Blogs IT Assurance

Digitale weerbaarheid

by

Digitale weerbaarheid

5 juni 2025

Het Nationaal Cyber Security Centrum (NCSC) en het Digital Trust Center (DTC) hebben op 7 april 2025 gezamenlijk een vernieuwde set basisprincipes voor digitale weerbaarheid geïntroduceerd. Deze basisprincipes zijn ervoor om een bijdrage te leveren om de digitale weerbaarheid van organisaties te versterken. De principes zijn gebaseerd op bestaande regelgeving zoals NIST, CSF, en NIS2. Door middel van het analyseren van deze regelgeving is een aantal eenduidige basisprincipes opgesteld die relevant zijn voor iedere organisatie in Nederland.

Wat is digitale weerbaarheid?

Digitale weerbaarheid is de mate waarin een organisatie is voorbereid op calamiteiten met betrekking tot haar interne IT-omgeving. Deze calamiteiten kunnen veel omvatten en zeer verschillend uiteenlopen, van bijvoorbeeld een voorbereide ransomware aanval tot een onverhoopte stroomstoring. Dat dit laatste een realistisch scenario is blijkt wel uit onder meer de recente grootschalige stroomstoring op het Iberisch schiereiland. Weerbaarheid is een ontzettend belangrijk concept om de impact van dergelijke calamiteiten zo klein mogelijk te houden.

Onze economie ontwikkelt zich steeds verder op digitaal gebied, wat kansen met zich meebrengt. Maar deze kansen gaan uiteraard ook gepaard met nieuwe dreigingen. Digitale weerbaarheid is dus niet belangrijk om enkel dreigingen te mitigeren, het is ook een manier om de kansen van digitalisering veiliger te kunnen benutten.

 

De vijf basisprincipes

De basisprincipes die het NCSC en DCT hebben opgesteld betreffen een aantal onderwerpen, zoals bijvoorbeeld risicobeheer, beveiliging, en incidentenbeheer. Hieronder volgt een korte samenvatting van de basisprincipes:

Basisprincipe 1: Breng je risico’s in kaart

Te weinig inzicht in risico’s kan ertoe leiden dat deze niet tijdig gemitigeerd worden, een relatief klein incident kan dan al grote gevolgen hebben. Om de mogelijke impact van deze risico’s zo laag mogelijk te houden is het noodzakelijk om als organisatie de digitale weerbaarheid op een passend niveau te krijgen. Door risico’s in kaart te brengen, en de juiste voorzorgsmaatregelen te treffen kan een organisatie meer grip krijgen op haar informatiebeveiliging.

Middels dit risicomanagement kan je dus een overzicht creëren van alle risico’s, vaststellen welke risico’s absoluut voorkomen dienen te worden, en welke je als organisatie wel bereid bent te nemen.

Onderdeel van het in kaart brengen van risico’s is in onze optiek overigens ook het hebben van een goed inzicht in alle ICT middelen die binnen de organisatie in gebruik zijn. Dit betreft zowel hardware als software, maar ook de afhankelijkheden van derde partijen.

 

Basisprincipe 2: Bevorder veilig gedrag

Op dagelijkse basis vindt er veel interactie plaats tussen medewerkers en de systemen van een organisatie, wat natuurlijk een belangrijk risico is ten aanzien van informatiebeveiliging. Kwaadwillenden proberen veelal toegang te krijgen tot systemen via medewerkers. Dit doen zij vaak middels praktijken als Social Engineering en phishing. Ook is er natuurlijk altijd een kans dat medewerkers onbedoeld een datalek veroorzaken.

Dergelijke risico’s zullen altijd blijven bestaan, een fout maken is immers menselijk, maar er zijn wel manieren om de kans op een fout te verkleinen. Belangrijk in het verkleinen van deze kans is bewustzijn binnen de organisatie te creëren. Dit kan bijvoorbeeld door middel van kennissessies, trainingen, en simulaties. Het is ook belangrijk om een cultuur te creëren waar medewerkers niet bang zijn om fouten toe te geven. Zodat, mocht het een keer misgaan, er direct een melding wordt gemaakt en er actie kan worden ondernomen.

 

Basisprincipe 3: Bescherm systemen, applicaties, en apparaten

Doorgaans worden software en computer- en netwerkapparatuur uitgerust met een pakket aan standaardinstellingen en functionaliteiten. Dit zorgt ervoor dat de apparatuur (meestal) meer kan dan nodig is wat ertoe leidt dat kwaadwillenden een groter aanvalsoppervlak hebben. Denk hier bijvoorbeeld aan een mailserver waar, naast de strikt noodzakelijke poorten voor mailprotocollen, ook nog andere irrelevante poorten openstaan. Om het risico op aanvallen te verkleinen kan een organisatie ervoor zorgen dat haar apparatuur enkel zo is ingesteld dat het gebruikt kan worden waar het voor bedoeld is, dit wordt hardening genoemd. Het is ook belangrijk om systemen, applicaties, en apparaten tijdig te updaten en patchen, hiermee worden bekende kwetsbaarheden verholpen wat de kans op aanvallen verkleint. Mocht er dan toch een aanval plaatsvinden, kunnen monitoring- en detectieoplossing helpen om deze snel te identificeren, zodat er adequaat kan worden gereageerd, en de schade beperkt kan blijven.

 

Basisprincipe 4: Beheer de toegang

Toegang tot informatie, systemen, en netwerklocaties is essentieel voor medewerkers om hun werk te kunnen doen. Om de kans op complicaties zo klein mogelijk te houden is het belangrijk dat men enkel toegang krijgt tot de systemen en gegevens die zij nodig hebben. Dit concept noemen we least privilege.

Het is belangrijk om toegang tot systemen goed te beheren middels identity and access management. Dit betreft zowel logische toegang als fysieke toegang. Zoals hierboven beschreven dienen medewerkers enkel toegang te verkrijgen tot de systemen die zij nodig hebben voor het uitvoeren van hun werkzaamheden, maar het inperken van de rechten welke zij binnen deze systemen verkrijgen is ook belangrijk. Om toegang tot systemen zo beperkt mogelijk te houden is strak user management ook belangrijk. Best practices betreffen het beheerst uitgeven van rechten aan indiensttreders, het accuraat wijzigen van rechten van medewerkers die een functiemutatie ondergaan, en het tijdig deactiveren van accounts van medewerkers die de organisatie verlaten. Een autorisatiematrix is een goede houvast in deze processen. Binnen deze matrix neemt een organisatie op welke rechten mogen worden toebedeeld aan medewerkers met bepaalde functies.

 

Basisprincipe 5: Bereid je voor op incidenten

Mocht het onverhoopt toch misgaan, dan is het belangrijk om aandacht te besteden aan bedrijfscontinuïteit, uitwijk- en herstelplannen, incident response plannen, en back-up procedures. Dergelijke plannen zorgen ervoor dat men weet hoe er gereageerd moeten worden tijdens incidenten. Buiten het feit dat opstellen van deze plannen belangrijk is, is het ook essentieel om er mee te oefenen middels bijvoorbeeld simulaties. Dit geldt ook voor back-ups. Het opstellen en instellen van een goede back-up procedure is noodzakelijk om gegevensverlies tegen te gaan, maar het testen van de restore mogelijkheden is dat net zo goed. Een back-up die niet kan worden teruggezet op een systeem is namelijk niets waard.

 

Wat nu?

Heeft jouw organisatie deze basisprincipes al in acht genomen? Heb jij duidelijk waar de risico’s liggen en heerst er een cultuur van awareness? Zo niet, dan adviseren wij om zo snel mogelijk aan de slag te gaan met de principes. Mocht je bij het uitvoeren van analyses, het beoordelen van uw IT-omgeving of het opstellen van processen en procedures hulp of advies kunnen gebruiken, dan kun je contact opnemen met onze specialisten.