nieuws

Cybersecurity – hoe houd je ramen en deuren van IT-systemen gesloten?

Geen categorie

Vastgoedorganisaties zullen – door de toenemende afhankelijkheid van IT-systemen – in de toekomst steeds vaker te maken kunnen krijgen met cyberaanvallen. Waakzaamheid en het inrichten van effectieve maatregelen op preventief, repressief en correctief gebied zijn van belang om de gevolgen van dergelijke aanvallen onder controle te houden.

EY heeft recentelijk de publicatie Perspective on Risk (1) uitgebracht, waarin een uitgebreide analyse van de risico’s en de mogelijk te treffen maatregelen zijn opgenomen. In dit artikel worden enkele hoofdpunten uit de publicatie nader beschreven.

Toen circa 45 jaar geleden het eerste netwerk tussen computers (Arpanet) werd gerealiseerd had waarschijnlijk niemand kunnen vermoeden wat een belangrijke rol dit type netwerk anno 2016 in ons leven zou hebben. Had men dit toen geweten, dan is het maar de vraag of de betrouwbaarheid van het netwerk niet veel meer aandacht had gekregen in de ontwikkeling.

In essentie is het internet een pakketdienst, maar met als belangrijk onderscheid dat de inhoud van de pakketten zichtbaar is voor de buitenwereld. Destijds was dit geen probleem, omdat alle betrokken partijen exact wisten wie er toegang hadden tot het netwerk; het was geen openbare infrastructuur waar men middels een abonnement toegang tot kon krijgen. Tegenwoordig zijn er naar schatting meer dan 10 miljard apparaten aangesloten op het internet en dit aantal blijft toenemen.

Deze open infrastructuur is een belangrijke reden waardoor het internet (en daarmee feitelijk alle computernetwerken) voor zoveel toepassingen ingezet kan worden. Werd het twintig jaar geleden nog voornamelijk ingezet om berichten te verzenden, wordt het tegenwoordig steeds meer een integraal onderdeel van de maatschappij. Bedrijven worden in steeds grotere mate afhankelijk van computernetwerken en –systemen en ook privé is men steeds meer met elkaar verbonden.

Tegelijkertijd is deze open infrastructuur ook het zwakke punt van computernetwerken. Vergelijk het eens met de fysieke wereld waar de wegen de verbindingen vormen en waar de gebouwen de computers of private netwerken zijn. Terwijl men zich in de echte wereld nog fysiek naar een bepaalde locatie moet verplaatsen om informatie op te vangen, is dit in de digitale wereld niet nodig. Technisch is het mogelijk om, bijvoorbeeld, vanuit Azië een ‘gesprek’ af te luisteren in Europa.

Bovengenoemde is voor zowel bedrijven als individuen niet wenselijk, maar tegelijkertijd is er met dergelijke informatie wel veel geld te verdienen. Op deze manier is er een strijd ontstaan tussen hackers aan de ene kant en security-experts aan de andere kant. Hierbij probeert de hacker om steeds nieuwe aanvalsmethoden te ontwikkelen en is de security-expert bezig deze aanvallen af te wenden.

Deze strijd vindt plaats in een nieuwe dimensie die dusdanig complex is dat het voor niet-experts moeilijk is om goed inzicht te krijgen in de problematiek en de mogelijkheden om zich hier tegen te wapenen.

Voor vastgoedorganisaties is het dan ook van wezenlijk belang dat cybersecurity op gelijke hoogte op de agenda wordt geplaatst als bijvoorbeeld fysieke beveiliging. Bij aanvallen op vastgoedorganisaties kunnen onder meer de volgende intenties bestaan:

• Verstoren van het functioneren van systemen in gebouwen 

• Ontvreemden van vertrouwelijke documenten als business plans of andere intellectual property •        Inzicht krijgen in persoonlijke en financiële informatie over de organisatie en haar personeel

• Blootleggen van informatie over gebruikers van vastgoed

• Het gijzelen van systemen.

Voor het realiseren van deze doelstellingen kan een kwaadwillende verschillende aanvalsmethodes toepassen. De keuze is afhankelijk van de intentie die de hacker heeft. De aanvallen kunnen onder meer plaatsvinden op:

• Communicatiesystemen

• Beheersystemen voor gebouwen

• Beveiligingssystemen van gebouwen

• Netwerken

• Dataopslag

• Serviceproviders die – vanuit hun dienstverlening – toegang hebben tot IT-systemen van het doelwit.

 

Preventieve maatregelen

Om te zorgen dat een vastgoedorganisatie zich structureel kan verdedigen tegen dergelijke aanvallen is het van belang dat er een systematische aanpak wordt gekozen, die gebaseerd wordt op het beheersen van cyberrisico’s. Bij het inrichten van deze verdediging dient een juiste balans tussen beschikbaarheid, integriteit en vertrouwelijkheid van informatie te bestaan. 

Om de verdediging tegen schadelijke aanvallen op te bouwen of te verbeteren kunnen de volgende vijf stappen worden gevolgd:

1. Inventariseren van risico’s

De vraag die hierbij centraal moet staan is: welke informatie kan de organisatie schaden als anderen deze in handen krijgen? Risico’s die onder andere overwogen moeten worden zijn: operationele risico’s, openbaar worden van handelsgeheimen en het verspreiden van vertrouwelijke data (zoals persoonsgegevens).

2. Waarderen van deze risico’s en het selecteren van maatregelen om deze tot een acceptabel niveau terug te brengen.

Het waarderen van de geïdentificeerde risico’s draagt bij aan het kiezen van de juiste maatregelen ten behoeve van de bescherming van informatie tegen cyberaanvallen. Hierbij dient zowel de informatie in reguliere systemen als die in de cloud of op mobiele apparatuur in acht genomen te worden.

3.  Opnemen van cyberrisico’s in het grotere geheel van corporate governance en riskmanagement

Vanwege de toename van het aantal cyberaanvallen is het van belang dat er een gedegen toezicht wordt gehouden op het managen van cyberrisico’s.

4. Trainen en scholen van medewerkers

Informatiebeveiliging is zo sterk als het gedrag van de mensen die de systemen gebruiken. Wanneer technische maatregelen immers niet goed ingezet of gebruikt worden zullen deze nooit het gewenste resultaat opleveren voor de organisatie.

5.  De juiste investeringen maken om een effectieve beveiliging in te richten

Om de geselecteerde maatregelen te kunnen implementeren en de medewerkers op de juiste manier te trainen op het gebied van cybersecurity zullen er investeringen gedaan moeten worden.

Ondanks de inspanningen van vastgoedorganisaties blijft er door eerder genoemde strijd een reële kans dat er op enig moment toch een hacker in zal slagen om door de verdedigingen te breken. Dit is feitelijk niet anders dan bij de fysieke beveiliging van bijvoorbeeld gebouwen. Elke deur is open te krijgen, zolang er maar genoeg tijd en energie geïnvesteerd wordt.

Om deze reden is het niet enkel van belang dat er naast de preventieve maatregelen, zoals in bovenstaande vijf punten beschreven, ook repressieve en correctieve maatregelen worden gerealiseerd. Ofwel: wat moeten we doen als het dan toch mis gaat? In de tabel is een aantal voorbeeld gegeven van dergelijke maatregelen.

 

ReR  Repressief

Correctief

•        • Baseline voor data-integriteit  

• Testen van maatregelen om te bepalen of deze voorzien in de behoefte (pen-testing)

•        • Netwerksegregatie

• Inrichten van een ‘cyber-incident response proces’

•        • Continu monitoren van (netwerk-)activiteit

• Communicatieplan (onder andere voor de nieuwe wetgeving met betrekking tot datalekken) (2)

Mocht het ondanks alle preventieve maatregelen toch zover komen dat er een aanval heeft plaatsgevonden, dan zou het op basis van onder andere de hiervoor genoemde maatregelen mogelijk moeten zijn om de impact van de aanval te beperken.

Na een aanval

Indien een cyberaanval heeft plaatsgevonden is het vervolgens noodzakelijk om te achterhalen wat de exacte reikwijdte van de aanval is geweest en welke schade er mogelijk geleden is. De uitkomsten van een dergelijk onderzoek kunnen een zeer waardevolle bijdrage leveren aan het verbeteren van de informatiebeveiliging.

Net als de strijd tussen aanvaller en verdediger, die steeds een veranderend strijdveld oplevert, is het informatiebeveiligingsproces ook een dynamisch proces dat continu herhaald moet worden zodat een vastgoedorganisatie zich kan aanpassen aan dit strijdveld.

Cybersecurity is een onderwerp dat nadrukkelijk op de agenda van het hoogste bestuursorgaan van een vastgoedorganisatie dient te staan. Hierbij dient cybersecurity een integraal onderdeel te zijn van de risk management strategie van de organisatie, waarbij een goede verhouding tussen preventieve, repressieve en correctieve maatregelen cruciaal is.

Op dit moment ontstaat steeds meer bewustzijn voor het inrichten van preventieve maatregelen, maar een vastgoedorganisatie dient zich er ook bewust van te zijn dat het inrichten van bijvoorbeeld een incident response-proces noodzakelijk is voor het succesvol en veilig opereren in de huidige maatschappij.

1) Perspective on Risk, H. Roth, M. Kaspar, EY, 2015

2) Per 1 januari 2016 is de Wet bescherming persoonsgegevens van kracht, waarin strikte eisen worden gesteld aan het melden van incidenten waarbij persoonsgegevens worden gelekt.

Over de auteur 

Wiebe Brink is sectorleider EY Real Estate, Hospitality & Construction

Reacties naar Wieb.brink@nl.ey.com.

Dit artikel is gepubliceerd in Vastgoedmarkt van januari 2016

Reageer op dit artikel