Basismaatregelen cybersecurity

Devices binnen instellingen

Het Nationaal Cyber Security Centrum (NCSC) heeft basismaatregelen beschreven waaraan iedere organisatie moet voldoen om cyberaanvallen tegen te gaan. We zetten ze voor je op een rij.

Richt risicomanagement in

Incidenten kunnen aanzienlijke gevolgen hebben voor de doelen van een instelling. Om ervoor te zorgen dat de bedrijfsvoering soepel blijft verlopen, is het van belang een passend niveau van weerbaarheid te realiseren. Een passend niveau impliceert dat de genomen maatregelen de instelling beschermen zonder de bedrijfsvoering te hinderen of onnodige kosten met zich mee te brengen.

Risicoanalyse
Om te bepalen wat passend is voor jouw instelling, is het raadzaam een risicoanalyse uit te voeren. Een risicoanalyse helpt bij het identificeren van relevante bedreigingen voor de instelling, het vaststellen van de cruciale belangen die bescherming behoeven, het in kaart brengen van bestaande risico's en het bepalen van geschikte maatregelen. Dit zorgt ervoor dat de juiste aspecten op de juiste manier worden beschermd, zonder dat dit onnodig kostbaar of onwerkbaar wordt. Het biedt een helder inzicht in welke aanvullende maatregelen, naast de basismaatregelen, waarde toevoegen voor de instelling.

Inrichten van processen
Om ervoor te zorgen dat een risicoanalyse geen geïsoleerde activiteit blijft, is het verstandig een risicomanagementproces te implementeren. Dit waarborgt dat risicoanalyses regelmatig worden uitgevoerd, dat duidelijk is welke maatregelen worden genomen, wanneer en door wie, en wie verantwoordelijk is voor het betreffende risico. Naast de identificatie en opvolging van risico's, verschaft het risicomanagementproces ook inzicht in hoe de organisatie in het algemeen met risicomanagement omgaat en hoe dit wordt gewaarborgd.

Pas sterke athentificatie toe

Multi-factor authenticatie is een beveiligingsmethode waarbij gebruikers zich aanmelden met behulp van verschillende factoren. Deze factoren worden onderverdeeld in drie categorieën: iets dat de gebruiker weet (zoals een wachtwoord), iets dat de gebruiker heeft (zoals een token), of iets dat de gebruiker is (zoals een vingerafdruk). Wanneer gebruikers inloggen met factoren uit minstens twee van deze categorieën, wordt dit beschouwd als multi-factor authenticatie. Het gebruik van precies twee factoren staat bekend als twee-factor authenticatie. Voorbeelden van multi-factor authenticatie zijn het combineren van een wachtwoord met een token of het gebruik van een vingerafdruk in combinatie met een eenmalige code.

Het is raadzaam om multi-factor authenticatie toe te passen op accounts die toegankelijk zijn via internet, accounts met beheerdersrechten en accounts op kritieke systemen. Deze aanpak voorkomt dat een aanvaller toegang krijgt tot een account door simpelweg het wachtwoord te raden of te verkrijgen, bijvoorbeeld via een phishingaanval.

Vermijd het gebruik van wachtwoorden
Het vermijden van het gebruik van wachtwoorden is een aanvullende beveiligingsmaatregel. Kies, indien mogelijk, voor oplossingen waarbij geen wachtwoorden meer nodig zijn. Wachtwoorden zijn kwetsbaar en verouderd als beveiligingsmechanisme. Hedendaagse alternatieven omvatten het gebruik van hardware zoals tokens of telefoons, in combinatie met biometrische kenmerken zoals gezichts- en vingerafdrukherkenning. Bij het selecteren van software en systemen in de toekomst, overweeg de eis van wachtwoordloze aanmelding om de beveiliging te verbeteren en de gebruiksvriendelijkheid te vergroten.

Veilig kunnen inloggen
Naast het definiëren van veilige inlogmethoden, is het essentieel om te bepalen welke apparaten vanaf welke locaties toegang hebben tot systemen. Het instellen van een specifiek bereik kan helpen om onbekende locaties en apparaten te weren. Als de instelling voornamelijk opereert in Nederland, met medewerkers die in Nederland wonen en specifieke apparaten gebruiken, overweeg dan om dit systeemtechnisch af te dwingen.

Als het afschermen van onbekende toegang niet haalbaar is, overweeg dan het signaleren van inlogpogingen van onbekende locaties en gebruikers hiervan op de hoogte te stellen, bijvoorbeeld via e-mail. Dit stelt gebruikers in staat om zelf actie te ondernemen en hun accountbeveiliging te waarborgen.

Bepaal wie toegang heeft tot welke bedrijfsdata en diensten

Verleen medewerkers uitsluitend toegang tot de specifieke informatie, systemen en locaties die essentieel zijn voor de uitvoering van hun taken, zowel op logisch als fysiek vlak. Dit beperkt niet alleen de potentiële gevolgen van gebruikersfouten, maar minimaliseert ook de bewegingsruimte voor kwaadwillenden die toch weten binnen te dringen. Het is tevens van belang om de toegang van service-accounts, machine-accounts en functionele accounts strikt te beperken tot het noodzakelijke niveau.

Benoem eigenaren
Wijs duidelijke eigenaren toe aan specifieke rollen om het beheer van rechten te vereenvoudigen, in lijn met het "least privilege principe." Elk stukje data dient een toegewijde eigenaar te hebben, veelal vertegenwoordigd door een lijnmanager.

Instelling is verantwoordelijk
Leg de verantwoordelijkheid voor het bepalen van opgeslagen data en bijbehorende rechten altijd bij de instelling. De ICT-organisatie kan dit hoogstens namens de data-eigenaar uitvoeren, maar niet de besluitvorming overnemen.

Persoonsgebonden accounts
Garandeer dat toegang tot data en services persoonsgebonden is, waarbij elke medewerker beschikt over een individueel gebruikersaccount. Het gebruik van generieke accounts, gedeeld tussen meerdere medewerkers of zelfs verschillende leveranciers, moet vermeden worden. Dit geldt eveneens voor service-accounts, die dienen voor systeeminteracties. Als het gebruik van service-accounts onvermijdelijk is, implementeer dan op zijn minst een robuust wachtwoordbeleid en vermijd standaardwachtwoorden voor apparatuur en systemen.

Heldere processen
Implementeer heldere procedures voor het in dienst nemen, uit dienst treden en interne doorstroming van medewerkers. Verschaf nieuwe medewerkers enkel toegang tot de benodigde bronnen, blokkeer onmiddellijk de toegang van vertrekkende medewerkers tot data en systemen, verwijder ongebruikte accounts en deactiveer serviceaccounts, deze uitsluitend activerend tijdens onderhoudsperioden.

Beperk het aanvalsoppervlak

Veel software, computer- en netwerkapparatuur bieden vaak meer functionaliteiten dan een instelling daadwerkelijk nodig heeft. Dit kan leiden tot onnodige kwetsbaarheden, waar kwaadwillenden dankbaar gebruik van kunnen maken. Zodra zij toegang hebben verkregen, zullen zij proberen zich binnen het netwerk te verplaatsen. Om het potentiële aanvalsoppervlak te beperken, zijn er effectieve maatregelen zoals hardening en segmentering.

Hardening
Hardening heeft als voornaamste doel het aanvalsoppervlak te verkleinen. In eenvoudige termen betekent hardenen dat alles wat niet nodig is, wordt uitgeschakeld, afgesloten of verwijderd. Dit kan inhouden dat bepaalde technische services, communicatieprotocollen, software, gebruikersaccounts en systeemdiensten worden verwijderd, uitgeschakeld, ontoegankelijk gemaakt of beperkt. Hardening staat ook in verband met eerder genoemde logische toegangsbeveiliging.

Segmenteren
Segmenteren is van belang voor het beperken van de gevolgen van een eventuele aanval wanneer een indringer erin slaagt binnen te dringen. Bij segmentatie wordt het netwerk opgedeeld in verschillende zones. Op deze manier voorkomt netwerksegmentatie dat een virus of aanvaller zich ongecontroleerd door het gehele netwerk verspreidt. Het toepassen van netwerksegmentatie is een preventieve maatregel die de impact van diverse cyberaanvallen kan minimaliseren. Het uitgangspunt hierbij is dat in principe al het netwerkverkeer wordt ontzegd, waarna specifieke firewallregels worden toegevoegd voor het noodzakelijke verkeer.

Contact Security Expertise Centrum

Versleutel opslagmedia met gevoelige bedrijfsinformatie

Het coderen van alle informatie van de instelling is van essentieel belang om ervoor te zorgen dat data onbruikbaar blijft in geval van ongeautoriseerde toegang. Met encryptie blijft de informatie alleen toegankelijk voor degenen die over de juiste sleutel beschikken. Deze sleutel kan variëren, van een afzonderlijk wachtwoord tot het beheer ervan via bijvoorbeeld uw werkstation of mobiele telefoon. Dit garandeert een eenvoudig gebruik van encryptie, dat op alle soorten data kan worden toegepast.

Het is cruciaal om harde schijven, laptops, mobiele apparaten en usb-sticks die gevoelige informatie bevatten te versleutelen. Bovendien dient er aandacht besteed te worden aan de manier waarop de gegevens worden opgeslagen. Het versleutelen van deze data is van groot belang, zodat er geen afhankelijkheid ontstaat van de betrouwbaarheid van specifieke leveranciers en de rol als eigenaar van de data volledig vervult.

Bescherm je instelling tegen het verlies van gegevens

Om de instelling te beveiligen tegen potentieel dataverlies, in geval van onvoorziene gebeurtenissen, is het noodzakelijk om een solide back-up beleid te implementeren. Dit beleid legt de specifieke vereisten vast met betrekking tot het bewaren en beschermen van de data, waarbij een gedegen risicoanalyse als basis dient.

Uitvoeren van Back-ups
Het regelmatig creëren en testen van back-ups is cruciaal volgens het vastgestelde back-up beleid. Hierdoor wordt de uitvoerbaarheid van het beleid gewaarborgd, wanneer data en systemen aangetast zijn en hersteld moeten worden. Het is essentieel om een strategie te ontwikkelen voor het daadwerkelijke gebruik van deze back-ups tijdens een herstelproces, zodat de activiteiten van de instelling zo min mogelijk worden onderbroken. Hierbij is niet alleen het veiligstellen van uw data van belang, maar ook het bezitten van een goed doordachte werkwijze om deze snel te herstellen in geval van nood. Het is van cruciaal belang om deze werkwijze te testen om zowel de technische functionaliteit te verifiëren als ervoor te zorgen dat alle betrokkenen weten wat te doen in geval van ICT-gerelateerde verstoringen.

Back-ups Testen
Identificeer welke data absoluut essentieel is voor back-ups en bepaal hoe lang deze bewaard moeten worden. Voer tests uit om het terugzetten van de back-ups te verifiëren, zodat de dagelijkse bedrijfsvoering slechts beperkt verstoord wordt in geval van dataverlies. Oefen het herstelproces met medewerkers die verantwoordelijk zijn voor dergelijke taken, zodat ze effectief kunnen handelen in de praktijk.

Toepassen van de 3-2-1 Regel
De 3-2-1 regel kan als leidraad dienen bij het opzetten van uw back-up proces. Zorg voor drie versies van de data (waaronder de productiedata en twee back-ups), op twee verschillende media (zoals fysieke harde schijven, tapes en de cloud), met één kopie op een andere locatie voor noodherstel, zoals een ander datacenter of een kluis buiten de instelling Deze aanpak maakt het mogelijk om systemen te herstellen in geval van bijvoorbeeld ransomware, die het bedrijfsnetwerk zou kunnen versleutelen.

Beperking van Toegang
Beperk de toegang tot de back-ups door zowel toegangsrechten te beheren als de back-ups te versleutelen. Een externe back-up moet 'onmuteerbaar' zijn, wat betekent dat deze niet meer kan worden aangepast of verwijderd vanaf de oorspronkelijke locatie nadat deze is opgeslagen. Dit voorkomt onherstelbare schade aan uw back-ups in geval van een ransomware-aanval.

Richt patchmanagement in

Leveranciers brengen regelmatig updates uit om kwetsbaarheden in hun software op te lossen. Het implementeren van een effectief patchmanagementproces is essentieel om ervoor te zorgen dat deze updates op een gestructureerde manier geïdentificeerd, getest en geïnstalleerd worden. Hierbij is het belangrijk om alle software en systemen binnen de instelling in kaart te brengen, inclusief webbrowsers en plug-ins.

Patchmanagementproces optimaliseren
Het opzetten van een patchmanagementproces zorgt ervoor dat er een gestructureerd systeem is om software-updates te identificeren, te testen en te implementeren. Een gedegen inventarisatie van alle software en systemen binnen de organisatie is hierbij cruciaal, inclusief aandacht voor webbrowsers en plug-ins.

Automatische installatie van software-updates
Voor de meeste systemen is het cruciaal om updates zo snel mogelijk te installeren. De voorkeur gaat uit naar geautomatiseerde implementatie van software-updates direct na release. Bij kritieke systemen is het aan te raden de update eerst in een testomgeving uit te voeren om de impact op productieprocessen te beoordelen voordat deze in de productieomgeving wordt geïmplementeerd.

Ontwikkeling van een draaiboek
Wanneer automatisering niet mogelijk is, dienen er gedetailleerde draaiboeken te worden opgesteld voor een snelle implementatie van updates in de productieomgeving. Naast technische procedures moeten er ook afspraken met de instelling worden gemaakt, zodat in kritieke situaties het bedrijfsproces kort onderbroken kan worden voor een urgente update.

Implementeer preventieve maatregelen
In gevallen waarin een update voor een kwetsbaarheid nog niet beschikbaar is of direct updaten niet wenselijk is, moeten er mitigerende maatregelen getroffen worden. Daarnaast is het raadzaam verouderde software en apparaten die niet meer door de leverancier worden ondersteund, te vervangen.

Centraliseer en analyseer loginformatie

Logbestanden spelen een cruciale rol bij het identificeren van aanvallen en het afhandelen van incidenten. Door ervoor te zorgen dat applicaties en systemen voldoende inloggegevens genereren, voorzie je de instelling van essentiële informatie.

  1. Bepaal welke logbestanden noodzakelijk zijn, waaronder systeemlogging, netwerklogging, applicatielogging en cloudlogging.
  2. Garandeer dat uw systemen inloggegevens naar een centrale loggingserver sturen die alle logs verzamelt en analyseert, waarbij ervoor wordt gezorgd dat op deze centrale locatie geen logbestanden kunnen worden gewijzigd en het systeem wordt geplaatst in een sterk beveiligde omgeving.
  3. Maak gebruik van geautomatiseerde loganalyses met analyseregels van een leverancier of community die continu worden bijgewerkt met de meest recente bedreigingen. Op deze manier worden logbestanden gescand op afwijkingen die kunnen wijzen op een beveiligingsincident.
  4. Maak een weloverwogen keuze met betrekking tot de bewaartermijn van logbestanden, die moet aansluiten bij zowel uw beveiligingsdoelen als de wet- en regelgeving met betrekking tot privacy. Zorg ervoor dat de manier waarop u met inloggegevens omgaat, zoals gebruik en toegang, in overeenstemming is met de wet- en regelgeving en indien nodig is vastgelegd in (verwerkers)overeenkomsten met  afnemers.

Deze basismaatregelen zijn opgesteld door het NCSC.