NIS2 is hier, wat nu? Dit betekent het voor jouw bedrijf
Geplaatst op: 4 mei 2023
Sinds januari 2023 zijn er nieuwe Europese richtlijnen voor cybersecurity van kracht, de Network and Information Security 2 (NIS2). Deze richtlijnen zijn van toepassing op een breed scala aan sectoren, waaronder ook het Nederlandse bedrijfsleven. Het is van groot belang dat bedrijven en organisaties zich aan deze richtlijnen houden. In deze blog lees je daarom wat de NIS2 precies inhoudt, welke sectoren onder de richtlijnen vallen en hoe organisaties zich moeten voorbereiden op de NIS2.
Wat is NIS2?
De NIS2 wetgeving is een uitbreiding van de NIS-wetgeving en heeft als doel een hoger niveau van beveiliging van netwerk- en informatiesystemen binnen de Europese Unie te waarborgen. Dit wordt bereikt door de lidstaten te verplichten om passende beveiligingsmaatregelen vast te stellen en toe te passen. Het doel? De risico’s van cyberaanvallen verkleinen en de gevolgen daarvan beperken. De NIS2 richt zich op bedrijven en organisaties die actief zijn in vitale sectoren, zoals energie, transport, gezondheidszorg en financiële dienstverlening, maar ook op andere sectoren die van cruciaal belang zijn voor het blijven draaien van onze economie en maatschappij.
Waarom is NIS2 compliance belangrijk?
Bedrijven en organisaties die onder de NIS2 vallen hebben de komende periode een belangrijke taak: NIS2 compliant zijn. Het niet naleven van de NIS2 leidt namelijk tot hoge boetes die kunnen oplopen tot wel 2% van de jaaromzet. Maar nog belangrijker is dat NIS2 compliance noodzakelijk is om de digitale veiligheid te waarborgen en cyberaanvallen te voorkomen. Met de NIS2 richtlijnen worden bedrijven en organisaties verplicht gesteld om hun digitale veiligheid naar een hoger niveau te tillen en zich aan te passen aan de toenemende dreigingen van cybercriminaliteit.
Wat als je niet tot de genoemde sectoren behoort?
Hoewel de NIS2 richtlijnen zich voornamelijk richten op bedrijven en organisaties die actief zijn in vitale sectoren, is het goed om te beseffen dat deze richtlijnen ook van invloed kunnen zijn op bedrijven die niet onder deze sectoren vallen. Bedrijven die leveren aan bedrijven die wel onder deze sectoren vallen, kunnen bijvoorbeeld ook gevraagd worden om te voldoen aan de NIS2 richtlijnen om te kunnen blijven leveren. Het is dus belangrijk voor bedrijven om te kijken naar de impact van de NIS2 richtlijnen op hun klanten en leveranciers en op tijd maatregelen te nemen om aan deze eisen te voldoen.
Hoe kun je je als bedrijf of organisatie voorbereiden op NIS2?
Als bedrijf of organisatie kun je je voorbereiden op de NIS2 door eerst te bepalen of de richtlijnen van toepassing zijn op jouw bedrijf of die van jouw klanten of partners. Op onze website plaatsten wij al eerder een blog met informatie over deze richtlijnen. Vervolgens is het belangrijk om te inventariseren welke maatregelen er nodig zijn om NIS2 compliant te worden. Hierbij kun je denken aan het in kaart brengen van security risico’s, het beperken van deze risico’s en het beperken van de gevolgen van cyberincidenten.
Nog niet NIS2 compliant? Dit zijn de gevolgen
Op dit moment is het nog niet duidelijk hoeveel Nederlandse bedrijven al volledig voldoen aan de NIS2 richtlijnen. Wél is bekend dat bedrijven die onder de verplichte sectoren vallen, NIS2 compliant móeten zijn. Dit geldt niet alleen voor grote bedrijven, maar ook voor kleine en middelgrote ondernemingen. Het is belangrijk om te realiseren dat de NIS2 richtlijnen niet vrijblijvend zijn en dat er hoge boetes staan op het niet naleven ervan. Bedrijven die de NIS2 richtlijnen niet naleven, kunnen een flinke boete verwachten.
Naast de financiële gevolgen kan het ook leiden tot reputatieschade als er door het niet naleven van de NIS2 richtlijnen een cyberaanval plaatsvindt. Het is dus niet alleen belangrijk om NIS2 compliant te zijn om boetes te voorkomen, maar ook om de digitale veiligheid te waarborgen en het vertrouwen van klanten en partners te behouden.
Zo word je NIS2 compliant
Hoewel de NIS2 al in januari is ingegaan hebben organisaties en bedrijven nog even de tijd om zich voor te bereiden op de NIS2. Volgens de planning van het Nationaal Cyber Security Centrum (NCSC) treedt de NIS2 wetgeving in 2024 pas écht in werking. In de tussentijd kunnen organisaties gebruik maken van verschillende hulpmiddelen zoals bijvoorbeeld het stappenplan voor riscoanalyse van het Digital Trust Centre. Daarnaast is het verstandig om een NIS2 compliance officer aan te stellen die verantwoordelijk is voor de implementatie en naleving van de NIS2 richtlijnen binnen het bedrijf. De NIS2 heeft namelijk grote gevolgen voor bedrijven en organisaties in Europa, waaronder ook het Nederlandse bedrijfsleven.
De meest eenvoudige oplossing voor NIS2
Wil je eenvoud én zekerheid? Kies dan voor de hulp van OpenSight. Met behulp van Cyberday gaan onze experts aan de slag met jouw cybersecurity. Cyberday biedt transparantie voor jou als bedrijf, expertise voor cybersecurity oplossingen en benodigde documentatie en logging om te voldoen aan cybersecurity standaarden zoals NIS2. En dat ook nog eens met hulp, advies en toeziend oog van cybersecurity experts van OpenSight.
Neem gerust contact met ons op voor een adviesgesprek. Wij kijken graag met je mee.
Of download de NIS2 brochure hieronder.
Is de NIS2 op jouw bedrijf van toepassing? Dit moet je regelen
Geplaatst op: 1 maart 2023
Vanaf januari ’23 moeten alle bedrijven en organisaties binnen Europa zich houden aan de nieuwe NIS2 richtlijnen. Een groot verschil met eerdere wetgeving is dat er in de NIS2 ook sancties zitten en het bestuur verantwoordelijk gehouden kan worden indien er onvoldoende is gedaan op het gebied van Cyber Security. Doordat de richtlijnen van de NIS2 voor aanzienlijk meer sectoren en branches gelden, is het belangrijk dat MKB-Nederland de zaken op orde krijgt. Hier lees je waar je als bedrijf allemaal aan moet voldoen en wat de NIS2 precies inhoudt.
Wat is NIS?
NIS is een afkorting voor Network and Information Security en is de eerste wetgeving in Europa op het gebied van cybersecurity. Sinds 2016 is de NIS ook in Nederland van kracht en deze is omgezet in Nederland in de Wet Beveiliging netwerk- en informatiesystem (WBNI). Deze richtlijn motiveert bedrijven en organisaties om hun digitale veiligheid op orde te brengen en aan te scherpen. Met de forse toename in cyberaanvallen heeft de Europese Commissie in 2020 een nieuwe EU-beveiligingsstrategie gepresenteerd: de NIS2.
Waar de NIS zich beperkt tot slechts de grote ondernemingen in vitale sectoren, zoals drinkwatervoorziening en telecom, gaat de NIS2 een stap verder. De NIS2 zal een grotere impact hebben op het Nederlandse bedrijfsleven, zonder twijfel. De volwassen variant van de NIS richt zich op drie pijlers van beveiliging:
- Het in kaart brengen van security risico’s;
- Bescherming en detectie om risico’s te beperken;
- Beperken van de gevolgen van cyberincidenten.
Met de NIS komen veel bedrijven nog weg met het naleven van de AVG en andere ‘basisregels’. Maar nu de richtlijnen van de NIS2 van kracht zijn, moeten veel bedrijven echt alle zeilen bijzetten wat betreft cybersecurity.
Vanaf januari ’23 moeten alle bedrijven en organisaties binnen Europa zich houden aan de nieuwe NIS2 richtlijnen. Een groot verschil met eerdere wetgeving is dat er in de NIS2 ook sancties zitten en het bestuur verantwoordelijk gehouden kan worden indien er onvoldoende is gedaan op het gebied van Cyber Security. Doordat de richtlijnen van de NIS2 voor aanzienlijk meer sectoren en branches gelden, is het belangrijk dat MKB-Nederland de zaken op orde krijgt. Hier lees je waar je als bedrijf allemaal aan moet voldoen en wat de NIS2 precies inhoudt.
Wil je meer weten over hoe je dit kunt aanpakken, of ben je benieuwd hoe compliant jouw organisatie op dit moment is? Onze experts staan klaar om je vragen te beantwoorden.
Of download de NIS2 brochure.
Risico gestuurde informatie beveiliging
Geplaatst op: 23 februari 2023
Kies voor een op risico’s gebaseerde benadering op informatiebeveiliging.
Risico’s nemen is een natuurlijk onderdeel van zakendoen. Risicobeheer vormt de basis voor beslissingen en creëert een gezonde balans tussen bedreigingen en kansen. Beide zijn nodig om de organisatiedoelstellingen zo goed mogelijk te realiseren. Risicobeheer in het cyberbeveiligingsdomein zorgt ervoor dat de technologie, systemen en informatie in een organisatie op de meest geschikte manier worden beschermd en afgestemd op de zaken die belangrijk zijn voor jouw organisatie. Een goede aanpak van risicobeheer wordt in de hele organisatie ingebed en vormt een aanvulling op de manier waarop je andere bedrijfsrisico’s beheert.
Risicobeheer in security
Elke organisatie heeft te maken met risico’s. De meeste mensen zijn zich dan ook bewust van het feit dat je nooit alle risico’s kan wegnemen. Het draait dus allemaal om de juiste balans. Risicomanagement is hét proces dat helpt beslissingen te nemen met de juiste balans tussen bedreigingen en kansen om de organisatiedoelstellingen zo goed mogelijk te realiseren. Risicobeheer in het security domein helpt daarbij ervoor te zorgen dat informatie (en alle betrokken systemen en technologie) in een organisatie wordt beschermd en dat de beperkte middelen worden ingezet op plaatsten waar dit de grootste impact zal hebben. Door middel van risicomanagement maak je betere beslissingen, maar hiervoor moet het wel in de organisatie zijn ingebed.
Kies voor een op risico’s gebaseerde benadering op informatiebeveiliging.
Risico’s nemen is een natuurlijk onderdeel van zakendoen. Risicobeheer vormt de basis voor beslissingen en creëert een gezonde balans tussen bedreigingen en kansen. Beide zijn nodig om de organisatiedoelstellingen zo goed mogelijk te realiseren. Risicobeheer in het cyberbeveiligingsdomein zorgt ervoor dat de technologie, systemen en informatie in een organisatie op de meest geschikte manier worden beschermd en afgestemd op de zaken die belangrijk zijn voor jouw organisatie. Een goede aanpak van risicobeheer wordt in de hele organisatie ingebed en vormt een aanvulling op de manier waarop je andere bedrijfsrisico’s beheert.
Risicobeheer in security
Elke organisatie heeft te maken met risico’s. De meeste mensen zijn zich dan ook bewust van het feit dat je nooit alle risico’s kan wegnemen. Het draait dus allemaal om de juiste balans. Risicomanagement is hét proces dat helpt beslissingen te nemen met de juiste balans tussen bedreigingen en kansen om de organisatiedoelstellingen zo goed mogelijk te realiseren. Risicobeheer in het security domein helpt daarbij ervoor te zorgen dat informatie (en alle betrokken systemen en technologie) in een organisatie wordt beschermd en dat de beperkte middelen worden ingezet op plaatsten waar dit de grootste impact zal hebben. Door middel van risicomanagement maak je betere beslissingen, maar hiervoor moet het wel in de organisatie zijn ingebed.
Wat zijn de voordelen van risicobeheer?
Goed risicobeheer gaat over:
- De juiste informatie om de besluitvorming te verbeteren;
- het helpen delegeren van besluitvorming binnen de organisatie met behoud van het juiste overzicht op bestuursniveau;
- het bieden van een basis om zich aan te passen en effectief te reageren op nieuwe bedreigingen en kansen wanneer deze zich voordoen;
- of je nu nieuw bent op het gebied van cyberrisicomanagement of de effectiviteit van bestaande benaderingen probeert te beoordelen, het verschaffen van een nauwkeurig inzicht door middel van richtlijnen. Zo krijgt u een beter beeld van hoe een goede aanpak van risicomanagement eruitziet in de context van uw organisatie.
Wat zou je moeten doen?
Denk na over de bredere context waarin je cyberrisico’s wilt beheersen
Denk na over wat jouw organisatie doet en waar het om geeft: wat zijn de zakelijke prioriteiten en doelstellingen? Dit lijkt misschien een vreemd uitgangspunt voor cyberbeveiliging, maar het vormt de basis voor cyberrisicobeheer. Cyberrisicomanagement staat namelijk niet los van wat een organisatie wil bereiken, maar moet juist de organisatiedoelstellingen ondersteunen. Denk na over de risico’s die jullie bereid zijn te nemen om de organisatiedoelstellingen te bereiken. Op basis van deze risico’s kun je beslissingen nemen over de stappen die je moet nemen om het cyberbeveiligingsrisico te beheersen.
Overweeg welke bestuursstructuren er zijn om bedrijfsrisico’s te beheersen
Hoe past het managen van en communiceren over cyberrisico’s binnen die structuren? Effectief bestuur is belangrijk voor goed cyberbeveiligingsrisicobeheer. De reden hiervoor? De acties die een organisatie onderneemt om de cyberbeveiligingsrisico’s in te perken worden hiermee gecontroleerd en gestuurd. De aanpak en het beheer cyberbeveiliging gerelateerde risico’s moeten op een manier die voor jouw organisatie werkt worden beheerd.
Zorg dat de organisatie beschikt over een adequaat beleid
Een adequaat beleid dat is goedgekeurd door en eigendom is van de raad van bestuur – waarin de risicobeheerstrategie voor de organisatie als geheel wordt uiteengezet – is een must. Zorg ervoor dat het bestuur gezamenlijk over voldoende kennis beschikt wat betreft cyberbeveiliging. Zo weet je zeker dat het bestuur begrijpt hoe cyberbeveiliging de algemene organisatiedoelstellingen ondersteunt. Voorzie het bestuur daarom van voldoende informatie, in een formaat dat behapbaar is bij besluitvoering.
Begrijp waar cyberrisicobeheer moet worden toegepast
Denk na over het scala aan technologie, systemen, diensten en informatie die jouw organisatie gebruikt. Het is belangrijk dat er verschillende informatiebronnen worden gebruikt die helpen de reikwijdte te identificeren. Voor bestaande systemen kun je bijvoorbeeld assetregisters en systeemdiagrammen gebruiken. Voor systemen in ontwikkeling kun je beginnen met ontwerpen op hoog niveau. Door te praten met degenen die de systemen of services gebruiken, beheren of erdoor worden beïnvloed, krijg je een beter beeld van wat er moet worden beschermd en waarom. Vergeet niet om elementen op te nemen die mogelijk buiten jouw directe controle liggen, maar die nog steeds deel uitmaken van de bredere risicozorgen – denk aan de toeleveringsketen, gebruik van services van derden en cloudservices.
Denk na over hoe medewerkers omgaan met technologie, systemen en diensten
Ook hoe medewerkers omgaan met de verschillende systemen, netwerken en diensten binnen de organisatie is iets om over na te denken. Hoe worden medewerkers ondersteund om dit op een veilige en bruikbare manier te doen? Als je dit meeneemt in het risicobeheer, worden de cyberbeveiligingsrisico’s van de organisatie verder ingeperkt. Systemen omvatten mensen, processen en technologie: de manier waarop cyberrisicobeheer wordt ingezet moet rekening houden met deze verschillende elementen en hoe ze met elkaar omgaan.
Kies een aanpak voor cyberbeveiligingsrisicobeheer die past bij de organisatie
Bedenk welke benadering van cyberbeveiligingsrisicobeheer, of een mix van benaderingen, geschikt is voor jouw organisatie. Er zijn talloze tools, methoden, kaders en normen om uit te kiezen. Dit is afhankelijk van de normen of voorschriften die binnen de organisatie worden gevoerd, kosten en/of niveau van kennis. Het allerbelangrijkste? Ga voor een aanpak die geschikt is voor jouw organisatie en die goede risico-informatie over de systemen en services onthult. Het is overigens niet altijd nodig om een gedetailleerde risicobeoordeling uit te voeren. Een baseline zoals Cyber Essentials gebruiken om informatie te verstrekken over de basiscontroles die nodig zijn, is vaak al voldoende om te beschermen tegen de meeste cyberrisico’s.
Wil je meer weten over het juist implementeren van risicobeheer? Een van onze experts helpt je graag op weg!
Welke verschillende soorten hackers heb je?
Geplaatst op: 7 februari 2023
Er zijn op het internet verschillende soorten definities van een hacker te vinden. De meest globale definitie van een hacker is het volgende: iemand die inbreekt op een computer. Natuurlijk zijn er verschillende gradaties in het hacken en zit er ook nog een verschil in wat voor soort hackers er zijn. Zo heb je hackers die geen kwaad in de zin hebben, maar wel onder de definitie van een hacker vallen. In dit blog vertellen we meer over welke verschillende soorten hackers er zijn.
De verschillende soorten hackers en hun kenmerken
In de al eerdere blogs op onze website kon je meer lezen over de verschillende vormen van hacking en hoe je jezelf kan beschermen tegen deze cyberaanvallen. Maar iedere hacker gaat verschillend te werk. Hieronder een overzicht van de verschillende soorten hackers die er zijn én hoe ze te werk gaan:
Black Hat Hackers
Als eerste op deze lijst zijn de black hat hackers. Dit zijn hackers die systemen en netwerken hacken met als doel om persoonlijke gegevens te stelen, schade aan te richten of om andere illegale doeleinden uit te voeren. De term ‘black hat’ verwijst naar het feit dat dit soort hackers vaak buiten de wet opereren en zich dus niet houden aan de morele codes die gelden voor legale hacking-activiteiten. Black hat hackers gebruiken meestal malware om computers te infecteren of om gebruikers te phishen. Een andere aanpak die deze hackers vaak gebruiken is het hacken van websites om persoonlijke of kwetsbare informatie te stelen. Het hoefdoel van deze black hat hackers? Winst. Deze hackers verkopen de gevoelige informatie van anderen op het dark web.
White Hat Hackers
Vergeleken met black hat hackers zijn white hat hackers een stuk ‘vriendelijker’. Deze hackers, ook wel “ethische hackers”, zijn hackers die systemen en netwerken hacken met het doel om beveiligingsproblemen op te sporen en op te lossen. De term ‘white hat’ verwijst naar het feit dat deze hackers juist bínnen de wet opereren en zich houden aan de morele codes die gelden. Zo worden white hat hackers vaak ingeschakeld om bedrijven te helpen bij het testen van de beveiliging of werken ze samen met de overheid om beveiligingsproblemen op te sporen. Deze hackers zijn professionele beveiligingsexperts die zich bezighouden met het testen van systemen om te zien of ze kwetsbaar zijn voor aanvallen. De activiteiten van white hat hackers zijn gericht op het verbeteren van de beveiliging en het voorkomen van cybercrime, in plaats van op het maken van winst of het schaden van systemen.
Blue Hat Hackers
Blue Hat Hackers lijken een beetje op white hat hackers. Dit zijn hackers die door een bedrijf of organisatie worden ingehuurd om een beveiligingsbeoordeling uit te voeren van hun computersystemen, netwerken en websites. Het doel? Zwaktes en kwetsbaarheden in het systeem identificeren en oplossen. Zodat bedrijven beter bestand zijn tegen aanvallen van kwaadwillende hackers. Een Blue Hat Hacker is over het algemeen een ethische hacker. Daarmee bedoelen we dat zij hun vaardigheden en expertise inzetten om de beveiliging te verbeteren in plaats van schade toe te brengen of informatie te stelen.
Green Hat Hackers
Green Hat hackers zijn de groentjes van het stel. Dit zijn de hackers die net beginnen en leren over hacking en computerbeveiliging. Ze focussen zich meer op het verwerven van kennis en ontwikkelen van hun vaardigheden dan dat zij zich bezighouden met cybercriminaliteit. Green Hat Hackers worden gezien als de groep die net tussen white hat hackers en black hat hackers inzit. De term “green hat” wordt daarom gebruikt om hen te onderscheiden van de meer ervaren black hat en white hat hackers.
Script Kiddies
Als laatste op de lijst van populaire hackers, hebben we de script kiddies. Script kiddies zijn een soort hackers die gebruikmaken van al bestaande tools en scripts, vaak zonder volledig begrip van hoe ze werken, om computersystemen en netwerken aan te vallen. Ze worden “script kiddies” genoemd omdat ze afhankelijk zijn van scripts en tools die door anderen zijn geschreven. Dat is dan ook precies de reden waarom ze niet echt serieus worden genomen als hackers, of in ieder geval, de mate waarin ze een bedreiging vormen. Vaak zie je dat studenten en scholieren onder deze groep hackers vallen.
Beveilig je data
Er zijn talloze manieren om gehackt te worden. Daarom is het belangrijk jouw accounts, systemen en netwerk goed te beveiligen tegen de verschillende vormen van hacking. Zoals je in dit artikel hebt kunnen lezen zijn er ook ethische hackers en beveiligingsexperts die je kunt inschakelen om de beveiliging van jouw bedrijf te testen.
Mocht je meer willen weten over hackers, soorten hacking of hulp nodig hebben bij de beveiliging van jouw bedrijf, neem dan contact op met een van onze experts.
Hoe zorg je ervoor dat je Cyber Security de juiste aandacht krijgt?
Geplaatst op: 12 januari 2023
Elke organisatie zou moeten investeren in cyberbeveiliging, het is de taak van de CISO om een overtuigende businesscase te presenteren. Een case die inzicht geeft in waarom een investering nodig, maar zeker ook nuttig is. Door uit te gaan van een “security first” perspectief, wordt compliance vaak automatisch gedekt. Om deze business case goed in te vullen en CISO’s een handje op weg te helpen, hebben we de volgende stappen uiteengezet:
1. Voer een volledige audit uit
Allereerst is het belangrijk om een volledige audit uit te voeren van de huidige beveiligingsmaatregelen, het beleid en eventuele hiaten (gaps) of gebieden waar verbetering noodzakelijk is. Kijk naar waar er vertrouwelijke en gevoelige gegevens zijn opgeslagen en wie hier toegang tot heeft. Niet alle gegevens hebben dezelfde impact of risiconiveau. Daarom is het verstandig dit goed te onderzoeken zodat je de beschikbare budgetten zo efficiënt mogelijk kan inzetten. Bedreigingen van binnenuit komen vaak voor en de risico’s van mogelijke datalekken die hierdoor worden veroorzaakt door kwaadwillende of zelfs onvoorzichtige medewerkers, worden daarom regelmatig onderschat. Dit proces is tijdrovend, maar noodzakelijk om een volledig beeld te krijgen van beveiligingsmaatregelen die al bestaan.
2. Verwachtingen moeten vanaf het begin worden gesteld
Cybersecurity is geen dienst of product; het is daarom verstandig om te laten zien hoe het beschermen van een organisatie tegen verliezen de enige manier is om financieel voordeel te behalen. Probeer door middel van cijfers met de board te communiceren. Bijvoorbeeld, door aan te tonen dat een investering van €1,- een incident zou stoppen dat het bedrijf mogelijk €10,- zou kosten. Door een business case te creëren die zowel de Return On Investment (ROI) én securitymaatregelen die de kans of impact kunnen verlagen belicht, krijg je het bestuur sneller aan jouw kant.
3. Kies de juiste investeringsgebieden
Om ervoor te zorgen dat de directie haar beslissing om te investeren in beveiliging kan verdedigen, moet je eerst gegevens verstrekken die gericht zijn op alle dreigingen die zijn vastgesteld in stap 1. Dreigingen zoals ontoereikende security, bewustzijn en training van werknemers, processen en beleid die niet adequaat worden toegepast en vastgelegd of een gebrek aan back-up en patch. Door een helder inzicht te verschaffen in de kosten en baten van investeringen, kan de effectiviteit van de benodigde investeringen makkelijker worden verdedigd.
4. Presenteer een sterke businesscase aan de directie
Nadat je een robuuste en overtuigende businesscase voor de organisatie hebt gemaakt, moet je het voorstel delen met het bestuur. Wanneer je dit presenteert, houd dan rekening met eventuele vragen die gesteld kunnen worden, niveau van kennis betreft cybersecurity en waar de focus met name ligt. Zorg ervoor dat je een stevig verhaal hebt bij alle investeringen zodat de directie een goed overwogen besluit kan nemen.
5. Cyberveiligheid, ook op de lange termijn
Bij het indienen van een sterke businesscase voor security buy-in is het belangrijk om het plan af te stemmen op de risico’s, behoeften en compliance-eisen van de organisatie. Elke organisatie wil op de lange termijn veilig zijn, maar door compliance-eisen blijven ze vaak gefocust op de korte termijn. In ons opzicht is dat een grote valkuil. Organisaties moeten namelijk verbinding creëren tussen compliance en beveiliging als ze hun systemen en gegevens willen beschermen, zeker op de lange termijn.
Wil je meer weten over hoe je dit kunt aanpakken? Onze experts staan klaar om uw vragen te beantwoorden.
Alle informatie over een ISO 27001 traject in één handig overzicht?
Wat kan een hacker zien of doen?
Geplaatst op: 29 december 2022
Hackers, cyberaanvallen en phishing e-mails, het nieuws staat er tegenwoordig vol mee. Helaas nemen dit soort praktijken ook steeds vaker toe. Omdat er nog veel onduidelijkheid is over wat een hacker nou precies kan zien of doen, vertellen wij je in dit artikel meer.
Wat is een hacker?
Volgens de Van Dale is een hacker iemand die inbreekt op een computer. Dat bekent dat als je kan inbreken op de computer van een ander, je officieel een hacker zou zijn. Bij OpenSight vinden we die definitie nog iets te breed. Er is namelijk een verschil tussen ethisch hacken en hacken met kwaad in de zin. Wanneer iemand een systeem probeert binnen te komen om de zwakke plekken in het systeem op te sporen bijvoorbeeld, is dit niet per definitie een hacker. Dat is ook waarom er verschillende soorten ‘hackers’ zijn waaronder Grey hat hackers, Green hat hackers, Blue hat hackers of Red hat hackers. Iedere hacker heeft een andere methodiek of hackt met een specifiek doel voor ogen. In de al eerdere artikelen op onze website leggen we precies uit wat voor soorten vormen van hacking er zijn en hoe je jezelf kan beschermen tegen een hacker of cybercrimineel.
Hoe kan ik controleren of ik gehackt ben?
Maar hoe weet je nou of je gehackt bent? In feite zijn er verschillende signalen waaraan je kunt zien of je gehackt bent. Hieronder een paar voorbeelden:
- Inlogproblemen: je kan opeens niet meer inloggen in je social media accounts ook al gebruik je het juiste wachtwoord.
- Trage elektronica: je laptop of mobiel zijn ontzettend traag.
- Waarschuwing: veel bedrijven sturen een e-mail wanneer er iemand probeert in te loggen op jouw account. Log je zelf niet in? Dan kan het zijn dat iemand probeert in te breken op jouw account.
- Pop-up spam: je krijgt ineens ontzettend veel pop-ups op je beeldscherm. Dit is een vorm van adware.
- Rare chatberichten: vrienden of familieleden krijgen ineens rare berichten vanaf jouw account terwijl jij deze niet gestuurd hebt. Dit zie je vaak bij cybercriminelen die een geldbedrag proberen los te peuteren via Whatsapp.
- Versleutelde bestanden: bestanden die eerst open waren zijn nu opeens versleuteld op je computer. Dit is een vorm van ransomware.
Dit zijn slechts een aantal voorbeelden van mogelijke signalen dat je gehackt bent. Gelukkig zijn er ook talloze tools die je online beschermen tegen hackers van buitenaf. Wil je bijvoorbeeld controleren of je e-mail gehackt is? Dan kun je ‘Have I Been Pwned?’ gebruiken.
Ik ben gehackt, wat moet ik doen?
Allereerst is het belangrijk om kalm te blijven. Er zijn ontzettend veel manieren om gehackt te worden, maar dat betekent niet dat je meteen in gevaar bent. Wel is het belangrijk dat je de juiste stappen onderneemt om enig risico te verkleinen. Ben je gehackt? Scan dan eerst je apparaat met een virusscanner, deze sporen ransomware en andere verdachte software voor je op. Vaak zet een virusscanner verdachte bestanden of software ook meteen in ‘quarantaine’. Het bestand of de software van je apparaat verwijderen is dan een stuk makkelijker. Daarnaast is het belangrijk om bij een hack al je wachtwoorden te veranderen. Hoe vervelend het ook is, dit is wel de beste manier om hackers buiten de deur te houden en echte schade te voorkomen. Naast het veranderen van je wachtwoorden is het ook belangrijk dat je software altijd up-to-date is. Zo weet je zeker dat hackers niet zomaar binnen kunnen dringen op jouw apparaten. Als een werkcomputer of laptop is gehackt, meld je dit ook altijd bij jouw leidinggevende en zorg je ervoor dat collega’s op de hoogte zijn. Zo voorkom je dat hackers toegang krijgen tot meerdere computers en gevoelige data van bedrijfssystemen
Mocht je een van bovenstaande signalen herkennen en vermoed je dat je gehackt bent? Zorg dan dat je een expert raadpleegt. Maar, voorkomen is altijd beter dan genezen. Ook online. Wil je jouw kostbare data beter beschermen tegen cybercriminelen en ransomware? Neem dan contact op met een van onze experts.
Wat is een ransomware aanval?
Geplaatst op: 13 december 2022
Een groot deel van werkend Nederland heeft de afgelopen twee jaar vanuit huis gewerkt. Zo vond een groot deel van de zakelijke gesprekken en werkzaamheden online plaats. Dit heeft de deur geopend voor het lekken van gevoelige data of erger, cybercriminaliteit. In dit artikel vertellen we je alles over ransomware, wat het is, hoe ransomware werkt en wat je er natuurlijk tegen kunt doen.
Wat is malware?
Malware is een overkoepelende term voor vervelende software zoals virussen, spyware en Trojaanse paarden. Malware komt meestal op een computer of netwerk terecht wanneer werknemers op een link of document klikken waarin deze software zit verstopt. Doordat het werkverkeer van veel organisaties de afgelopen jaren vanuit huis heeft plaatsgevonden, zien we een toename in malware aanvallen.
Wat is ransomware?
Ransomware is een vorm van malware. Deze vorm van malware zorgt ervoor dat mensen binnen de organisatie geen toegang meer hebben tot belangrijke documenten of processen die essentieel zijn om de organisatie draaiende te houden. Vaak wordt er een groot losgeld geëist van de organisatie om weer toegang te krijgen, vandaar de naam. Hier zijn nog enkele andere soorten ransomware die hackers kunnen gebruiken:
- Screen locker ransomware: Een vorm van ransomware die de toegang tot je scherm blokkeert.
- PIN locker ransomware: Deze verandert de pincode van je apparaat, zodat je niet meer kunt inloggen.
- Disk coding ransomware: Deze vorm van ransomware versleutelt de Master Boot Record en andere (bestands)systeemstructuren. Hierdoor heb je geen toegang meer tot het besturingssysteem.
- Crypto-ransomware: Dit is een vervelende vorm van ransomware omdat het alle gebruikersbestanden op de schijf versleutelt.
Wat moet je doen bij een ransomware aanval?
Ook in 2022 nemen ransomware-aanvallen toe. Sterker nog, volgens onderzoek van cybersecurityexpert Acronis wordt de wereldwijde schade door ransomware in 2023 op meer dan 30 miljard dollar geschat. Mocht je zelf te maken krijgen met een ransomware-aanval, onderneem dan de volgende stappen:
- De eerste regel bij een ransomware-aanval is om nooit het losgeld te betalen. Dit is slechts olie op het vuur. Cybercriminelen zien dit namelijk als reden om extra aanvallen uit te voeren.
- Is er één computer of apparaat binnen het bedrijfsnetwerk getroffen door een ransomware-aanval? Zorg dat dat je het apparaat ‘isoleert’. Dit kun je doen door de netwerkverbinding te verbreken.
- Versleutelde bestanden zijn te ‘ontsleutelen’ met herstelprogramma’s, ook wel decryptors genoemd. Geen decryptor ter beschikking? Dan zijn back-ups de enige manier om bestanden terug te krijgen. Zorg er daarom voor dat je altijd back-ups maakt van jouw documenten.
- Wanneer een ransomware-aanval specifieke bestanden heeft versleuteld waar persoonsgegevens bij betrokken zijn dan wordt dit officieel gezien als een datalek. Deze moet je officieel binnen 72 uur melden bij de Autoriteit Persoonsgegevens.
- We kunnen het niet vaak genoeg zeggen, maar ook in dit geval willen we het nog een keer benoemen: zorg dat bestaande software en applicaties altijd up-to-date zijn. Dat betekent ook het besturingssysteem!
Hoe te beschermen tegen ransomware?
Helaas kan een ransomware aanval nooit 100% worden uitgesloten. Maar met de juiste beveiliging software en veiligheidsmaatregelen kom je al een heel eind. Het belangrijkste aspect om heelhuids van een ransomware aanval af te komen is timing. Hoe vroeger je erbij bent, des te beter. Bovenstaande tips helpen een aanval vroegtijdig op te sporen en te bestrijden. Daarbij zal het regelmatig maken van back-ups de impact van een ransomware aanval aanzienlijk verminderen.
Wil je meer weten over de impact van ransomware aanvallen op jouw bedrijf of hoe je belangrijke gegevens beter kan beschermen tegen cybercriminelen? Neem dan eens contact op met een van onze experts. Wij kijken graag met je mee.
Wat is een DDoS aanval?
Geplaatst op: 30 november 2022
Wat is een DDoS-aanval? Misschien is dit wel een van de meest gestelde vragen in 2022. Om maar gelijk met de deur in huis te vallen: DDoS is een afkorting van ‘Distributed Denial-of-Service’. Een aanval die wordt uitgevoerd door hackers om systemen of applicaties tijdelijk offline te krijgen. Vandaag duiken we dieper in de wereld van DDoS-aanvallen en vertellen we je precies hoe je jouw organisatie moet beschermen tegen zo’n aanval.
Wat is een DDoS aanval?
Wanneer er een grote hoeveelheid aan verkeer naar een netwerk of server wordt verzonden dan belemmer je de werking of erger, stopt deze tijdelijk met functioneren. Dat is ook waarom de term Distributed Denial-of-Service wordt gebruikt, een website of server kan geen service meer verlenen. En dat is precies wat de dader wilt bereiken. Helaas kan iedereen online een DDoS-aanval organiseren. Of dat nou is om concurrentie te slim af te zijn, toegang tot specifieke gegevens of informatie te voorkomen of simpelweg om een ander te trollen uit wraak. Wanneer professionele cybercriminelen een DDoS-aanval uitvoeren is het meestal om druk uit te oefenen op een organisatie met als doel om geld te krijgen.
Hoe lang kan een DDoS aanval duren?
Hoewel de reden waarom hackers een DDoS-aanval uitvoeren niet altijd even kwalijk is, is de impact van zo’n aanval dat wel. Daarbij bepaalt de duur van een DDoS-aanval wat de daadwerkelijke (financiële) schade zal zijn. Volgens cybersecurityexpert Kaspersky bleek in 2021 de gemiddelde duur van een DDoS-aanval 30 minuten te zijn. Het schrikbarende nieuws? DDoS-aanvallen duren steeds langer en worden steeds complexer. Een gemiddelde DDoS-sessie in 2022 duurt namelijk 100 keer langer. Kortom, een DDoS-aanval kan 30 minuten tot meerdere dagen duren.
Wat kun je doen tegen een DDoS aanval?
We hebben goed nieuws en slecht nieuws, laten we met het laatste beginnen. Een DDoS-aanval is helaas niet te voorkomen. Dat betekent dat een aanval altijd kan plaatsvinden. Het goede nieuws? Het effect van een DDoS-aanval kun je aanzienlijk verkleinen. Hieronder wat tips om de effecten van een DDoS-aanval te verkleinen:
- Wat zijn de cruciale onderdelen van jouw organisatie? Onderzoek waar de zwakke plekken zitten. Wat gebeurt er bijvoorbeeld met bestellingen of communicatie via de website wanneer deze uit de lucht is?
- Zijn jullie zelf verantwoordelijk voor de beschikbaarheid van jullie dienstverlening of is dat de leverancier? Controleer de SLA-afspraken die gemaakt zijn met de IT-leverancier.
- Werken jullie al met beschermende software zoals een Anti-DDoS oplossing of firewall? Anno 2022 zijn er genoeg dienstverleners die oplossingen voor veilige software aanbieden, ook tegen DDoS-aanvallen.
Bovenstaande tips zijn er slechts een paar voorbeelden om jouw organisatie te beschermen tegen DDoS-aanvallen. Er zijn namelijk nog talloze andere maatregelen die je kunt nemen. Bekijk ook onze tips om je bedrijf te beschermen. Meer weten? Neem dan eens contact op met een van de experts van OpenSight.
Wat is ISO 9001?
Geplaatst op: 7 november 2022
We krijgen regelmatig vragen over de ISO 9001 certificering. In dit artikel leggen we uit wat een ISO 9001 certificaat is, waarom het waardevol is deze certificering te behalen en hoe je dat precies doet.
Wat is ISO 9001?
ISO 9001 is een wereldwijd erkende norm op het gebied van kwaliteitsmanagement. Met deze certificering laat je als organisatie zien dat producten en diensten aan alle behoeften, eisen, wensen en specificaties van stakeholders voldoen. Kortom, met de ISO 9001 laten organisaties zien dat zij transparant en betrouwbaar te werk gaan.
Waarom een ISO 9001 certificaat
Iedere organisatie heeft vaste stappen en processen die nodig zijn voor het leveren van producten en diensten. Stappen en processen die constant gemonitord worden en waar nodig, geoptimaliseerd. Zo’n kwaliteitsmanagementsysteem waarborgt groei en ontwikkeling van de organisatie, een ISO 9001 certificaat is het bewijs.
Wat zijn de voordelen van een ISO 9001 certificering?
Met een ISO 9001 certificering laat je als organisatie zien dat je kwaliteit levert en continu streeft naar verbetering. Dit zijn de voordelen van een ISO 9001 certificaat:
- Verhoogde klanttevredenheid: klanten krijgen vanaf nu de beste service en ondersteuning, omdat er constant wordt gewerkt aan het optimaliseren van processen.
- Aantoonbare kwaliteit: de ISO 9001 certificering, of eigenlijk de kwaliteit van het kwaliteitsmanagementsysteem, laat zien dat de organisatie alle belangrijke processen beheerst en begrijpt, inclusief up-to-date kennis omtrent wet- en regelgeving.
- Bespaar kosten: door de processen in de organisatie te optimaliseren en stroomlijnen verminder je de kans op fouten. Dat betekent niet alleen efficiënter werken, je bespaart ook in kosten.
Hoe behaal ik een ISO 9001 certificaat?
Een ISO 9001 certificering wordt getoetst door geaccrediteerde certificeringsorganisaties. Dit wordt gedaan door middel van een audit. Tijdens deze audit toetst de auditor de opzet en werking van het kwaliteitsmanagement systeem aan de hand van verschillende stappen. Voordat je begint aan de audit is het dus belangrijk dat je voldoet aan alle eisen om de ISO 9001 te behalen. Maar maak het niet complexer dan het is. Hoewel je als organisatie moet voldoen aan strenge eisen om de ISO 9001 te behalen, moeten deze wel aansluiten bij jullie werkwijze. Neem daarom eens het kwaliteitsmanagementsysteem onder de loep. Voldoet deze aan de bedrijfsvoering? Zo niet, dan weet je wat je te doen staat! Meer informatie over waar je allemaal op moet letten tijdens een audit vind je hier.
Daarom OpenSight
Om een ISO-certificeringstraject te laten slagen, moet het managementsysteem goed aansluiten op de bedrijfsvoering en verminder je de operationele impact. Met ruim tien jaar ervaring heeft ons team al honderden organisaties geholpen bij de opzet en implementatie van verschillende ISO-normen. Mens en organisatie staan daarbij centraal. Onze consultants adviseren op pragmatische wijze en ondersteunen bij de opzet en implementatie van beleid en maatregelen. Projecten lopen hierdoor een stuk gemakkelijker en bij technische vragen hebben wij een antwoord voor je klaar. Kies je voor OpenSight, dan ben je verzekerd van de technische ondersteuning en kennis die jouw organisatie nodig heeft.
Andere voordelen:
- Technische advisering, implementatie en onderhoud onder één dak.
- Een pragmatische aanpak met aandacht voor mens én organisatie.
- Flexibele inzit waardoor je zelf het tempo bepaalt.
- Ondersteuning bij technische implementatie van beveiligingsmaatregelen.
Kijk op deze pagina voor meer informatie over onze certificeringen.