Overheidsdiensten die samenwerken, beschermen zich beter tegen cyberaanvallen. Zijn daar geen formele structuren voor, dan kan het helpen om een ‘coalition of the willing’ op te zetten. Een proactieve aanpak is te verkiezen boven een reactieve. Zero-trust is een principe waar overheden dringend werk van moeten maken, net als van de voorbereiding voor NIS2.
Het waren maar enkele van de boodschappen die Tanium-ceo Dan Streetman prijsgaf toen hij onlangs een groot aantal cio’s en ciso’s van Nederlandse en Belgische overheidsdiensten ontmoette. Want of je nu een commercieel bedrijf bent of een overheidsdienst, je bent even kwetsbaar voor de diversiteit aan cyberaanvallen. Naast de gebruikelijke ‘denial-of-service’-aanvallen, pogingen tot phishing en ransomware-bedreigingen, komt daar voor overheden vaak ook nog spionage van andere (al dan niet ‘bevriende’) overheden bovenop.
Toen Streetman begin oktober samen met zijn chief of staff Harman Kaur Nederland bezocht, bracht hij een aantal ‘best practices’ mee die in de VS hun nut al bewezen hebben. Die kwamen overeen met de lessen die een groep overheids-cio’s en -ciso’s meekregen toen ze in het voorjaar van dit jaar een studiereis naar de VS maakten.
Populariteit
In de VS wint de ‘whole-of-state’-aanpak aan populariteit. Daarbij werken diverse niveaus van de overheid met elkaar samen om van elkaar te leren, maar ook om samen raamcontracten af te sluiten. Voor kleine steden is het niet haalbaar om voldoende experts te werven die expert zijn op alle vlakken van cybersecurity. Als ze kunnen rekenen op expertise van andere overheidsorganisaties, landelijk of provinciaal bijvoorbeeld, dan zijn ze beter in staat zich te beschermen tegen aanvallen.
De samenwerking kan ook verder gaan dan louter informatie en kennis uitwisselen. Zo sluit de Amerikaanse staat Arizona raamovereenkomsten af met softwareleveranciers die andere gelieerde en kleinere organisaties ook kunnen gebruiken. Op die manier worden niet alleen de kosten gedrukt, maar wordt tevens voorkomen dat een lappendeken aan point solutions en tools gebruikt wordt. Het is immers makkelijker om kennis te delen over een beperkt aantal hulpmiddelen, dan dat de kennis over 35 of meer verschillende tools onderhouden moet worden. Bij het gebruik van een en hetzelfde platform – bijvoorbeeld een converged endpoint management-platform als XEM – is het makkelijker it-security en it-operations in te richten. Deze raamcontracten slaan onder meer op software die maakt dat alle endpoints in een organisatie beschermd worden door deze niet alleen te inventariseren, maar door ook te controleren of ze voorzien zijn van alle patches en upgrades.
Coalition of the willing
Dit soort samenwerking tussen overheidsdiensten kan een formeel kader krijgen, maar kan net zo goed spontaan ontstaan. In een ideaal scenario is er een overkoepelende instantie die standaarden afspreekt waar alle overheden zich aan moeten conformeren.. Wanneer een dergelijke formele aanpak ontbreekt, is een ‘coalition of the willing’ een alternatief: een informeel overleg en afstemming tussen de ciso’s van verschillende instanties. Ook zij kunnen op zijn minst leren van elkaar door ervaringen uit te wisselen. Daarbij is het belangrijk dat zowel geluisterd wordt naar de problemen en uitdagingen van kleinere organisaties als naar die van grote, landelijke instellingen.
Staatszaak
Tijdens Streetmans ontmoeting met de Nederlandse en Belgische ciso’s kwam uiteraard zero-trust aan bod. In de VS is dit het concept een staatszaak geworden, sinds het Witte Huis vorig jaar cyberrichtlijnen opstelde waarin zero-trust centraal staat. Onder meer het Amerikaanse ministerie van Defensie geeft aan dit principe een hoge prioriteit. Door het toenemend aantal aanvallen is duidelijk dat perimeterbeveiliging niet langer volstaat. In elke fase van het digitaal traject moet beveiliging afgedwongen worden van iedere gebruiker en ieder apparaat. En dat lukt met zero-trust.
NIS2
Uiteraard kwam ook NIS2 aan bod tijdens de gesprekken met verschillende overheden. Organisaties die vallen onder de Europese NIS2-richtlijn hebben nog een klein jaar om aan alle vereisten te voldoen. Streetman drong erop aan om niet langer te wachten. Net als andere cyberprogramma’s vergt conformiteit aan NIS2 een aanpak op tal van vlakken. Niet alleen de cyberhygiëne binnen de eigen organisatie moet op orde zijn, met voldoende aandacht voor een afdoende bescherming en beheer van endpoints. NIS2 vereist echter ook aandacht voor de hele supply chain, waarbij instellingen moeten nagaan of hun it-leveranciers hun cyberhuishouding eveneens goed op orde hebben. Hier werkt Tanium nauw samen met partners die zorgen voor people, proces, product en die performance realiseren, steeds gebruik makend van één softwareplatform.
Voor overheidsdiensten is een goede bescherming tegen cyberdreigingen cruciaal. Door een onderlinge samenwerking en een toepassing van de nieuwste technologieën en geholpen door nieuwe Europese regelgeving, zetten ze een grote stap in de goede richting. Heel veel is al gebeurd, maar even zo goed ligt er nog heel veel werk op de plank.
