Een snelle gids voor het NIST Cybersecurity Framework

Elke maand komt er een nieuwe vorm van cyberaanval. Net als een bedrijf de huidige ransomware- of phishing-aanval afslaat, verschijnt er een nieuwere en meer kwaadaardige aanval aan de horizon. De beste verdediging is een formele strategie voor cyberweerbaarheid, zowel om aanvallen af te weren als om de aanvallen die doorbreken, aan te pakken en te boven te komen. Het Cybersecurity Framework, gedocumenteerd door het National Institute of Standards and Technology (NIST) [1] bevat praktische richtsnoeren en normen voor zowel overheidsinstanties als particuliere bedrijven om de risico's van cyberaanvallen te beheren en cyberweerbaarheid te behouden.

Wat is het NIST Cybersecurity Framework?

Het NIST-raamwerk is oorspronkelijk ontworpen voor kritieke infrastructuursystemen, maar kan worden toegepast op organisaties in elke sector. Bedrijven kunnen op vrijwillige basis zo veel van het raamwerk implementeren als praktisch en kosteneffectief is voor hun huidige bedrijfsomgeving.

Dit is niet het enige kader voor cyberbeveiliging. Met behulp van algemene raamwerken, zoals de normen ISO 27001 en 27002 van de Internationale Organisatie voor Normalisatie (ISO), kan een bedrijf de cyberbeveiligingsgereedheid tegenover zijn klanten en partners valideren. Andere kaders voor cyberbeveiliging beschermen gegevens in specifieke sectoren, zoals financiën, energie en gezondheidszorg.

Het doel van het NIST Cybersecurity Framework is organisaties te helpen risico's te beoordelen en te beheren, en die strategie te communiceren naar interne en externe belanghebbenden. Het is bedoeld om de communicatie binnen het hele bedrijf te vergemakkelijken - van eindgebruikers tot de directie. Bedrijven kunnen het kader ook gebruiken om risicomanagementactiviteiten te communiceren en te coördineren met zakelijke partners in hun toeleveringsketen.

Waarom uw bedrijf een cyberbeveiligingsraamwerk nodig heeft
De huidige afhankelijkheid van technologie en onderling verbonden systemen verhoogt de kwetsbaarheid voor cyberaanvallen. Bovendien is het in de huidige omgeving van cruciaal belang om de beveiliging van gebruikers- en klantgegevens te waarborgen. Het NIST Cybersecurity Framework kan de kwetsbaarheid van cyberaanvallen die privégegevens blootleggen, tot een minimum beperken.

Organisaties kunnen het NIST Cybersecurity Framework gebruiken om bedrijfsdoelstellingen te koppelen aan beveiligingsdoelstellingen, hetzij door een nieuw cyberbeveiligingsprogramma op te zetten, hetzij door een bestaand programma te verbeteren. Bovendien is het kader flexibel, zodat bedrijven kunnen implementeren wat past bij hun zakelijke professionals en risicotolerantie.

Het gebruik van het raamwerk zal niet alle blootstelling wegnemen, maar als er een aanval plaatsvindt, zal het cyberveerkrachtplan bedrijven helpen te reageren en te herstellen. En aangezien een bedrijf vaak maar zo veilig is als zijn partners in de toeleveringsketen, kan het NIST Cybersecurity Framework helpen bij het opstellen van vereisten voor de bescherming tegen cyberaanvallen met partnerbedrijven.

Het NIST Cybersecurity Framework Uitgelegd
NIST ontwikkelt het Cybersecurity Framework voortdurend in samenwerking met de industrie, onder de Cybersecurity Enhancement Act van 2014. Het oorspronkelijke doelpubliek waren organisaties met een kritieke infrastructuur, zoals nutsbedrijven, transportbedrijven en de gezondheidszorg, maar nu kan elk bedrijf profiteren van de aanbevelingen en strategieën van het NIST Cybersecurity Framework. Bedrijven over de hele wereld hebben dit kader geïmplementeerd, [2] en NIST heeft onlangs de inspanningen opgevoerd om de hulpmiddelen uit te breiden naar kleine en middelgrote bedrijven. [3] Het kader richt zich op wereldwijde normen en beste praktijken, en het is technologieneutraal.

Het NIST Cybersecurity Framework is een kader voor veerkracht in cyberspace en specificeert een reeks activiteiten om bepaalde resultaten te bereiken bij het beperken van cyberrisico's en het herstel na aanvallen.

• De kern van het kader omvat vijf functies: Identificeren, Beschermen, Detecteren, Reageren en Herstellen. Binnen elke functie zijn er categorieën en subcategorieën, die bestaan uit activiteiten en aanbevolen referenties die normen en praktijken beschrijven om de doelstellingen van elke functie te bereiken.
• Vier implementatieniveaus definiëren de mate waarin een organisatie het kader implementeert - van basisimplementaties (niveau 1) tot meer geavanceerde en flexibele beveiligingsplannen (niveau 4).
• Profiles beschrijven de huidige en de gewenste staat van beveiliging. Het huidige profiel vertegenwoordigt de bestaande praktijken en normen van een bedrijf, terwijl het doelprofiel de veerkracht van de cyberbeveiliging vertegenwoordigt die het bedrijf wil bereiken.

In het volgende hoofdstuk worden de drie componenten nader toegelicht.

Belangrijkste functies van een NIST-cyberbeveiligingskader

Van cruciaal belang voor het NIST Cybersecurity Framework zijn de vijf kernfuncties, die bedoeld zijn om gelijktijdig en continu te worden uitgevoerd:

1. Identificeren: Voor deze functie identificeert een bedrijf zijn kritieke middelen en de risico's in verband met die middelen. Bijvoorbeeld, voor ransomware-aanvallen kan het bedrijf gebruikers identificeren als het belangrijkste risico bij binnenkomst - vooral gebruikers die op afstand werken - en ook prioriteit geven aan te beschermen bedrijfsgegevens. Categorieën onder deze functie zijn onder meer middelenbeheer, bedrijfsomgeving, governance, risicobeoordeling en risicobeheerstrategie.
2. Beschermen: Dit is waar het bedrijf beveiligingen ontwikkelt om de continue levering van bedrijfsfuncties te garanderen. Als we hetzelfde voorbeeld van ransomware-aanvallen gebruiken, kan het bedrijf meerdere acties ondernemen, zoals e-mailbeveiliging versterken door gebruikers op te leiden, hen te waarschuwen verdachte e-mails niet te openen, kunstmatige intelligentie te implementeren om phishing-e-mails te screenen en te verwijderen voordat ze bij gebruikers worden afgeleverd, en authenticatie in twee fasen te gebruiken om het voor aanvallers moeilijker te maken geloofsbrieven te stelen. En om de gegevens te beschermen, kan het bedrijf offsite back-ups maken. De categorieën onder Beschermen omvatten Identiteitsbeheer en toegangscontrole, Bewustzijn en opleiding, Gegevensbeveiliging, Informatiebeschermingsprocessen en -procedures, Onderhoud en Beschermende technologie.
3. Detect: Voor deze functie ontwikkelt het bedrijf methoden om een inbraak of aanval te ontdekken. Het bedrijf kan bijvoorbeeld gebruikerslogins controleren op anomalieën of uitkijken naar trojaanse paarden die ransomware afleveren. In het ideale geval kan de ransomware trojan worden gedetecteerd voordat het zijn payload dropt. Categorieën voor Detect zijn Anomalieën en gebeurtenissen, Doorlopende bewaking van beveiliging en Detectieprocessen.
4. Reageren: Na een succesvolle aanval moet het bedrijf voorbereid zijn om de juiste belanghebbenden te informeren en de inbraak een halt toe te roepen. Na een ransomware-aanval, bijvoorbeeld, zou een bedrijf met offsite gegevensback-ups moeten kunnen reageren zonder het losgeld te betalen. Categorieën zijn hier Response Planning, Communicatie, Analyse, Mitigatie en Verbeteringen.
5. Recover: In deze stap herstelt een bedrijf alle beschadigde middelen tot normale werking. Bij een ransomware-aanval betekent dat het herstellen van de gegevens van een offsite back-up en het opschonen van de gebruikersapparaten. Categorieën zijn Herstelplanning, Verbeteringen en Communicatie.

Veel factoren zijn van invloed op de Cybersecurity Framework Tier die een bedrijf zal kiezen te implementeren. Het risiconiveau en de risicotolerantie van een bedrijf, wettelijke vereisten, beveiligingseisen voor de toeleveringsketen en bedrijfsbeperkingen zijn slechts enkele voorbeelden. De vier niveaus zijn:

• Niveau 1, gedeeltelijk: Gekenmerkt door een informele en reactieve aanpak van cyberbeveiligingsrisico's, in dit niveau reageren organisaties per geval zonder afstemming met zakelijke partners.
• Niveau 2, Risicogeïnformeerd: Risicobewustzijn, maar geen bedrijfsbreed programma geïmplementeerd. Beperkte samenwerking met zakenpartners.
• Niveau 3, herhaalbaar: Risicobeheer is vastgelegd als bedrijfsbreed beleid en wordt regelmatig geëvalueerd. In dit niveau werken bedrijven samen met externe entiteiten via overeenkomsten met partners in de toeleveringsketen.
• Niveau 4, Adaptief: Organisaties in dit niveau verbeteren voortdurend hun cyberbeveiligingspraktijken in de hele organisatie en passen geavanceerde technologieën toe om veranderende bedreigingen het hoofd te bieden. Zij monitoren proactief hun toeleveringsketenomgeving, waarin zij formele overeenkomsten hebben gesloten.

Het NIST Cybersecurity Framework Profile van een bedrijf vertegenwoordigt de beveiligingsomgeving en risicotolerantie van het bedrijf.

• Huidig profiel: Een zelfbeoordeling door een bedrijf van zijn cyberbeveiligingsgereedheid, waarbij zwakke punten in het beleid en de procedures aan het licht kunnen komen.
• Doelprofiel: Het gewenste niveau van cyberbeveiligingsbereidheid van een bedrijf.

Door het huidige profiel te vergelijken met het doelprofiel, kan een bedrijf de kosten en baten van zijn cyberbeveiligingsactiviteiten meten en een actieplan ontwikkelen om het doelprofiel te bereiken.

Hoe u met uw cyberbeveiligingskader aan de slag kunt

Als u een nieuw cyberbeveiligingsraamwerk voor uw organisatie wilt opzetten, of uw huidige cyberbeveiligingspraktijken wilt verbeteren, kunt u dit in een paar stappen doen:

1. Bepaal de missie van uw bedrijf en de middelen die moeten worden beschermd. Houd ook rekening met eventuele regelgevings- en privacyvereisten en identificeer gerelateerde bedreigingen. Beschrijf op basis van deze informatie uw prioriteiten en beoordeel uw risico's en risicotolerantie.
2. Ontwikkel uw huidige profiel. Maak een lijst van de reeds bestaande praktijken en van de bereikte of gedeeltelijk bereikte resultaten. Voer een risicobeoordeling uit om de waarschijnlijkheid van een gebeurtenis en de daaruit voortvloeiende impact te bepalen. Het is belangrijk om op de hoogte te zijn van de huidige bedreigingen.
3. Ontwikkel uw Doelprofiel. Identificeer voor alle kwetsbaarheden die in het huidige profiel aan het licht zijn gekomen, aanvullende praktijken en normen die moeten worden geïmplementeerd. Als het Doelprofiel onbereikbaar lijkt met de huidige personeelsbezetting, overweeg dan extra middelen.
4. Communiceer bij elke stap de stand van zaken van het cyberbeveiligingsrisico aan interne en externe belanghebbenden.

De kern van de zaak

Het implementeren van een cyberbeveiligingsraamwerk is geen eenmalige klus. Cybercriminelen rusten niet en een bedrijf kan dat ook niet. Het beoordelen van risico's moet met tussenpozen worden herhaald omdat het bereiken van veerkracht op het gebied van cyberbeveiliging een continu proces is. Met behulp van het NIST Cybersecurity Framework kunnen organisaties bepalen waar hun zwakke plekken liggen in de beveiliging en hoe ze cyberaanvallen kunnen beperken en beheersen.

[1] " Framework for Improving Critical Infrastructure Cybersecurity ," Nationaal Instituut voor normen en technologie

[2] " NIST markeert vijfde verjaardag van populair cyberbeveiligingskader ," Nationaal Instituut voor normen en technologie

[3] " Hulpbronnen voor het midden- en kleinbedrijf ," Nationaal Instituut voor normen en technologie