Beveiligen kritieke infra moet op identiteitsniveau

Door toenemende (cyber)aanvallen op kritieke infrastructuren vestigt de aandacht op de beveiliging van deze cruciale elementen in een maatschappij. De meningen over de manier waarop ze moeten beschermd lopen uiteen. In navolging van het beveiligen van it-omgevingen op basis van identity-security, is dit een pleidooi voor eenzelfde aanpak voor ot-omgevingen.

Zoals zo vaak moet er eerst een ernstig incident plaatsvinden voordat er maatregelen worden genomen. In september vorig jaar vond een aanval plaats op het Universitair Ziekenhuis van Düsseldorf. It-systemen vielen uit, waardoor een ambulance moest worden omgeleid. Voor de patiënt achterin was die omweg te ver. Hij overleefde het niet.

Bescherming van vitale infrastructuren moet de hoogste prioriteit hebben. Ook tijdens een aanval moet er een hoge beschikbaarheid worden gegarandeerd. Te meer omdat het niet alleen meer gaat om hackers met financiële motieven maar ook om aanvallen vanuit overheidsinstellingen uit verschillende landen.

Kritis-wet

Onze oosterburen hebben hier uitgebreide wetgeving voor. Hun Kritis-wet voor beveiliging van kritische infrastructuur krijgt dit jaar een update waarin onder andere verplicht wordt een aanvalsdetectiesysteem op te zetten. Hoe staan we er in Nederland voor? De verschillende bedrijfstakken en organisaties vertonen verschillende mate van volwassenheid op het gebied van veiligheid, vaak afhankelijk van de bedrijfstak en de grootte van het bedrijf. Een sterk gereguleerd gebied zoals de financiële dienstverlening moet aan specifieke en strikte eisen voldoen, los van it-securityregels. Grotere bedrijven zijn in principe beter gepositioneerd op het gebied van cybersecurity dan kleinere en middelgrote. De exploitant van een kerncentrale is veel beter beschermd dan bijvoorbeeld een klein gemeentelijk nutsbedrijf. Bij deze laatste ontbreekt het vaak aan de nodige mankracht of expertise.

Ook zien we nog vaak een afwachtende houding; zolang er geen auditor (of probleem) is, zijn er geen veranderingen nodig.

Verder lezen bij de bron
IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Nieuwsbrief

Deze versturen we 3-4x per jaar.

Recente blogs

Beleid voor informatiebeveiliging in bredere context
Een informatiebeveiligingsbeleid zou niet uit de lucht moeten komen vallen, maar een logisch gevolg van andere beleid en relevante, actuele ontwikkelingen. Juist die zetten we voor je op rij in deze blog. Handig, toch?
Digitale weerbaarheid verhogen – de basis op orde
De digitalisering gaat snel. Naast voordelen, brengt dit ook nieuwe kwetsbaarheden en dreigingen met zich mee. De BIO benoemd een aantal processen die je als randvoorwaardelijk zou kunnen bestempelen om je digitale weerbaarheid te verhogen. Welke basisprocessen dit zijn lees je in deze blog.
Wat kunnen we leren van gemeente Amersfoort?
Eind mei is het eindrapport van de Rekenkamer Amersfoort naar de bescherming van persoonsgegevens verschenen. Hoe beschermt de gemeente de gegevens van haar inwoners? Hoe doen derden dat? En wat kunnen andere gemeenten leren van Amersfoort?

Meer recente berichten

Misstanden rond biometrische massasurveillance
Verder lezen
Jeugdzorg Nederland krijgt 7 ton voor verbeteren informatiebeveiliging
Verder lezen
Cybersecurity moet meer gericht zijn op de mens
Verder lezen
Privacy bestaat niet meer, en dat lieten we zelf gebeuren
Verder lezen
AP legt UWV een boete van 450.000 euro op
Verder lezen
Speciale cyberunit bij Defensie, maar er mag niets in beeld
Verder lezen
Basismaatregelen cybersecurity zijn goede eerste stap
Verder lezen
Ziggo hoeft downloadergegevens niet af te staan aan Dutch FilmWorks
Verder lezen
Veel slimme technologie juridisch onbruikbaar
Verder lezen
Toezichthouders: Merendeel van vitale organisaties is zich bewust van belang cybersecurity
Verder lezen