Door gebrekkige wetgeving en de wens om cyberonveiligheid totaal uit te bannen, kost cybersecurity de overheid veel meer dan nodig. Dat stelt rechtseconoom mr. dr. ir. Bernold Nieuwesteeg in zijn promotieonderzoek voor de Erasmus Universiteit Rotterdam. Fred Streefland, Sr. Product Marketing Manager EMEA bij Palo Alto Networks, onderschrijft dit. 

'De overheid, en vele andere organisaties, pakken cybersecurity op een verkeerde manier aan. De cybersecurityaanpak moet anders en kan veel efficiënter en parrallel daaraan dus ook veel effectiever.'

Waarom werkt de huidige aanpak niet? (met als gevolg dat het teveel kost)

De huidige cybersecurity is niet efficiënt en effectief genoeg omdat deze niet uitgaat van een lange termijn securitystrategie die is gebaseerd op een ‘zero-trust’ aanpak. Er wordt vooral ad-hoc cybersecurity uitgevoerd met behulp van ‘security point-products’, die niet geïntegreerd en geautomatiseerd zijn. Er is geen holistische aanpak onder leiding van één verantwoordelijke bewindspersoon met mandaat en budget, met als gevolg dat er security eilanden ontstaan, die niet of nauwelijks met elkaar samenwerken en geen synergie opleveren. Hierbij komt nog een gebrek aan informatie- en kennisdeling tussen de verschillende ‘securityeilanden’ onderling. Ieder securityeiland heeft zijn eigen budget en doet veel cybersecurityzaken in ‘splendid isolation’ waardoor het wiel steeds opnieuw uitgevonden moet worden.

Hoe kan cybersecurity wel werken en is het nog kostenefficiënter?

Door te beginnen met het bepalen van de risico’s en het cybersecurity ambitieniveau met een holistische blik aan te vliegen. Maak ook een persoon (en zijn/haar security team) eindverantwoordelijk voor alle afdelingen, die vervolgens een securityroadmap gaat opstellen m.b.v. een securityframework (bijv. ISO27001 of NIST) en een maturity model. Dat geeft aan op welk maturity niveau de organisatie zit en  hoe de beveiliging ingericht moet worden om op het gewenste maturity niveau te komen. Gebruik hier de zero-trust aanpak, hetgeen betekent dat men begint met het beveiligen van de ‘kroonjuwelen’ van een organisatie en vervolgens vanuit de kroonjuwelen de security stap-voor-stap opbouwt. Dan moet het principe van ‘least-privilege’ worden toegepast. Wie mag bij welke data – en wie mag niet bij bepaalde data. Tenslotte moet alles worden gelogd en gemonitord, zodat er geen aannames worden gedaan en er constant sprake is van 100% zichtbaarheid wat er in de IT-omgeving plaatsvindt.

Omdat er wordt begonnen bij de kroonjuwelen en niet alles tegelijkertijd wordt gedaan, is de uitvoering flexibel en kan constant worden aangepast t.o.v. technologische ontwikkelingen en kostenefficiënter.