Wat is de Cyber Kracht Meting?

De Cyber Kracht Meting is een initiatief van FERM in samenwerking met ThreadStone Cyber Security en Security Delta. Bij de Cyber Kracht Meting worden organisaties ‘van buitenaf’ gecontroleerd op een aantal veel voorkomende kwetsbaarheden met betrekking tot digitale veiligheid. In openbare bronnen op internet werd gezocht naar kwetsbaarheden in relatie tot de domeinnamen van de betreffende organisaties.

De Cyber Kracht Meting is onlangs uitgevoerd bij ruim 500 organisaties in de Rotterdamse haven, die zijn aangesloten bij FERM. ThreadStone Cyber Security verzorgt de meting en de rapportage. Security Delta is betrokken omdat deze aanpak vanuit Cyber Kracht aansluit bij haar sectorbenadering om Nederland digitaal veiliger te maken. De partners gaan nu kijken hoe de meting ook in andere sectoren kan worden ingezet.

Wat heb ik aan het rapport van de Cyber Kracht Meting?

Het rapport geeft inzicht in cyberrisico’s die via openbare databronnen vrij eenvoudig zijn vast te stellen. De informatie die in het rapport wordt gebruikt en weergegeven, komt uit openbare databronnen. Dit betekent dat ook kwaadwillenden dit soort informatie eenvoudig kunnen achterhalen en eventueel misbruiken. Dit rapport kan uw bedrijf helpen om bij te dragen aan een cyberveilig havengebied. Houdt u er echter rekening mee dat het rapport zeker niet een volledig beeld geeft van uw cyberveiligheid.

Waarom leveren jullie dit rapport?

FERM staat voor een cyberweerbare haven, zowel fysiek als digitaal. Dit rapport helpt om binnen de gehele keten cyberveiligheid te verbeteren en inzicht te krijgen hoe organisaties soms op een vrij eenvoudige manier hun cyberweerbaarheid kunnen vergroten.

Hoe moet ik dit rapport interpreteren?

U kunt dit rapport vooral zien als richtinggevend voor eerste acties. Dit rapport kan helpen om een aantal risico’s in beeld te krijgen, zodat de juiste actie hierop kan worden ondernomen. De informatie die in dit rapport staat, is niet volledig: informatiebeveiliging omvat meer dan wat in dit rapport wordt besproken.

Gebruiken jullie de verkregen data ook voor andere doeleinden?

Wij gebruiken de uit openbare bronnen verkregen data vooralsnog alleen om analyses uit te voeren. Op termijn is het denkbaar dat ketens veiliger worden gemaakt door dit soort informatie uit te wisselen. We delen de gegevens dan alleen op geaggregeerd en daarmee anoniem niveau, nooit op organisatieniveau.

Is deze meting vergelijkbaar met een hacktest, vulnerability scan, vulnerability assessment of pentest?

Nee, die genoemde tests voeren allerlei actieve controles uit op bijvoorbeeld de website of andere aan het internet verbonden systemen. Met de Cyber Kracht Meting kijken we vooral naar het publiek toegankelijke domein. Dit is een belangrijke eerste stap, omdat een website en de e-mail voor criminelen vaak een eerste toegangspoort is tot uw systemen. Subdomeinen, portalen, IP-adressen worden in de Cyber Kracht Meting niet meegenomen. Een pentest brengt bijvoorbeeld ook allerlei technische kwetsbaarheden naar voren.

Alle participanten van FERM hebben de mogelijkheid om dit soort uitgebreidere tests gezamenlijk in te kopen via FERM. Ook kunnen zij informatie die uit deze tests komt, indien wenselijk, met elkaar delen in een beveiligde omgeving.

Mogen jullie een dergelijk rapport zonder mijn toestemming maken?

Het rapport wordt opgezet op basis van een uitvraag van openbare bronnen op het internet. Hiervoor gebruiken wij de domeinnaam van de organisatie. U kunt het zien alsof we door een straat rijden en bij elk huis van buitenaf kijken of er geen ramen of deuren openstaan. Ook vragen we als het ware luchtfoto’s op en informeren we bij het kadaster naar openbaar beschikbare informatie. Met de Cyber Kracht Meting wordt al deze informatie gekoppeld, om risico’s te duiden en duidelijk te rapporteren. Zo krijgt u een globaal beeld van de cyberrisico’s van uw organisatie.

Worden er persoonsgegevens verwerkt bij het opzetten van het rapport?

Er worden geen persoonsgegevens verwerkt. Er wordt wel een controle uitgevoerd of we e-mailadressen van gebruikers kunnen vinden die in gehackte of gelekte databestanden voorkomen. Voordat de verwerking start, worden alle persoonsgegevens verwijderd uit de bestanden. E-mailadressen zijn dus nooit zichtbaar. Alleen het domein blijft over.

Worden er, zonder mijn toestemming, persoonsgegevens uitgewisseld met ThreadStone?

De enige informatie die wordt uitgewisseld met ThreadStone is de domeinnaam en de omvang van uw organisatie in FTE. Deze informatie wordt gebruikt voor analysedoeleinden.

Mijn IT-verantwoordelijke zegt dat het allemaal wel meevalt. Ik vind het moeilijk om mijn standpunt te bepalen. Wat vinden jullie hiervan?

Goed dat u het rapport heeft doorgenomen met uw IT’er! Wij denken dat elk risico dat we opsommen het bekijken waard is. Wij kunnen niet bepalen of een website bijvoorbeeld alleen als digitale brochure wordt gebruikt of dat er allerlei gegevensstromen overheen gaan. Maar e-mail is bijvoorbeeld voor vrijwel elke organisatie van belang, en daarom moet dat deel  goed beveiligd zijn.

Over het algemeen valt het aantal uren dat nodig is om de geconstateerde risico’s weg te nemen of te beperken mee. Wij adviseren u dan ook met klem om alle constateringen serieus te nemen en zo mogelijk gerichte maatregelen te treffen.

Infographic Cyber Kracht Meting

(klikbaar voor volledig formaat)