Beveiligen kritieke infra moet op identiteitsniveau
Door toenemende (cyber)aanvallen op kritieke infrastructuren vestigt de aandacht op de beveiliging van deze cruciale elementen in een maatschappij. De meningen over de manier waarop ze moeten beschermd lopen uiteen. In navolging van het beveiligen van it-omgevingen op basis van identity-security, is dit een pleidooi voor eenzelfde aanpak voor ot-omgevingen.
Zoals zo vaak moet er eerst een ernstig incident plaatsvinden voordat er maatregelen worden genomen. In september vorig jaar vond een aanval plaats op het Universitair Ziekenhuis van Düsseldorf. It-systemen vielen uit, waardoor een ambulance moest worden omgeleid. Voor de patiënt achterin was die omweg te ver. Hij overleefde het niet.
Bescherming van vitale infrastructuren moet de hoogste prioriteit hebben. Ook tijdens een aanval moet er een hoge beschikbaarheid worden gegarandeerd. Te meer omdat het niet alleen meer gaat om hackers met financiële motieven maar ook om aanvallen vanuit overheidsinstellingen uit verschillende landen.
Kritis-wet
Onze oosterburen hebben hier uitgebreide wetgeving voor. Hun Kritis-wet voor beveiliging van kritische infrastructuur krijgt dit jaar een update waarin onder andere verplicht wordt een aanvalsdetectiesysteem op te zetten. Hoe staan we er in Nederland voor? De verschillende bedrijfstakken en organisaties vertonen verschillende mate van volwassenheid op het gebied van veiligheid, vaak afhankelijk van de bedrijfstak en de grootte van het bedrijf. Een sterk gereguleerd gebied zoals de financiële dienstverlening moet aan specifieke en strikte eisen voldoen, los van it-securityregels. Grotere bedrijven zijn in principe beter gepositioneerd op het gebied van cybersecurity dan kleinere en middelgrote. De exploitant van een kerncentrale is veel beter beschermd dan bijvoorbeeld een klein gemeentelijk nutsbedrijf. Bij deze laatste ontbreekt het vaak aan de nodige mankracht of expertise.
Ook zien we nog vaak een afwachtende houding; zolang er geen auditor (of probleem) is, zijn er geen veranderingen nodig.
Lees ons boek
Gemeenten. Bewustzijn. Privacy.
Nieuwsbrief
Deze versturen we 3-4x per jaar.
Recente blogs
Meer recente berichten
NSA slaat alarm over risico s van AI voor cybersecurity | Verder lezen | |
Aanmeldplicht voor Dodenherdenking op de Dam, organisatie zegt bezoekers niet te screenen | Verder lezen | |
Eerste Hulp bij Datalek: bewaar minder persoonlijke gegevens | Verder lezen | |
Europese bedrijven niet opgezet met minder strenge cloudwetgeving | Verder lezen | |
Cyberaanval op gemeenten Voorschoten en Wassenaar afgeslagen | Verder lezen | |
EDPB: Toestemmings of betalen modellen moeten echte keuze bieden | Verder lezen | |
Zoom lost laatste privacyrisico s op voor gebruik in onderwijs | Verder lezen | |
Blijf waakzaam op infiltratiepogingen van open source projecten | Verder lezen | |
MIVD: vpn apparatuur steeds vaker doelwit Chinese spionagecampagnes | Verder lezen | |
AP waarschuwt: risico s cyberaanvallen vaak veel te laag ingeschat | Verder lezen |