Wat fabrikanten nu moeten weten over cyberbeveiliging - een interview met Pat Toth

Het aantal cyberaanvallen blijft stijgen en cybercriminelen worden steeds vastberadener. Bedrijven proberen te navigeren door verwarrende technische richtlijnen in een snel veranderend digitaal landschap. Kleine fabrikanten denken vaak niet dat hun bedrijf gevaar loopt. Immers, waarom zou iemand zich willen richten op een kleine, landelijke fabrikant als er grotere bedrijven zijn om zich op te richten?

Om te begrijpen wat er aan de hand is en om erachter te komen wat fabrikanten echt moeten weten over cyberbeveiliging, ging ik zitten met Pat Toth. Pat is een computerwetenschapper bij het NIST Manufacturing Extension Partnership, hij heeft meer dan 30 jaar ervaring op het gebied van cyberbeveiliging en heeft aan talloze NIST-documenten voor cyberbeveiliging gewerkt.

Vraag:lopen fabrikanten echt risico op cyberaanvallen in vergelijking met andere industrieën? Zo ja, waarom?

Pat: Volgens het Amerikaanse ministerie van Binnenlandse Veiligheid is de maakindustrie de op één na meest gerichte sector op basis van het aantal gerapporteerde cyberaanvallen.

Ik denk dat vooral kleine fabrikanten kwetsbaar zijn omdat ze worden gezien als gemakkelijke toegangspoorten tot grotere toeleveringsketens. Zie het op deze manier:als je een crimineel bent en van plan bent om in een gebouw in te breken en het te beroven, ga je dan proberen in te breken in een gebouw met bewakingsapparatuur, een alarmsysteem en bewakers, of heb je meer kans om een gebouw dat geen van deze beveiligingsfuncties heeft? Het is meestal het laatste, en daarom richten cybercriminelen zich specifiek op fabrikanten. Helaas hebben veel kleine bedrijven niet de juiste beveiligingsmaatregelen genomen omdat deze bedrijven denken dat ze geen doelwit zijn.

Cybercriminelen zijn mogelijk geïnteresseerd in uw intellectuele eigendom (IP) of willen mogelijk toegang krijgen tot informatie over met wie u werkt of met wie u in dienst bent. De datalek van Target in 2013 is een van de bekendste voorbeelden hiervan. Hun HVAC-systeemprovider was doelbewust het doelwit van cybercriminelen omdat de hackers wisten dat ze via deze HVAC-provider toegang konden krijgen tot de systemen van Target. Door het datalek werden de creditcardgegevens van miljoenen mensen gestolen.

Vraag:Wat kunnen deze SMM's doen, aangezien kleine en middelgrote fabrikanten (SMM's) vaak het hoofddoel zijn, maar ook vaak over beperkte middelen beschikken?

Pat: Het lijkt misschien ingewikkeld en waarschijnlijk een beetje overweldigend, maar er zijn dingen die SMM's kunnen doen die goedkoop tot gratis zijn en gemakkelijk te implementeren.

Waar het echt op neerkomt, is het invoeren van beleid en het opleiden van medewerkers. Verschillende onderzoeken hebben aangetoond dat werknemers een van de meest kwetsbare punten zijn in de beveiliging van elk bedrijf. De meeste medewerkers zijn zich gewoonweg niet bewust van waar ze op moeten letten en hoe ze een potentieel of daadwerkelijk cyberincident kunnen identificeren totdat het te laat is. Bedrijven moeten regelmatig communiceren om werknemers inzicht te geven in de tactieken van cybercriminelen en de cruciale rol die zij spelen bij het voorkomen van cyberincidenten.

Uw bedrijf moet bijvoorbeeld een beleid hebben voor het gebruik van sociale media op de werkplek. Sommige werknemers verwachten tijdens de werkdag toegang tot sociale media. Er is een evenwichtsoefening waarmee bedrijven worden geconfronteerd:werknemers toegang geven tot sociale media en hun systemen beschermen. Dus hoe ga je dat doen? Je stelt een beleid op. Het beleid kan zijn dat u het gebruik van sociale media op bedrijfssystemen niet toestaat. Misschien biedt u een apart, semi-openbaar netwerk voor mensen om de hele dag toegang te krijgen tot sociale media, dat uw bedrijf niet blootstelt aan risico's. Wat uw beleid ook is, zorg ervoor dat uw medewerkers hiervan op de hoogte zijn, begrijpen waarom het bestaat en wat de mogelijke gevolgen zijn als het beleid wordt geschonden.

Vraag:Het is goed om te horen dat er geen en goedkope oplossingen zijn die fabrikanten kunnen implementeren. Als een bedrijf klaar is om zijn cyberbeveiliging te verbeteren, waar moeten ze dan beginnen?

Pat: Begin met te kijken naar het NIST Cybersecurity Framework en NISTIR 7621 Small Business Information Security:The Fundamentals. Het Cybersecurity Framework bestaat uit standaarden, richtlijnen en best practices om cybersecuritygerelateerde risico’s te beheersen. Het biedt een geprioriteerde, flexibele en kosteneffectieve benadering voor het beschermen van systemen. Informatiebeveiliging voor kleine bedrijven:The Fundamentals is gebaseerd op het Cybersecurity Framework en biedt een beter beheersbaar overzicht voor besluitvormers van bedrijven die mogelijk geen technische achtergrond hebben. Het richt zich ook op het beoordelen en prioriteren van beveiligingsfuncties.

Om u op weg te helpen, volgt hier een korte samenvatting van wat u in het Framework vindt.

De eerste stap is Identificeren . Identificeer de meest waardevolle informatie voor uw bedrijf. Dit is de informatie die, indien verloren of gewijzigd, uw activiteiten tot stilstand zou brengen. Laten we bijvoorbeeld zeggen dat u een voedselfabrikant bent en chocoladekoekjes maakt volgens het recept van uw grootmoeder. Dat recept is van vitaal belang voor uw bedrijf en moet worden beschermd tegen diefstal of wijziging, zodat uw bedrijf kan doorgaan.

De tweede stap is Beschermen . U hebt met managers en personeel gesproken en deze feedback gebruikt om de belangrijkste informatie voor uw bedrijf te identificeren. Nu is het tijd om te beslissen wat er moet gebeuren om die informatie goed te beschermen. Deze stap is grotendeels afhankelijk van de bedreigingen en kwetsbaarheden die specifiek zijn voor uw bedrijf. Kleine bedrijven die gewoon met klanten werken via persoonlijke interactie of via de telefoon, hebben niet zoveel te beschermen als bedrijven die zaken doen via e-mail en webportals. Het hangt echt af van uw bedrijfsomgeving welke bescherming u moet installeren.

De derde stap is Detecteren . Je moet kunnen detecteren wanneer er een cyberincident heeft plaatsgevonden. U moet beschikken over up-to-date antispyware-, antivirus- en inbraakdetectiesystemen. Je moet ook rekening houden met je fysieke ruimte. Denk aan zaken als of u gewaarschuwd moet worden wanneer mensen toegang krijgen tot gebieden waar ze dat niet zouden moeten doen. Of een incident nu digitaal of fysiek is, het is belangrijk om te weten wanneer het incident heeft plaatsgevonden en waartoe de persoon (personen) toegang heeft gekregen.

De vierde stap is Reageren . Wanneer zich een cyberincident voordoet, moet uw bedrijf snel reageren om mogelijke schade te beperken. Je moet een plan hebben voordat er iets gebeurt. In het plan moet worden opgenomen wie verantwoordelijk is en met wie contact moet worden opgenomen als er iets gebeurt. Ook moeten werknemers weten hoe ze toegang kunnen krijgen tot het plan tijdens en na kantooruren.

Weet je nog dat we op de lagere school een paar keer per jaar brandoefeningen deden? Net als bij die brandoefeningen moet uw bedrijf regelmatig oefenen met het reageren op cyberincidenten, zodat medewerkers precies weten wat ze moeten doen als zich een cyberincident voordoet.

De vijfde en laatste stap is Herstellen . U moet regelmatig back-ups maken, zodat u uw systemen kunt herstellen. Deze back-ups dienen op een aparte locatie of in de Cloud te worden bewaard. U moet uw back-ups testen. Als u uw back-upgegevens niet test, weet u niet zeker of u volledig kunt herstellen van een gebeurtenis. Hoe vaak u besluit uw back-ups te testen, moet gebaseerd zijn op hoe belangrijk de informatie is voor de bedrijfsactiviteiten.

Dit is geen "one size fits all"-situatie en u moet beslissen wat werkt voor uw bedrijf en zijn cultuur. Voor één bedrijf kan één keer per jaar testen voldoende zijn. Voor een ander bedrijf moet het mogelijk een keer per week worden getest. Het is geen gemakkelijk antwoord om te horen, maar je moet echt naar je systemen kijken om te zien waar je kwetsbaar bent, weten met welke bedreigingen je wordt geconfronteerd en hoe je ze gaat tegengaan.

Vraag:laten we zeggen dat mijn bedrijf de juiste veiligheidsmaatregelen heeft getroffen en dat we een reactieplan hebben opgesteld:wat komt er daarna?

Pat: Dit is geen "eenmalige" activiteit. Je kunt geen reactieplan schrijven en op een plank leggen. Dit moet een levend document zijn. Iedereen moet weten wat uw cyberbeveiligingshouding is en hoe u deze kunt blijven verbeteren.

Elke keer dat u een nieuw apparaat koopt of een nieuwe werknemer in dienst neemt, moet u nadenken over de invloed van deze activiteiten op uw beveiliging. Voor kleinere bedrijven kan dit lastig zijn. Ik zie maar al te vaak gevallen waarin een bedrijf snel is gegroeid en vergeet dat niet iedereen toegang tot alle informatie nodig heeft. Het kan even duren, maar het management moet een lijst met werknemers doornemen en zien waar ze wel en niet toegang toe moeten hebben. Iemand op de werkvloer heeft geen toegang tot salarisgegevens nodig. Het definiëren van rollen en het implementeren van de scheiding van die rollen kan moeilijk zijn, maar is noodzakelijk als je je bedrijf wilt beschermen tegen cyberdreigingen.

Ik denk dat cybersecurity en kwaliteit veel overeenkomsten hebben op het gebied van adoptie. Veel bedrijven waren traag met het invoeren van kwaliteitssystemen zoals ISO 9000. Een belangrijk onderdeel van kwaliteit is de mentaliteit in een bedrijf. Cyberbeveiliging is niet alleen gedelegeerd aan de IT-persoon of persoon die verantwoordelijk is voor cyber - elke medewerker op elk niveau van het bedrijf heeft een vorm van verantwoordelijkheid. Cybersecurity moet – net als kwaliteit – onderdeel zijn van de cultuur van een bedrijf om effectief te zijn.

Vragen:Waar kan ik informatie vinden om mijn werknemers voor te lichten over wat ze kunnen doen om het cyberrisico van het bedrijf te verminderen?

Pat: Ga naar de NIST MEP Cybersecurity Resource-webpagina. Op deze pagina vindt u een aantal bronnen, waaronder een eenvoudige zelfbeoordelingstool die u kunt gebruiken (op basis van NIST's Cybersecurity Framework) om het cyberrisiconiveau van uw bedrijf zelf te evalueren. De zelfbeoordeling kan u helpen te bepalen waar de zwakke punten van uw bedrijf liggen en waar u middelen kunt inzetten om deze te verbeteren. We volgen uw informatie niet en bewaren de resultaten niet. Na het maken van de beoordeling ontvangt u een score zodat u weet waar uw zwakke punten zitten met betrekking tot uw cybersecurity-inspanningen. U kunt ook contact opnemen met een van de 51 MEP-centra, gevestigd in alle 50 staten en Puerto Rico, die deel uitmaken van het MEP National Network ^TM voor vragen of hulp.