goed voorbereid op herstel na een cyberincident dan ze zelf denken. Verschillende factoren dragen hieraan bij. Uit een onderzoek van Kyndryl blijkt dat ransomware-aanvallers in 46% van de gevallen back-upinfrastructuur als doelwit kiezen. Deze aanvallen zijn vaak succesvol door het ontbreken van essentiële detectie van afwijkingen, air-gapping en een digitale kluis (cyberkluis) in veel organisaties.”
“Daarnaast bevatten back-ups, zelfs als ze beschikbaar zijn, meestal alleen data. Zonder de bijbehorende systeemconfiguraties en groeperingen van bestanden (directories) die nodig zijn voor een volledig herstel, bieden deze back-ups beperkte bruikbaarheid in situaties waarin snel herstel nodig is.”
“Wij adviseren onze klanten, zowel bedrijven die door de overheid gereguleerd worden als bedrijven die niet door de overheid gereguleerd worden, om hun weg naar cyber resiliency te beginnen met het definiëren van de vereisten met betrekking tot dit onderwerp. Hoeveel downtime kan een organisatie zich permitteren? Hoelang kan de organisatie digitaal geïsoleerd zijn door een cyberaanval?”
“Zodra een acceptabele hersteltijd is vastgesteld, kijken we naar de systemen die minimaal nodig zijn om het bedrijf draaiende te houden. Dit helpt de organisatie bij het definiëren van de zogenoemde ‘minimum viable company’. Dit houdt in dat de essentiële elementen worden geïdentificeerd die nodig zijn om bedrijfskritische processen operationeel te houden.”
“Vervolgens kijken we naar de gegevens die aan deze processen zijn gekoppeld, die kunnen worden opgeslagen in een digitale kluis. Deze kluis is een veilige digitale omgeving waar data niet gemakkelijk kan worden gewijzigd of overschreven. Dit wordt mogelijk gemaakt door onveranderbare of WORM-opslag.”
“WORM staat voor ‘write once, read many’, wat betekent dat data slechts één keer kan worden geschreven en daarna niet kan worden aangepast. De digitale kluis is onzichtbaar voor kwaadwillende actoren en bevindt zich in een omgeving met air-gapping.”
“Vervolgens kijken we ook naar de systemen en gegevens die geen deel uitmaken van de minimum viable company en hoe deze na een cyberaanval op termijn kunnen worden hersteld. Een juiste aanpak, planning en strategie zijn cruciaal bij het implementeren of uitbreiden van een cyber resiliency-strategie, waarbij verschillende aspecten in overweging worden genomen. Dit omvat componenten zoals infrastructuur. Hoeveel data kan de organisatie in korte tijd verwerken? Kunnen de netwerkcomponenten dit aan?”
Met digitalisering en datastromen, neemt ook de complexiteit van IT-technologie en -infrastructuur toe. Dit biedt vruchtbare grond voor kwaadwillenden. Hoe beoordeel je wat er nodig is voor de grootst mogelijke bescherming?
“Cybercriminaliteit neemt toe, omdat kwaadwillenden niet langer worden gehinderd door grenzen. We zien ook enorme afhankelijkheden van IT. Wanneer een cyberaanval plaatsvindt en er geen voorzorgsmaatregelen zijn genomen, kan het een alles-of-niets-situatie zijn. Het implementeren van een zero trust-framework is cruciaal. Dit betekent dat niemand automatisch wordt vertrouwd, maar altijd eerst wordt geverifieerd. Dit geldt ook voor je medewerkers.”
“Deze aanpak gaat verder dan alleen het minimaliseren van risico’s met betrekking tot cybersecurity, het beschermen van data en het vermogen om na een cyberaanval weer terug te veren. Het kan ook de manier verbeteren waarop organisaties naar cybersecurity kijken.
“Daarnaast is het opleiden van medewerkers met betrekking tot cybersecurity en resiliency van cruciaal belang. Het verhogen van het bewustzijn over cyberrisico’s en hen opleiden in het herkennen van deze risico’s kan de bescherming van een organisatie versterken.”
Wat is op dit moment de grootste cyberbedreiging voor bedrijven?
“In veel organisaties worden cybersecurity-incidenten geassocieerd met de menselijke factor, en de meeste inbreuken zijn te herleiden tot fouten van individuen. Het is belangrijk voor bedrijven om hun basis-cyberhygiëne op orde te hebben (relevante cybersecurity- en resiliency-maatregelen te nemen), want anders kunnen bedrijven hun eigen bedreiging worden. Als je niet van tevoren bent voorbereid op cyberincidenten, kun je te maken krijgen met aanzienlijke gevolgen.”
“Bij Kyndryl adviseren we onze klanten altijd om inzicht te krijgen in hun activa en kritieke bedrijfssystemen, evenals hun kwetsbaarheden. Dit helpt bij het opstellen van een sterke resiliency-strategie. Het is een gemiste kans als bedrijven de altijd aanwezige cyberdreiging niet gebruiken om te identificeren wat belangrijk is voor hun organisatie om het bedrijf draaiende te houden en dit vast te leggen in een minimum viable company.”
Zijn er bepaalde sectoren die een verhoogde kwetsbaarheid hebben voor cyberaanvallen?
“Vitale sectoren, zoals infrastructuur, gezondheidszorg en financiële diensten, worden vaak gezien als sectoren met verhoogde kwetsbaarheid. Toch denk ik dat alle sectoren een gelijke kans hebben om getroffen te worden door een cyberaanval. Bijvoorbeeld, de KNVB werd in 2023 getroffen door een ransomware-aanval en zij betaalden losgeld om vertrouwelijke gegevens te ontsleutelen. Dit toont aan dat elk bedrijf kwetsbaar is.”
“Bovengenoemde sectoren worden door veranderende wetgeving gedwongen om hun cybersecurity en resiliency aan te scherpen, omdat IT de ruggengraat vormt en deze organisaties zich geen downtime kunnen veroorloven – bijvoorbeeld DORA, dat vanaf 2025 van toepassing zal zijn op de financiële sector.”
Welke trends verwacht je de komende tijd te zien op het gebied van cybersecurity en resiliency?
“Ik verwacht dat kwaadwillenden veel creatiever zullen worden en nieuwe middelen zullen gebruiken om cyberaanvallen uit te voeren. AI heeft veel nuttige toepassingen, maar kan ook worden misbruikt. Bijvoorbeeld, je zou een telefoontje kunnen krijgen van iemand en op basis van stemherkenning denken dat je met je dochter spreekt die een aanzienlijk geldbedrag nodig heeft. In werkelijkheid zou dit een kwaadwillende kunnen zijn die AI misbruikt.”
“Hetzelfde geldt voor het internet of things. Denk aan je slimme koelkast die verbonden is met het internet. Een ander voorbeeld zijn de beveiligingscamera’s thuis, die deel uitmaken van je alarmsysteem om indringers te detecteren. Deze kunnen ook tegen je worden gebruikt als kwaadwillenden erin slagen om ze te hacken en binnen je huis mee te kijken.”
“Ik verwacht ook dat er in de toekomst veel ontwikkelingen zullen plaatsvinden op het gebied van quantum computing, waarbij de snelheid van berekeningen exponentieel toeneemt. Deze ontwikkelingen kunnen ook door kwaadwillenden worden uitgebuit. Een goed voorbeeld is het snel achterhalen van een wachtwoord dat normaal gesproken vele dagen zou duren om te kraken. Dit gebeurt op basis van het analyseren van je gesprekken, waarbij zelfs gedeeltelijke antwoorden op vragen die je hebt gegeven waardevol kunnen zijn.”
Verder lezen: Quantumtechnologie herbergt groot risico voor kritieke infrastructuur.
“Over het geheel genomen zien we dat de dreigingen breder, dieper en serieuzer worden. Ik vermoed dat deze ontwikkelingen ertoe zullen leiden dat basismaatregelen voor cyberhygiëne met betrekking tot cybersecurity en resiliency steeds belangrijker worden. Dit om downtime bij een cyberaanval te minimaliseren en het vermogen om snel weer terug te veren te optimaliseren.”
“Investeren in cyber resiliency helpt bedrijven om veerkrachtiger te worden en stelt hen in staat om veilig te innoveren en alle mogelijkheden van de digitale wereld te benutten, waarvan een digitale werkplek een goed voorbeeld is. Het is eenvoudiger om een digitale werkplek voor hybride werken in te richten en zo de werknemerservaring te verbeteren wanneer er van tevoren cybersecurity- en resiliency-maatregelen zijn getroffen.”