Cyberincidenten ontstaan zelden door één fout
Cyberincidenten ontstaan zelden door één fout
Het gesprek na een cyberincident verloopt bijna altijd hetzelfde.
Aan tafel zitten een bestuurder, iemand van IT en soms een externe specialist. Op tafel ligt een rapport over een incident dat inmiddels is opgelost, maar waar nog vragen over zijn.
“Hoe heeft dit kunnen gebeuren?”
De eerste reflex is om één oorzaak te zoeken. Misschien klikte iemand op een phishingmail. Misschien stond er ergens een systeem dat niet op tijd was bijgewerkt. Of misschien lekte er een wachtwoord.
Maar analyseer je het incident echt, dan blijkt het zelden zo simpel. Vrijwel altijd komt er een ander beeld naar boven. Een keten van kleine zwaktes die samen tot een probleem leidden.
Het begint meestal met iets kleins
Veel aanvallen beginnen met iets dat op het eerste gezicht nauwelijks opvalt.
Iemand opent een bijlage uit een mail die net echt genoeg lijkt. Een account bestaat al jaren, maar is nooit opgeruimd. Een server staat nog online omdat hij ooit voor een project nodig was.
Op zichzelf hoeft dat geen probleem te zijn. In veel organisaties bestaan zulke situaties zonder dat er ooit iets misgaat. Maar zodra meerdere van die kleine zwaktes tegelijk aanwezig zijn, verandert het beeld. Een aanvaller krijgt een eerste ingang. En vanaf dat moment begint het echte werk.
Wat aanvallers daarna doen
Veel mensen denken dat een aanval meteen begint met schade. Meestal gebeurt het tegenovergestelde. Aanvallers nemen de tijd.
Ze kijken rond. Ze proberen te snappen hoe systemen met elkaar verbonden zijn en waar de waardevolle data staat. In security heet dat lateral movement, het moment waarop een aanvaller zich door een netwerk verplaatst. Van het ene systeem naar het andere. Van een gebruiker naar een server. Van een server naar gevoelige data. En elke kleine zwakte maakt die beweging makkelijker.
Waarom aanvallers vaak weken binnen zijn
In films gaat een aanval snel. In de praktijk zit een aanvaller soms weken in een organisatie zonder dat iemand het merkt.
Niet omdat organisaties niets doen. Maar omdat het vaak ontbreekt aan overzicht. Welke systemen draaien er precies? Wie heeft toegang tot welke data? Welke systemen zijn kritisch?
Ontbreekt dat overzicht, dan ontstaan er blinde vlekken. En juist in die blinde vlekken beweegt een aanvaller zich het makkelijkst.
Grote incidenten ontstaan zelden door één fout
Onderzoek je grote cyberincidenten, dan zie je bijna altijd hetzelfde patroon. Niet één grote fout, maar meerdere kleine.
Een account met te veel rechten. Een systeem dat al lang niet actief wordt beheerd. Software die wel werkt, maar nooit structureel wordt bijgewerkt.
Apart lijken die problemen klein. Samen ontstaat er een situatie waarin een aanvaller stap voor stap verder komt. Zo bouwt zich een aanvalsketen op.
Waarom dit steeds vaker een bestuursvraag is
Lange tijd zag men cybersecurity vooral als techniek. Iets voor IT. Maar organisaties zijn inmiddels zo afhankelijk van digitale systemen dat cyberrisico’s niet meer enkel technisch zijn. Ze raken je continuïteit, je reputatie en je verantwoordelijkheid.
Daarom schuift cybersecurity steeds meer op richting bestuurlijk risicomanagement. Niet omdat bestuurders technisch expert moeten worden, maar omdat zij verantwoordelijk zijn voor hoe risico’s worden beheerst.
Waar organisaties vaak beginnen
Wie zijn cybersecurity wil verbeteren, denkt vaak eerst aan nieuwe technologie. Meer monitoring. Meer detectie. Meer tools.
Maar organisaties die het goed op orde hebben, beginnen meestal ergens anders. Bij overzicht. Ze weten welke systemen draaien, welke data kritisch is en wie waar toegang toe heeft. Zonder dat overzicht wordt beveiliging al snel een verzameling losse maatregelen. Mét overzicht ontstaat structuur.
Wat je vandaag al kunt doen
Veel verbeteringen beginnen met een paar simpele vragen. Weten we precies welke systemen er draaien? Weten we waar onze belangrijkste data staat? En weten we wie daar toegang toe heeft? Alleen die vragen beantwoorden levert vaak al waardevolle inzichten op.
Verder helpt het om kritisch naar je toegangsrechten te kijken. In veel omgevingen groeien rechten ongemerkt mee met functies en projecten. Pas je het principe van least privilege toe, dus alleen toegang geven die echt nodig is, dan verklein je de risico’s al flink. Ook helpt het om beter zicht te krijgen op wat er in je systemen gebeurt, want met monitoring en logging zie je afwijkend gedrag eerder. En misschien nog belangrijker, cybersecurity is niet enkel een zaak van IT. Wie digitale risico’s serieus neemt, bespreekt ze ook op managementniveau.
De echte vraag
Analyseer je cyberincidenten, dan zie je zelden één duidelijke oorzaak. Je ziet meestal een keten van kleine zwaktes die samen een groot risico vormen.
De belangrijkste vraag is daarom niet of je je systemen goed beveiligd hebt. De vraag is waar kleine zwaktes in jouw organisatie samen een groot probleem kunnen worden.
Digitale risico’s ontstaan zelden door één grote fout. Ze ontstaan als de complexiteit groeit en het overzicht verdwijnt. Precies daar pakken wij als regiepartner voor het midden-MKB onze rol. We helpen je die kleine zwaktes in beeld te brengen voordat ze samen een keten vormen.
Benieuwd waar jouw zwakke schakels zitten? Neem nu contact met ons op.
Gerelateerde diensten
Netwerk & Connectiviteit
Cloud & Infrastructuur
Cyber Security
Klantcases
BHB Dullemond vindt IT vernieuwing met RunningIT

