9. Gebruik MFA en andere beveiligde communicatie

Voor veilige bedrijfsprocessen is het nodig dat gebruikers, apparaten en andere activa worden geauthentiseerd door middel van meerdere authenticatiefactoren of continue authenticatiemechanismen om toegang te krijgen tot de netwerken en informatiesystemen van de organisatie.

 

Classificatie van activa

De mate en sterkte van de authenticatie moet geschikt zijn voor de classificatie van de activa waartoe toegang moet worden verkregen. Welke toegang hoog geclassificeerd is, heb je geïnventariseerd in de risicoanalyse of de bedrijfsimpactanalyse (BIA).

Het gebruik van extra authenticatie voorkomt dat een aanvaller toegang tot een account verkrijgt door het wachtwoord te raden of te achterhalen via bijvoorbeeld social engineering of een geslaagd phishingaanval.

 

Wat is MFA?

Multifactorauthenticatie (MFA) dwingt het gebruik van twee of meer verschillende factoren af om de echtheid van je identiteit of bevoegdheid vast te stellen. Daarvoor worden factoren gebruikt die dicht bij de bevoegde staan zoals:

  1. Iets dat je weet

    Bijvoorbeeld een wachtwoord of een persoonlijk identificatienummer;

  2. Iets dat je hebt

    Bijvoorbeeld cryptografisch identificatieapparaat of tokens;

  3. Iets dat je bent

    Bijvoorbeeld biometrische gegevens zoals een irisscan of handafdruk.

Voorbeeld van multifactorauthenticatie is een wachtwoord in combinatie met een token. Een ander voorbeeld is het gebruik van een vingerafdruk in combinatie met een eenmalige code die je op een ander apparaat ontvangt.

NIS2-zorgplicht

In de Europese NIS2-richtlijn worden maatregelen vereist voor de het gebruik van multifactor-authenticatie- of continue authenticatieoplossingen, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit. Dit staat in artikel 21 lid 2 sub j.

 

Bereid je voor op de NIS2

Voor de voorbereiding op de Cyberbeveiligingswet die voortkomt uit de NIS2-richtlijn, vind je hier suggesties, handvatten en aandachtspunten. Omdat de zorgplichtmaatregelen nog niet zijn uitgewerkt in de regelgeving, baseren we de suggesties, tips en handreikingen op wat er gangbaar is in de cybersecuritypraktijk. Het uitvoeren of volgen ervan vergroot de cyberweerbaarheid van je organisatie, maar het is geen garantie dat je organisatie al voldoet aan komende wetgeving.

Pas MFA toe

Pas tweefactorauthenticatie (2FA) of multifactorauthenticatie (MFA) in elk geval toe bij: 

  • Accounts die vanaf het internet bereikbaar zijn;
  • Accounts die beheerrechten hebben en;
  • Accounts op essentiële systemen.

Tweefactorauthenticatie (2FA), tweestapsverificatie en multifactorauthenticatie (MFA) zijn termen die vaak door elkaar heen worden gebruikt. Technisch gezien verschillen ze van elkaar, maar je gebruikt deze methoden om de toegang tot accounts en digitale systemen veiliger te maken.

Wil je een MFA-methode gaan gebruiken? Lees de tips voor het kiezen en gebruiken van een MFA-toepassing.

VPN

Voor beveiligde communicatie kan een organisatie gebruik maken van een Virtual Private Network (VPN). Een VPN maakt het mogelijk om over een bestaand netwerk, waaronder publieke netwerken zoals het internet, een beveiligde verbinding op te zetten tussen twee apparaten. De verbinding tussen de twee apparaten wordt een VPN-tunnel genoemd en het dataverkeer in de tunnel is versleuteld. Je kunt ervoor kiezen om een VPN af te nemen als dienst, of om zelf een VPN-server op te zetten.

De NIS2-Quickscan

De NIS2-Quickscan is een tool voor organisaties die willen weten hoe zij zich kunnen voorbereiden. Deze scan is met name bedoeld voor IT- en cybersecurity-specialisten en -verantwoordelijken binnen organisaties. De scan biedt ook handelingsperspectief: per thema worden technische of organisatorische maatregelen voorgesteld die kunnen bijdragen aan de digitale weerbaarheid van organisaties en aan de voorbereiding op de NIS2.

Hackers kraken e-mailaccount van softwarebedrijf

Een softwarebedrijf leek alle basisprincipes van veilig digitaal ondernemen toegepast te hebben. En toch ging het mis. Cybercriminelen omzeilden op slinkse wijze de MFA-beveiliging van een e-mailaccount en stuurden valse e-mails naar klanten met openstaande facturen. Door een goede en snelle respons kon het bedrijf grote financiële schade voorkomen. Maar hoe waren de hackers binnengedrongen? En welke lessen kunnen andere ondernemers trekken uit deze aanval?

Beperk toegang

Om de kans op ongelukken en misbruik zo klein mogelijk te maken, is het belangrijk dat iedereen binnen en buiten de onderneming alleen toegang heeft tot de systemen die passen bij de werkzaamheden en de periode waarvoor toegang nodig is. Uitgebreide toegangsrechten moeten alleen worden gegeven voor wie dit nodig is. Gebruik de rechtenmatrix en een beleid voor in- en uitdiensttreding om toegang te loggen.

Vertel het ons:
10. Effectiviteit van maatregelen

Je wilt weten of de genomen beheersmaatregelen effect hebben gehad. Vallen de beoogde risico's binnen de acceptatiecriteria? Met een beleid en procedures borg je de effectmeting. Om effect te meten, toets je de maatregelen. Dit kan via securitytesten. Het uitvoeren van een securitytest gaat in 4 stappen.

1. Maak een beleidsplan risicoanalyse

NIS2-organisaties moeten een beleid inzake risicoanalyse en beveiliging van informatiesystemen hebben. Een risicoanalyse is een essentiële eerste stap voor het verkrijgen van de nodige inzichten. Je bepaalt ermee welke risico's zwaar drukken en waar beveiligingsmaatregelen het hardst nodig zijn. 

2. Personeel, toegangsbeleid en beheer assets

NIS2-organisaties hebben beleid en procedures om de toegang en rechten voor assets zoals apparaten, servers etc. te beschermen. Daarvoor is nodig dat het personeel bewust is van de veilige omgang met de assets. Ook vraagt het beleid op het verstrekken van toegang tot de assets.