Veel organisaties overwegen geavanceerde monitoring van hun netwerk in te zetten om hun cybersecurity te verbeteren. Het wordt gezien als een adequaat middel om hackpogingen en andere dreigingen eerder te spotten, maatregelen te nemen en zo de risico’s te verkleinen. In de markt is dit ook als managed service te verkrijgen. Succesvolle inzet vergt meer dan het betalen van een gepeperde rekening alleen.

“Hoge golven, windkracht tien. Storm op zee!”, zong Piet Piraat tot voor kort de Nederlandse kinderen toe. Soortgelijke geluiden zijn er te horen over de digitale reuzegolven die Nederland tegenwoordig via internet over zich uitgestort krijgt. De rijksoverheid en bedrijven met hoogwaardige technologie zijn inmiddels structureel doelwit van digitale spionage-aanvallen, blijkt uit een recent rapport van Rathenau Instituut. Er moet een schep bovenop bestaande maatregelen tegen cyberdreigingen. Zo moeten organisaties in vitale sectoren een jaarlijkse hacktest laten uitvoeren.

Garanties

In 2015 had 31 procent van de bedrijven in Nederland een formeel vastgelegd ICT-beveiligingsbeleid meldde het CBS onlangs in de eerste Cybersecurity monitor. Volgend jaar wordt de GDPR van kracht, een richtlijn van de Europese Commissie die persoonsgegevens beter moet beschermen. Die verplicht private bedrijven en publieke instanties met cruciale dienstverlening passende beveiligingsmaatregelen te nemen en incidenten te melden. In Nederland is die meldplicht voor datalekken al van kracht. Nieuw is dat er serieuze technische- en organisatorische beveiligingsmaatregelen genomen moeten worden. Er wordt zijdelings gekeken naar security analytics oplossingen, die misbruik en beveiligingsincidenten real-time waarnemen. Organisaties kunnen deze monitoring zelf invoeren of dit uitbesteden aan een gespecialiseerde dienstverlener die vanuit een security operations center meekijkt en het digitale inbreekalarm af laat gaan.

Er valt alles voor te zeggen om technologie juist niet als uitgangspunt te nemen. Het National Institute of Technology and Standards (NIST), een organisatie die Amerikaanse overheidsinstanties bijstaat in cybersecurity, schrijft de inzet van een raamwerk voor waarin informatiebeveiliging als een risicoprobleem aangevlogen wordt. Dit dwingt organisaties om heel specifiek vanuit operationele risico’s te bepalen welke data beveiligd moet worden, wie waarvoor verantwoordelijk is inclusief de directie, hoe die beveiliging tot stand komt en wat dat mag kosten.

Inbedding essentieel

Een intrusion detection en prevention systeem is geen Haarlemmer-olie voor securityproblemen, schreef Govcert – de voorganger van het Nationaal Cyber Security Centrum – in 2008 al in een whitepaper over deze technologie. Een goede organisatorische inbedding is essentieel. Zo moeten organisaties vooraf helder hebben voor welk doel ofwel use case zij de monitoring willen toepassen. Verder moet het duidelijk zijn welke incidenten tot een melding leiden, met welke prioriteitstelling en wie vervolgstappen neemt. Waarnemen is één ding, daarna moet er gehandeld worden. Daarnaast waarschuwt Govcert dat er naast aanschaf en implementatie veel kosten bijkomen.

Transparantie

Om te voorkomen dat het afnemen van security monitoring als een managed service op een teleurstelling uitloopt, is transparantie tussen klant en leverancier over ‘fit for use’ en kosten een absolute must. Net als andere vormen van uitbesteding ligt bij cybersecurity al snel een mismatch van verwachtingen en verantwoordelijkheden op de loer. Daarom is het essentieel om verder te kijken dan de initiële implementatie alleen en ook de operationele kosten mee te wegen. METRI is een initiatief begonnen om die transparantie rond cybersecurity voor elkaar te krijgen.

De totale kosten van zo’n monitoringsysteem worden vaak sterk onderschat en komen niet ter tafel in het salestraject. De kosten voor aanpassingen aan systeem en hackpatronen worden nogal eens vergeten. Hetzelfde geldt voor het toevoegen van een extra bronsysteem als de klant beslist voor uitbreiding van de monitoring. Verder zijn er kosten die buiten de monitoring vallen zoals het opleiden van personeel die logdata en incidenten moeten interpreteren. Zorg dus dat tijdens contractering voldoende transparantie is over verantwoordelijkheden en kosten, zodat als de klok van Arnemuiden luidt welkom thuis voor ons zal luiden.