Cybersecurity Archieven

“Back-up? Geen idee, moet je aan Peter van Lent vragen!”

Geschreven door admin op 27 september 2024. Gepost in CyberDesk, Cybersecurity, De 10 geboden van de NIS2.

Als je vroeger aan een klant van mijn toenmalige bedrijf Digisource vroeg: “Hoe is je back-up geregeld?” Dan kreeg je steevast als antwoord dat wel los zou lopen, omdat wij het beheer deden.
Destijds kwamen onze klanten daarmee weg. Maar onder de NIS2, gaat de bestuurlijke aansprakelijkheid verder.

Deze stelt namelijk als één van de geboden: “Beleid en procedures om de effectiviteit van beheersmaatregelen van cyberbeveiligingsrisico’s te beoordelen.”

Het is dus zaak om als organisatie haarscherp te hebben of de maatregelen die je hebt getroffen, daadwerkelijk effect hebben.

Hiervoor zijn Kritieke Prestatie Indicatoren (KPI’s) onmisbaar. Maar wat ga je dan meten? Een paar tips:

📊 Samenvatting incidenten.
📊 Samenvatting nieuwe bedreigingen.
📊 Status gezondheid systemen en continuïteit.
📊 Voortgang projecten.
📊 Overzicht Rapportages/KPI’s

Belangrijk!
✅ Laat deze rapportages maandelijks door de IT-manager aanleveren.
✅ Bespreek en gebruik deze volgens de Plan-Do-Check-Act methode.

Stuur jij al op basis van KPI’s?
—–
Zie je het belang hiervan in, maar zie je het niet zitten met een leeg vel papier te beginnen? Wij hebben voor MSP’s maar ook voor eindgebruikers een mooi systeem ontwikkeld binnen SharePoint. Kijk even op smiletools.nl onder het kopje Cyberdesk.

hashtag#nis2 hashtag#cybersecurity hashtag#cyberdesk hashtag#KPI

Het is weer een hele mond vol, dit NIS2-gebod

Geschreven door admin op 12 september 2024. Gepost in CyberDesk, Cybersecurity, De 10 geboden van de NIS2.

“Beveiliging bij het verwerken, ontwikkelen en onderhouden van netwerk- en informatiesystemen, inclusief de respons op en bekendmaking van kwetsbaarheden.”

Maar wat bedoelen ze nou eigenlijk?

Ze hebben het hier over je totale IT-omgeving. Denk aan het WiFi-netwerk, Microsoft/Google-applicaties, e-mail, documentopslag, CRM, ERP en boekhoudsysteem, maar ook hardware zoals laptops en printers.

Volgens NIS2 moet je heel helder hebben hoe je deze systemen beheert, beveiligt en monitort.

Dus je moet weten (en vastleggen):
✅ Wanneer je updates doorvoert en hoe
✅ Of je een testomgeving moet maken waarin je updates uittest, of dat dit niet nodig is
✅ Waar de kwetsbaarheden in je systemen zitten
✅ Hoe je signaleert dat er iets misgaat
✅ En hoe je dit vervolgens naar buiten communiceert

Een paar pro-tips (vraag eventueel aan je IT-partner):
👉🏻Zorg dat je patchbeheer op orde is
👉🏻Plan maandelijks overleg omtrent patchstatus, firewall, incidenten, escalaties, noodmaatregelen
👉🏻Regel je de virusscan en webbescherming
👉🏻Zorg dat alles terug te vinden is in rapportages met KPI’s
👉🏻Beveilig je IT-documentatie goed
👉🏻Vervang apparaten die niet meer ondersteund worden

Heb jij dit al op orde?

hashtag#nis2 hashtag#cybersecurity hashtag#cyberdesk
—–
Zie je het belang hiervan in, maar zie je het niet zitten met een leeg vel papier te beginnen? Wij hebben voor MSP’s maar ook voor eindgebruikers een mooi systeem ontwikkeld binnen SharePoint. Kijk even op smiletools.nl onder het kopje Cyberdesk.

Back-uppen & noodvoorzieningen like a NIS2-pro, doe je zo

Geschreven door admin op 23 augustus 2024. Gepost in Cybersecurity, De 10 geboden van de NIS2.

Natuurlijk zet je alles op alles om ervoor te zorgen dat er geen incidenten zijn. Maar het is naïef om te denken dat je alles 100% kan afdichten.

NIS2 heeft dan ook als een van de uitgangspunten: ‘maatregelen op het gebied van bedrijfscontinuïteit zoals back-upvoorzieningen en noodvoorzieningsplannen.’

Een paar praktische tips om dit goed aan te vliegen:

👉🏻 Bedenk van welke data back-ups noodzakelijk zijn en hoelang je deze moet bewaren.

👉🏻 Test regelmatig het terugzetten van de back-ups, zodat je zeker weet dat alles goed werkt wanneer het nodig is.

👉🏻 Werk volgens de 3-2-1 regel. Hierbij heb je drie versies van de data: je productiedata en twee back-ups.

Twee hiervan moeten op verschillende manieren zijn opgeslagen (bijv. verschillende fysieke harde schijven) en één kopie moet op op een andere locatie worden bewaard.

👉🏻 Beperk de toegang tot de back-ups. Denk hierbij aan de toegangsrechten, maar overweeg ook het versleutelen van de back-up.

👉🏻 Denk goed na over de Recovery Time Objective (RTO), oftewel hoelang het kan (of mag) duren om de situatie vanuit de back-up of een failover-systeem weer online te krijgen.

👉🏻 Vergeet ook niet de Recovery Point Objective (RPO): de hoeveel data die verloren kan (of mag) gaan bij een disaster. Meestal is het maximum de interval tussen back-up, replicatie of synchronisatie. Toch kunt je hiermee voor verrassingen komen te staan.

Trust me, een goede back-up maakt alle verschil bij een incident.
—

Zie je het belang hiervan in, maar zie je het niet zitten met een leeg vel papier te beginnen? Wij hebben voor MSP’s maar ook voor eindgebruikers een mooi systeem ontwikkeld binnen SharePoint. Kijk even op smiletools.nl onder het kopje Cyberdesk.

hashtag#nis2 hashtag#cybersecurity hashtag#cyberdesk

Lekker NIS2-procedures uitwerken, zin in! Said no one ever.. 😎

Geschreven door admin op 17 augustus 2024. Gepost in Cybersecurity, De 10 geboden van de NIS2.

Het is vaak saai en geestdodend werk, ideaal om keer op keer (op keer) uit te stellen. Want ja, meestal worden de procedures in de praktijk nooit gebruikt.

Maar geloof me, áls er dan een keer een serieuze hack is, dan heb je de bibbers in je benen en weet je prompt niet meer wie je moet bellen voor hulp.

En hou jij het hoofd altijd koel? Dan zul je net zien dat er een incident is als jij op vakantie bent. En dan zijn het je collega’s die staan te trillen als een rietje en werkelijk geen idee hebben wat ze moeten doen.

Terwijl snel handelen, echt key is.

Een van de tien geboden van NIS2 is dan ook: Beleid en procedures incidentenafhandeling.

Heel belangrijk dus. Maar wat moet je nou precies doen?

Beschrijf heel praktisch wat jullie organisatie moet doen in het geval van een specifieke situatie.

Deze procedures mogen in ieder geval niet ontbreken:
✅ Wat te doen bij in- en uitdiensttreding van personeel
✅Wat te doen bij een security incident
✅Wat te doen bij een datalek
✅Wat te doen bij een virusuitbraak
✅Wat te doen bij een malware/ransomware aanval
✅Wat te doen bij een firewallmelding
✅Wat te doen bij een vermiste telefoon-laptop
✅Wat te doen bij websitehack
✅Wat te doen bij de uitval van een primair systeem

En zo mogelijk nog belangrijker: test je procedures regelmatig!! In mijn bijna 40 jaar als IT-deskundige ben ik vaak bij slachtoffers geweest die trouw back-ups maakten, maar toen de nood aan de man was, bleek dat toevallig de belangrijkste mappen ontbraken in de back-up.

Test dus altijd de volgende procedures:
👉 Restore
👉Archivering
👉Disaster Recovery
👉Hulplijnen

Vergeet ook niet om de procedures dynamisch te houden. De betrokken personen of partijen kunnen veranderen, net als de vorm van de calamiteit.

Stel daarom iemand aan binnen de organisatie die verantwoordelijk is voor de updates van de procedures. Succes!

—

Zie je het belang hiervan in, maar zie je het niet zitten met een leeg vel papier te beginnen? Wij hebben voor MSP’s maar ook voor eindgebruikers een mooi systeem ontwikkeld binnen SharePoint. Kijk even op smiletools.nl onder het kopje Cyberdesk.

hashtag#nis2 hashtag#cybersecurity hashtag#cyberdesk

Het maakt eigenlijk geen klap uit of NIS2 geldt voor jouw bedrijf

Geschreven door admin op 17 augustus 2024. Gepost in Cybersecurity, De 10 geboden van de NIS2.

Want serieuze organisaties moeten hun zaakjes gewoon op orde hebben. Punt. NIS2 geeft ‘slechts’ handvatten om alle procedures rondom cyberbeveiliging goed vast te leggen. En dat wil je sowieso geregeld hebben.

Maar goed, laten we eerlijk zijn: de NIS2-richtlijn omvat veel technische en juridische blabla.

In de basis gaat het om 10 gouden regels, die ik de komende tijd even in begrijpelijke taal ga uitleggen.

Laten we voor de verandering maar eens beginnen bij het begin.

NIS2 regel 1: Beleid inzake risicoanalyse en beveiliging van informatiesystemen

Dat kunnen we verdelen in twee aandachtspunten:

1️⃣ Beleid

👉 Maak hierin een splitsing tussen strategisch- en operationeel beleid
👉 Het strategisch beleid komt van het MT en beschrijft op hoofdlijnen de visie van de organisatie op IT en security. Denk hierbij aan IT-diensten per locatie, AVG en Privacy, interne IT-beveiliging en wat te doen met zelf meegebrachte devices.
👉In het operationeel beleid staat vastgelegd hoe dit strategisch beleid technisch wordt uitgevoerd
👉Dit kan gewoon bondig op een A4’tje of vastgelegd in een centraal systeem

2️⃣ Risicoanalyse

👉Dit is een dynamisch document of systeem dat steeds opnieuw wordt getoetst wanneer de situatie in of buiten de organisatie verandert
👉Een veelgebruikte methode is de FMEA-aanpak (Failure Mode and Effects Analysis).
👉Hiermee komen alle risico’s netjes onder elkaar te staan in een overzicht met daarbij de score en impact om zo inzichtelijk te maken waar jullie securityuitdagingen liggen

Heb jij dit al op orde?

—
Zie je het belang hiervan in, maar zie je het niet zitten met een leeg vel papier te beginnen? Wij hebben voor MSP’s maar ook voor eindgebruikers een mooi systeem ontwikkeld binnen SharePoint. Kijk even op smiletools.nl onder het kopje Cyberdesk.

hashtag#nis2 hashtag#cybersecurity hashtag#cyberdesk

ConnectSecure v4 uitlezen met Powershell en API

Geschreven door Albert Smit op 4 juli 2024. Gepost in Cybersecurity, SmileTools.

Om als MSP’er te zorgen voor goed patchbeheer, moet je ook de zwakke punten weten van al je beheerde devices. Wij gebruiken hiervoor https://ConnectSecure.com versie 4 via https://Portland.nl

Prachtig dashboard voor de techneuten en security officers, maar voor de sales willen we graag alle MSP- producten (en hun status) rapporteren in een centraal systeem. Wij gebruiken hiervoor een Azure Database met PowerBi en html dashboards.

Met versie 4 zijn er wijzigingen in het gebruik van de API waardoor we weer even terug moesten naar de tekentafel en door mijn gebrekkige kennis, matige documentatie was ik hier toch weer een dag mee bezig. Om jullie deze tijd te besparen deel ik graag mijn opgedane kennis met jullie zodat je hiet zelf ook leuke dingen mee kunt maken!

Zorg ervoor dat je via de V4 webinterface als admin een Client-Id en Secret hebt (zie user beheer) en dat je de juiste URL weet (je POD nr, zie user afbeelding, API documentatie en bekijk de URL!)

Ik bouw een PowerShell script die ik via task-scheduler elke dag laat lopen om te synchroniseren met de Azure Reporting Database. Voor vandaag deel 1 uitlezen CyberCNS:

############################################################
# Connect to the Connect Secure v4 API               
############################################################
#vul hier uw eigen gegeven is:
$TenantName="uw eigen tenant naam in ConnectSecure"
$BaseURL="https://podxxx.myconnectsecure.com"
$ClientID="uw-client-id-voor-connectsecure"
$AppSecret="een hele lange code als secret"
#tot hier

#Voeg gegevens samen codeer deze Base64:
$auth = "$TenantName+$ClientID" + ':' + $AppSecret
$Encoded = [System.Text.Encoding]::UTF8.GetBytes($auth)
$authorizationInfo = [System.Convert]::ToBase64String($Encoded)
$header = @{"Client-Auth-Token"="$authorizationInfo"}

#Start connecting:
Write-Host "Connection to ConnectSecure v4 API:"
$ConnectURL=$BaseURL+"/w/authorize"
$Response=Invoke-WebRequest -Uri $ConnectURL -Method POST -Headers $header -ContentType 'application/json' 
$APIError=$Response.StatusCode
$APIStatus=$Response.StatusDescription
Write-host "Connection: $APIError $APIStatus"

$Content=$Response.content | Convertfrom-json
$Xuser=$Content.User_id
$AToken=$Content.access_token
$Header2=@{
  "X-USER-ID"="$Xuser"
  "Authorization"="bearer $AToken"
  }

Na de authenticatie kan je nu door met het uitlezen van de companies:

############################################################
# Lees alle Companies uit                                                             
############################################################
$companiesUrl = $BaseURL+"/r/company/companies?skip=0&limit=9999"
$companiesResponse = Invoke-WebRequest -Uri $companiesUrl -Headers $Header2 -Method Get -ContentType 'application/json'
$CompaniesData=$companiesResponse.Content | ConvertFrom-Json
$AllCompanies=$CompaniesData.data | Sort-Object -Property Name
$Totaal=$AllCompanies.count
Write-Host "Gevonden Companies: $Totaal"

Als je de $AllCompanies bekijkt, zie je alle organisaties vanuit ConnectSecure en kan je deze verder behandelen met ForEach loop.

Je kan natuurlijk ook alle Agents uitlezen:

############################################################
# Lees alle Agents uit                            
############################################################
$AgentUrl= "$BaseURL/r/company/agents?limit=99999"
$AgentData = Invoke-RestMethod -Uri $AgentUrl -Method Get -ContentType 'application/json' -Headers $Header2
$Agents=$AgentData.data 
$Totaal=$Agents.count
Write-Host "Gevonden Agents: $Totaal"

En natuurlijk ook alle Assets:

############################################################
# Lees Asset details uit                        
############################################################
$AssetURL = $BaseURL+"/r/asset/assets?skip=0&limit=9999" #Get All Asset Details!
$AssetsData = Invoke-RestMethod -Uri $AssetURL -Method Get -Headers $Header2 -ContentType 'application/json'
$Assets=$DataAssets.data
$Totaal=$Assets.count
Write-Host "Gevonden Assets: $Totaal"

Meer details kan je ophalen via Assets_view:

############################################################
# Lees Asset_View details uit                              #
############################################################
$URI = $BaseURL+"/r/asset/asset_view?skip=0&limit=9999" #Get All Asset Details!
$RawAssetsView = Invoke-RestMethod -Uri $URI -Method Get -Headers $Header2 -ContentType 'application/json'
$AllAssetsView=$RawAssetsView.data
$Totaal=$AllAssetsView.count
Write-Host "Gevonden AssetsView: $Totaal"

Als voorbeeld exporteer ik de data naar een Excel sheet in de C:\Temp directory, hiervoor moet je wel eerst de module ImportExcel laden in PowerShell ( Install-Module -Name ImportExcel )

############################################################
# Export naar XLS in C:\temp                               #
############################################################
$Filename= "ConnectSecure.xlsx"
$filepad = "C:\temp\" 
$File = $filepad + $filename
$filetest = New-Object -TypeName System.IO.FileInfo -ArgumentList $file
$ErrorActionPreference = "SilentlyContinue"
[System.IO.FileStream] $fs = $filetest.OpenWrite(); 
if (!$?) {
    Write-host "Error skipping XLSX!" -ForegroundColor Red
}else{
    $fs.Dispose()
    Write-host Creating XLSX -ForegroundColor Yellow
    remove-item -Path $File
    $Title = Get-Date -Format dd-MM-yyyy--HH:mm
    $AllCompanies | Select-object name, id, description | Sort-Object -Property Name |Export-Excel -Path $file -WorksheetName 'Companies' -AutoSize -AutoFilter -TableStyle Medium6 -Title $Title
    Write-host "Companies"
    Start-Sleep -Milliseconds 550
    #$AllAgents | Sort-Object -Property Partner, Name | Export-Excel -Path $file -WorksheetName 'Agents' -AutoSize -AutoFilter -TableStyle Medium6 -BoldTopRow
    $AllAgents | Select-object company_id,host_name,Agent_type, agent_version,last_ping_time,last_reported,last_scanned_time | Sort-Object -Property company_id,hostname | Export-Excel -Path $file -WorksheetName 'Agents' -AutoSize -AutoFilter -TableStyle Medium6 -BoldTopRow
    Write-host "Agents"
    Start-Sleep -Milliseconds 850
    $AllAssets| Select-object company_id,name,logged_in_user,last_ping_time, os_name, platform,ad_check,agent_id,agent_type,hardware_model,id,ip | Sort-Object company_id,name | Export-Excel -Path $file -WorksheetName 'Assets' -AutoSize -AutoFilter -TableStyle Medium6 -BoldTopRow
    Write-host "Assets"
    Start-Sleep -Milliseconds 850
    #$AllAssetsView| Select-object company_id,name,logged_in_user,last_ping_time, os_name, platform,ad_check,agent_id,agent_type,hardware_model,id,ip | Sort-Object company_id,name | Export-Excel -Path $file -WorksheetName 'Assets' -AutoSize -AutoFilter -TableStyle Medium6 -BoldTopRow
    $AllAssetsView | Select-object company_id,company_name,host_name,ad_check,agent_id,logged_in_user,id,agent_type,security_grade,max_risk_score,avg_risk_score,critical,high,medium,low,total_vul,cisa_vul,epss_vul,platform,hardware_model,updated |Sort-Object company_id,name | Export-Excel -Path $file -WorksheetName 'AssetsView' -AutoSize -AutoFilter -TableStyle Medium6 -BoldTopRow
    Write-host "AssetsView"
    Start-Sleep -Milliseconds 850
}

Mocht je meer vragen hebben over PowerShell met ConnectSecure v4 API, dan mag je me altijd een berichtje sturen via Teams: a.smit@smiletools.nl

De nieuwe Europese ‘cyber security’-richtlijn is niet mals: mkb, bereid je voor

Geschreven door admin op 29 september 2022. Gepost in Cybersecurity.

Ieder Europees bedrijf, groot of klein, dat ‘essentiële activiteiten’ uitvoert of zakendoet met een ‘essentieel’ bedrijf valt per 2023 onder nieuwe ‘cyber security’-richtlijnen. Een hoop Nederlandse mkb-bedrijven zullen volgend jaar ineens niet meer aan Europese wetgeving voldoen. Waar moet je straks allemaal aan voldoen? Hier lees je hoe het zit.

Cyberaanvallen richtten in 2021 wereldwijd voor bijna $7 miljard aan schade aan, zo rapporteerde de FBI in maart. Deze cijfers zijn alleen gebaseerd op daadwerkelijk gemelde gevallen van cybercriminaliteit: de daadwerkelijke schade valt nog hoger uit. Online aanvallen met soms desastreuse gevolgen hebben we ook in Nederland gezien, met onder meer de aanvallen op de Universiteit Maastricht en gemeente Hof van Twente.

Europese richtlijnen voor ‘cyber security’

Met de introductie van nieuwe Europese cyber security-richtlijnen, genaamd NIS2, wil de Europese Unie bedrijven daarom dwingen hun cybersecurity op orde te brengen. Het doel: voorkomen dat cyberaanvallen in de toekomst de gehele maatschappij of delen ervan kunnen ontwrichten. Dat die dreiging serieus is, zien we momenteel in onze eigen Europese achtertuin: Russische hackers blijken al sinds het begin van de invasie in Oekraïne druk bezig met cyberaanvallen op Westerse doelwitten.

NIS2 heeft impact op groot en klein

NIS2 is de opvolger van NIS (Network and Information Systems, of in het Nederlands: netwerk- en informatiebeveiliging, NIB), de huidige cyber security-richtlijn. Nog nooit van gehoord? Logisch, want de toepassing van NIS beperkt zich tot grote ondernemingen in vitale sectoren, zoals elektriciteitsbedrijven, drinkwatervoorzieningen en telecombedrijven. NIS2 gaat echter meer – véél meer – impact op het bedrijfsleven hebben dan zijn voorganger, want het gaat voor meer sectoren gelden. Oók voor het mkb en dus niet meer alleen voor grote ondernemingen. In de komende periode zal daarom elk Nederlands bedrijf een serieuze inschatting moeten maken of NIS2 van toepassing is en de nodige cyber security-maatregelen nemen. Het niet naleven betekent namelijk een risico op een forse boete.

Waarom NIS2 wél in boetes zal resulteren

De laatste impactvolle wijziging in Europese regelgeving waarbij omvangrijke boetes in het vooruitzicht werden gesteld betrof de inwerkingtreding van de AVG (GDPR). Daar valt het aantal daadwerkelijk opgelegde boetes echter alleszins mee: medio 2021 stond de teller na drie jaar GDPR op ruim 600 opgelegde boetes, waarvan slechts twaalf in Nederland. Wel neemt het aantal boetes elk jaar toe, alsof de autoriteiten een aanloopperiode nodig hadden.

Toch is het onverstandig om de komst van NIS2, met die AVG-cijfers in het achterhoofd, laconiek tegemoet te zien. In de eerste plaats omdat de Europese Commissie een ander sanctiebeleid voor ogen heeft ten aanzien van NIS2 vergeleken met de GDPR.

Handhaving van de GDPR gebeurt op basis van een ex post-sanctiebeleid, wat inhoudt dat er pas controles volgen bij een bedrijf of instelling als er serieuze aanleiding is om te verwachten dat er inderdaad een datalek wordt aangetroffen. NIS2 wordt straks gehandhaafd op basis van een ex ante-sanctiebeleid: een proactief beleid waarbij controles steekproefsgewijs worden uitgevoerd en niet noodzakelijkerwijs als reactie op een klacht of incident. Meer informatie over het sanctiebeleid lees je in dit juridisch-wetenschappelijke onderzoek naar de impact van NIS2 in opdracht van het Duitse ministerie van binnenlandse zaken.

NIS2-sancties zijn niet mals

In hetzelfde onderzoek (kopje ‘Supervision and Sanction’) concludeert men verder dat Europa geen grapjes maakt als het gaat om boetes: maximaal 2% van de wereldwijde omzet (met een maximum van €10 miljoen). Een bom geld, waarna het echte werk nog moet beginnen: onder enorme tijdsdruk alsnog gaan voldoen aan NIS2, want die verplichting koop je met het betalen van een boete niet af.

Welke autoriteit in Nederland verantwoordelijk wordt gemaakt voor handhaving van NIS2 is nog onbekend, maar het is inmiddels wel duidelijk dat het de EU menens is als het om cyber security gaat. Waar je rondom de AVG nog wegkomt met gewoon goed je best doen en je aan de meest basale regeltjes houden, zul je na de implementatie van NIS2 je cyber security eenvoudigweg echt op orde moeten hebben.

In mei accordeerde het Europese parlement de nieuwe NIS2-richtlijn en bepaalde het dat de grootte van een bedrijf niet uitmaakt bij de vraag of een bedrijf onder de wetgeving gaat vallen. Hoe bepaal je dan wel of jouw bedrijf straks onder NIS2 valt? Zoek de volgende drie zaken uit om te bepalen of jouw bedrijf valt onder NIS2.

1. Vallen je bedrijfsactiviteiten onder ‘essentiële activiteiten’?

Welke bedrijfsactiviteiten zijn ‘essentieel’? De Europese commissie verstaat daar in het kader van NIS2 iets anders onder dan ons eigen kabinet tijdens de Corona-lockdowns. Voor NIS2 valt de definitie ‘essentiële activiteiten’ uiteen in acht sleutelsectoren: de transportsector, gezondheidszorg, bankensector, financiële markten, digitale infrastructuur, drinkwatervoorziening, rioolwaterafvoer en energievoorziening. De grootte van de onderneming maakt niet meer uit. Dat betekent voor kleine koeriersdiensten, lokale softwarebedrijven, datacenters en logistieke partijen dat ze allemaal te maken zullen krijgen met NIS2.

De werkingssfeer van NIS2 is dus ingrijpend en zal veel bedrijven treffen die voorheen nooit met NIS te maken hadden, zo concludeert het Nederlands Genootschap van Bedrijfsjuristen.

2. Doe je zaken met toeleveranciers of ketenpartners met essentiële activiteiten?

NIS2 richt zich op de gehele toevoerketen. Dat is ook niet zo gek, want 97% van de cyber security-problemen die bedrijven in 2021 ondervonden, waren afkomstig van lekken bij andere bedrijven. Ook bedrijven die zelf geen activiteiten ontplooien die zijn gedefinieerd als essentieel, maar wel zaken doen met partijen die dat doen, vallen nu onder de nieuwe richtlijn.

Het wordt daarom voor ondernemingen van belang om in kaart te brengen of ketenpartners wellicht wel in het bakje ‘essentiële activiteiten’ vallen. Eenvoudig gezegd: lever je software aan partijen als KPN of PostNL? Doe je zaken met een logistieke partner die ook medische apparatuur verscheept? Lever je hardware aan een kleine energieleverancier? In al die gevallen moet je in de nabije toekomst compliant zijn met NIS2.

3. Worden die essentiële activiteiten ergens in de Europese Unie ontplooid?

NIS2 kijkt niet naar waar een bedrijf is gevestigd, maar naar waar het zijn activiteiten uitvoert. In juridisch vakjargon heet dat extraterritoriale werking. Ieder bedrijf dat ergens in de Europese Unie diensten aanbiedt en onder het kopje ‘essentiële activiteiten’ valt, zal zich dus naar de nieuwe richtlijn moeten schikken. Dat heeft tot gevolg dat als je zaken doet met een niet-Europese partij, je niet achterover kunt leunen, maar alsnog moet controleren of die partij wellicht wel in de Europese Unie essentiële activiteiten uitvoert.

NIS2 van toepassing? Dit moet je regelen

Bedrijven die hun cyber security al professioneel op orde hebben, hoeven onder NIS2 geen enorme koerswijziging door te voeren. Maar denk daarbij niet dat je klaar bent met de wel erg summiere adviezen die de Kamer van Koophandel Nederlandse bedrijven momenteel biedt. Kijk liever naar wat het Nederlands Cyber Security Centrum (NCSC) aan adviezen geeft in zijn Handreiking Cybersecuritymaatregelen. Daarin staan de volgende basismaatregelen rondom cyber security:

Installeer software-updates zodra ze worden aangeboden;
Zorg ervoor dat elke applicatie en elk systeem voldoende loginformatie genereert;
Pas multifactorauthenticatie (2FA) toe waar nodig;
Bepaal op basis van functies en rollen wie toegang heeft tot data en diensten, bijvoorbeeld door Role Based Access Control (RBAC) in te richten;
Segmenteer netwerken, zodat het totale bedrijfsnetwerk uit verschillende zones bestaat die niet zomaar gelijktijdig kunnen worden platgelegd;
Controleer welke apparaten en diensten bereikbaar zijn vanaf het internet en bescherm deze met een firewall, anti-malware en virusscanner;
Versleutel opslagmedia zoals USB-sticks, externe harde schijven en bedrijfstelefoons met gevoelige bedrijfsinformatie;
Maak regelmatig back-ups van systemen en test deze ook.

Het zijn exact dit soort veiligheidsmaatregelen die bij ondernemingen tot het standaard arsenaal moeten behoren zodra NIS2 eenmaal van kracht wordt. Onderzoek onder 6.000 bedrijven in Europa en Noord-Amerika door verzekeraar Hiscox heeft echter duidelijk gemaakt dat dat nog lang niet het geval is. Het is dan ook geen verrassing dat het NCSC al langer vindt dat veel bedrijven, ook in Nederland, nu eens serieus aan de slag moeten met cybersecurity.

Breng je ‘cyber security’ op orde en draag bij aan een veiligere maatschappij

NIS2 voert de druk richting bedrijven in heel Europa behoorlijk op om een echte cyber security-inhaalslag te maken. En natuurlijk zul je als bedrijf eenvoudigweg aan de richtlijn moeten voldoen om boetes te voorkomen. Maar die boetes moeten we uiteindelijk wel zien als een laatste dwangmiddel.

Cyber security is namelijk niet iets voor die ene IT’er of voor een kleine, tijdelijke taskforce: het is van doorlopend levensbelang voor bedrijfscontinuïteit. Na een datalek – dat je verplicht moet melden – of een gijzelsoftwareaanval duurt het immers lang voordat je imagoschade weer enigszins ongedaan gemaakt is, als je bedrijf er al bovenop komt (wat echt niet altijd lukt). En dan is er nog het maatschappelijk belang: NIS2 heeft niet voor niets impact op zoveel verschillende bedrijven en instanties. De digitale veiligheid van onze maatschappij hangt af van het cyber security-niveau van al die afzonderlijke bedrijven. De zwakste schakel bepaalt dan hoe sterk de ketting is.

Neem cyber security daarom serieus, verdiep je in de wetgeving die komen gaat en zorg dat je nu al de inhaalslag maakt die Europa met de introductie van NIS2 wil ontketenen. Dat is in alle gevallen verstandiger dan afwachten tot de wettelijke verplichtingen daadwerkelijk van kracht worden en je gedwongen wordt alles op orde te hebben.

Over de auteur: Martijn Kroese is Communicatiespecialist en oprichter van Kroese Tekst & Taal.

bron: https://www.emerce.nl/achtergrond/de-nieuwe-europese-cyber-security-richtlijn-is-niet-mals-mkb-bereid-je-voor

Cybersecurity-maatregelen

Geschreven door admin op 29 juli 2021. Gepost in Cybersecurity.

Stap voor stap naar een digitaal veilige organisatie.

Van: Nederland Digitaal Veilig

De 8 basismaatregelen op die volgens het NCSC noodzakelijk zijn om u te beschermen
tegen actuele digitale dreigingen:

Elk jaar vinden wereldwijd veel cybersecurityincidenten plaats bij organisaties. Bij deze aanvallen wordt bijvoorbeeld gebruikgemaakt van ransomware of phishing. Het Cybersecuritybeeld Nederland (CSBN) beschrijft en duidt een aantal incidenten die een relatie tot Nederland heeft.

Het CSBN 2021 concludeert dat uit incidenten blijkt dat de weerbaarheid onvoldoende op orde is en basismaatregelen veelal ontbreken. In deze handreiking vindt u maatregelen die elke organisatie zou moeten treffen en die helpen cyberaanvallen zoals het CSBN die beschrijft tegen te gaan. Ga na of uw cybersecuritybeleid deze maatregelen bevat. En gebruik deze handreiking als beginpunt voor gesprekken met uw leveranciers over hun digitale veiligheid.

Zorg dat elke applicatie en elk systeem voldoende loginformatie genereert. Logbestanden spelen een sleutelrol in het detecteren van aanvallen en het afhandelen van incidenten. Door te zorgen dat applicaties en systemen voldoende loginformatie genereren voorziet u uzelf van voldoende informatie.

Logboek monitoring
METEN=WETEN, elke dag opnieuw!

Advies van Nationaal Cyber Security Centrum van Ministerie van Justitie en Veiligheid

Handreiking Cybersecuritymaatregelen:

Bepaal welke logbestanden nodig zijn.
Denk hierbij aan systeemlogging, netwerklogging, applicatielogging en cloudlogging.
Stel waar nodig alerting (365Monitor) in. Denk bijvoorbeeld aan notificaties van verdachte inlogpogingen op basis van een analyse van logbestanden.
Zorg dat uw systemen logbestanden in een bruikbaar bestandsformaat opslaan, en dat de opgenomen tijdsinformatie nauwkeurig en in de juiste tijdzone gesteld is.
Maak een afweging over de bewaartermijn van logbestanden. Als u logbestanden lang bewaart, kunt u ook veel later bij incidenten achterhalen wat er is gebeurd. Aan de andere kant bevatten logbestanden mogelijk privacygevoelige informatie en nemen ze opslagruimte in beslag.
Beperk de toegang tot logbestanden en sla deze op in een apart netwerksegment. Incidentenonderzoek is nauwelijks mogelijk als aanvallers de logbestanden hebben kunnen aanpassen of verwijderen.

TIP: Maak een RSS feed aan in een Teams kanaal om op de hoogte te blijven van cybersecurityinformatie

Met de 365Monitor rapporteren wij bijzonderheden in de audit logs en security/alerts van uw Microsoft Office 365 omgeving, weer een puntje om af te vinken in uw cybersecurity controletaken!

Red-Alert day

Geschreven door admin op 26 juli 2021. Gepost in 365Monitor, Cybersecurity.

Red-Alert-Day in Office 365: Enorme aantallen hackpogingen in Office 365 gedetecteerd met de 365Monitor vandaag. Hou je IT’ers scherp en laat je als manager dagelijks/wekelijks rapporteren over jullie security risico’s.