Cyberveiligheid in een stedelijke context: tips uit het Smart City World Congress

Momenteel werkt Dr. Alissa Jay bij Mastercard als Chief Security Officer, maar haar carrièrepad is ook nauw vervlochten de publieke sector. Zo stond Elisa in het Witte Huis mee in voor de veiligheid van data en technologieën onder president Obama. Tijdens haar werkzaamheden in het Witte Huis en de financiële sector, stelde de CSO vast dat risicoanalyse een continu proces is: “Als organisatie wordt je permanent geconfronteerd met een gebrek aan middelen. Je moet dan ook voortdurend zicht hebben op de aanwezige risico’s, quick wins en je algehele risicoappetijt.” Dr. Jay raadt organisaties dan ook aan om elk kwartaal een algemene risicoanalyse uit te voeren, met gerichte analyses bij de introductie van nieuwe systemen en toepassingen.

Tijdens haar betoog benadrukt de Chief Security Officer van Mastercard tevens dat bij het merendeel van de gehackte organisaties, belangrijke basismaatregelen niet werden uitgevoerd. Het gaat hier onder andere over het opfrissen van certificaten, het uitvoeren van belangrijke veiligheidsupdates, het sluiten van poorten die nodeloos openstaan en sensibilisering naar medewerkers over onveilig gedrag. Via het Mastercard Trustcenter kunnen kleinere organisaties, maar ook lokale besturen, heel wat tips en tricks terugvinden om de basis te beheersen.

Tenslotte haalt Dr. Jay aan dat, zelfs wanneer je lokaal bestuur alle nodige voorbereidingen getroffen heeft, je organisatie nog steeds risico loopt. “Heel wat organisaties doen immers beroep op toeleveranciers. Dergelijke samenwerkingen bieden heel wat opportuniteiten, maar gaan ook gepaard met een zogenaamd ‘rimpeleffect’. Zo kan gebrekkige patching bij een toeleverancier een hele ketting aan schade veroorzaken bij afnemende organisaties”, klinkt het. Het is daarom belangrijk dat reeds bij de start van samenwerkingen met externe partners duidelijke - en contractueel vastgelegde - afspraken gemaakt worden, in combinatie met voldoende opvolging.

RiskRecon, een dochterorganisatie van MasterCard, specialiseert zich in software die 24/24 inzage geeft in de aanwezige ICT-veiligheidsrisico’s, maar het bijvoorbeeld ook mogelijk maakt om toeleveranciers snel en op uniforme wijze te screenen. Mede dankzij de oprichting van RiskRecon, heeft CEO Kelly White zicht op veelvoorkomende risico’s en kwetsbaarheden in organisaties, maar ook in steden en gemeenten. Want ook al is de context van een bank en lokale overheid enigzins anders, de gevaren zijn nagenoeg hetzelfde. “De komst van ransomware heeft het landschap grondig hertekend. Van de publiek gekende ransomwareaanvallen hadden tot op heden maar liefst 12% steden en gemeenten als doelwit. Het is dus niet zo dat steden en gemeenten niets te vrezen hebt”, aldus de oprichter van RiskRecon.   

De weg vooruit bestaat voor White uit 2 complementaire acties:

1. De implementering van een gezonde cyberveiligheidsbaseline in lokale overheden, met voldoende aandacht voor haalbare maatregelen als patching, phishing, paswoorden (en paswoordkluizen) en sterke verlseuteling.
    
2. Het permanent monitoren van de actuele situatie. Hierbij gaat het zowel over het monitoren van de eigen situatie, als an de leveranciers en partners waar men beroep op doet.

Karen Evans werkte reeds voor diverse overheidsinstanties in en rond Washington DC en noemt zichzelf de “trotse beheerder van de eerste overheidswebsite die gehackt werd”. Hiermee verwijst ze naar een incident in 1994 waar een belangrijke website onder haar verantwoordelijkheid door hackers werd gekaapt. Via het Cyber Readiness Institue probeert ze kleine en middelgrote ondernemingen te ondersteunen in hun strijd tegen cybercriminelen, via training en haalbare oplossingen. Vanuit haar ervaring reikt Karen vier haalbare actiepunten aan die een sterke fundering vormen voor een goede cyberhygiëne.

1. Hanteer een sterk wachtwoordbeleid, waarbij medewerkers aangemoedigd of zelfs verplicht worden om sterke wachtwoorden in te stellen. Daarnaast moedigt ze aan om multifactorauthenticatie maximaal in te voeren, en dan zeker voor gevoelige gegevens en kritieke systemen.
    
2. Zorg voor de nodige phishingtraining. Menselijk gedrag ligt vaak aan de basis van grootschalige veiligheidsincidenten. Het is dan ook belangrijk om de nodige trainingsmaterialen intern te voorzien, en hier ook actief gebruik van te maken.
    
3. Ondertussen is al lang geweten dat veiligheidsupdates een van de voornaamste manieren zijn om besmettingen en intrusie te voorkomen, en toch kunnen hackers nog steeds misbruik maken van dergelijke kwetsbaarheden. De experte beveelt organisaties dan ook warm aan om patching bovenaan de ICT-prioriteitenlijst te zetten.
    
4. Pas op met het gebruik van verwijderbare media. Vaak ontbreekt een overkoepelend beleid hierrond, wat een aanzienlijk risico vormt voor gegevens en systemen.

Tijdens haar pleidooi verwijst de expert door naar de online beschikbare materialen van het Cyber Readiness Institute. De documenten zijn Engelstalig, maar zijn vrij te gebruiken door private en publieke organisaties. Daarnaast hamert ze ook op het belang van simpele oplossingen: “Zeker in tijden van smart cities en doorgedreven innovatie, is het belangrijk dat we veiligheid niet uit het oog verliezen. Oplossingen moeten risico’s minimaliseren, niet omgekeerd. Een security-by-design reflex was nog nooit zo belangrijk.”

Carlsbad, een stad met 114.000 inwoners in Californië. Tracht naast het verhogen van de eigen cyberweerbaarheid, ook een bijdrage te leveren aan de veiligheid van kleine en middelgrote ondernemingen. “Tijdens de pandemie zochten heel wat kleinere bedrijven en handelszaken de toevlucht naar digitale middelen om hun zaak overeind te houden. Dit is natuurlijk een positieve evolutie, maar het heeft ook als gevolg dat een cyberaanval een verpletterende impact kan hebben. Binnen Carlsbad zien we het als onze taak om onze lokale economie optimaal te beschermen tegen deze nieuwe dreiging, daarom voorzien we in een cyber awareness programma voor KMO’s dat hen helpt om inzage te krijgen in de aanwezige risico’s en training te geven aan medewerkers”, vertelt Economic Development Directeur Matt Sanford.

Concreet bestaat het programma uit drie ondersteunende acties:

1. Uitwerking en verspreiding van trainingsmateriaal in samenwerking met ESET, zodat KMO’s bij hun medewerkers kunnen sensibiliseren over onveilig gedrag.
2. Mogelijkheid tot een kosteloze risicobeoordeling via RiskRecon, met een bijhorende rapport.
3. Online briefings over relevante cyberdreigingen door de Cyber Task Force van de FBI.

De rode draad doorheen het panelgesprek is het belang van elementaire acties en een gezonde cyberhygiëne. Innoveren is een mooi en nobel doel, maar het is pas mogelijk om écht stappen vooruit te zetten wanneer de nodige fundamenten gelegd zijn.

Zodra lokale overheden en private organisaties de nodige voorzorgen hebben genomen op vlak van veiligheidsupdates, toegangen en rechten en interne sensibilisering, kunnen ze inzetten op geavanceerde technische hoogstandjes, maar ook op de ondersteuning van andere belanghebbenden, zoals lokale KMO’s en VZW’s.

Een ding is zeker, ook zonder omvangrijke investeringen en bovenmenselijke inspanningen is al heel wat verbetering mogelijk. Of, in de woorden van de gekende Amerikaanse vliegtuigingenieur Kelly Johnson: “Keep it simple, stupid.”