'Regel je beveiliging onafhankelijk van je technologie'

vrijdag, 5 september 2025 (07:03) - Computable

In dit artikel:

Via een kwetsbaarheid in Citrix NetScaler kregen aanvallers toegang tot systemen van het Openbaar Ministerie, waarna de OM-infrastructuur uit voorzorg volledig offline werd gehaald. Cybersecurityspecialist Erik de Jong (Chief Research Officer bij Tesorion) legt uit dat het vermoedelijke lek een herhaalbaar maar onvoorspelbaar geheugenlek betrof: herhaaldelijk uitlokken kan leiden tot het vrijkomen van bijvoorbeeld een session-cookie, waarmee een aanvaller vervolgens volledige accounts kan overnemen.

De belangrijkste lessen volgens De Jong:
- Techniek alleen is niet de kern van het probleem; beveiliging draait om people, process en technology. Goede processen en geschoold personeel verminderen risico’s meer dan uitsluitend het wisselen van producten.
- Begin met weten wat je bezit: asset-inventarisatie is cruciaal om risico’s te beheersen en snel te reageren wanneer iets misgaat.
- Balans tussen preventie, detectie en response is essentieel. Patches en productkeuze helpen, maar monitoring en snelle incidentafhandeling beperken schade wanneer iets fout gaat.
- Uitbesteden van beheer is vaak praktisch en verstandig voor kleinere organisaties, mits zij zelf voldoende kennis in huis houden om dienstverlening te beoordelen en second opinions te vragen.

Over verantwoordelijkheid benadrukt De Jong dat contractuele terms vaak de eindgebruiker blootstellen aan risico’s ("as-is"), maar dat regelgeving zoals de Europese Cyber Resilience Act leveranciers steeds meer verplichtingen oplegt. Toch blijft het onmogelijk om foutloze software te garanderen; daarom moet een organisatie zich richten op weerbaarheid en snelle detectie.

Praktische adviezen voor bestuurders en risicomanagers: zorg dat cyberrisico’s op het niveau van de CFO of risk officer komen, houd assetlijsten up-to-date, voer risico‑gebaseerd patchmanagement en investeer zowel in preventie als in detectie‑ en responscapaciteit. Tot slot: een hack blijft een dagelijkse bedreiging zolang systemen online zijn, dus voortdurende aandacht en oefening zijn noodzakelijk.

De nieuwste ontwikkelingen op dit terrein worden besproken op Cybersec Netherlands, op 10–11 september in de Jaarbeurs Utrecht; de beurs is gratis te bezoeken na inschrijving.