Bedrijven vertrouwen op digitale infrastructuur voor het delen van gevoelige informatie, het beheren van financiën en het uitvoeren van verschillende activiteiten. Echter, met deze afhankelijkheid ontstaan er ook risico’s. Cybercriminelen maken gebruik van geavanceerde technieken om toegang te krijgen tot deze gegevens, met het potentieel voor verstrekkende schade aan bedrijven en hun reputatie. Dit geldt in het bijzonder voor internationale zakelijke transacties. Wanneer u zaken doet met bedrijven buiten de EU, denk bijvoorbeeld aan een leverancier in Zuid-Afrika of een kleine vestiging in China, moeten er specifieke maatregelen worden genomen om ervoor te zorgen dat de gegevens veilig blijven. Dit omvat niet alleen het beschermen van gegevens tijdens de overdracht, maar ook tijdens de opslag en verwerking ervan. In dit artikel zijn tips te vinden die van toepassing zijn op het zaken doen met bedrijven buiten de Europese Unie met betrekking tot cyber security.
Dit artikel is geschreven als onderdeel van één van de vele Q&A sessies die gehouden worden door CW Greenport. Tijdens een Q&A sessie wordt ingezoomd op een specifiek onderwerp wat leeft onder de deelnemers van CW Greenport en geeft een cybersecurity expert een presentatie met tips en best practices. Aanvullend is er ruimte om vragen te stellen over dit, of één van de vele andere onderwerpen binnen de cybersecurity.
In dit artikel zijn verschillende onderwerpen te vinden, welke elk individueel toegelicht worden. De onderwerpen zijn als volgt:
- Wet- en regelgeving;
- Beveiligen van (gevoelige) bedrijfsinformatie;
- Toegangsbeheer;
- Incident management;
- Fysieke veiligheid en reizen.
Wet- en regelgeving
Bij het doen van zaken met bedrijven buiten de Europese Unie is het belangrijk om op de hoogte te zijn van de verschillende wet- en regelgeving die van toepassing kunnen zijn op gegevensuitwisseling en cyber security. Eén van de belangrijkste wetten om rekening mee te houden is de Algemene Verordening Gegevensbescherming (AVG, ook wel bekend als de GDPR). De AVG is een set regels die de bescherming van persoonlijke gegevens van individuen binnen de Europese Unie en de Europese Economische Ruimte (EER) standaardiseert. Hoewel de AVG voornamelijk van toepassing is op de verwerking van gegevens binnen de EU, heeft deze ook gevolgen voor internationale gegevensuitwisseling. Zo moeten bedrijven die gegevens delen met organisaties buiten de EU zorgen dat deze organisaties voldoen aan vergelijkbare gegevensbeschermingsnormen.
Naast de AVG kunnen er ook andere nationale en internationale privacywetten van toepassing zijn, afhankelijk van de landen waarmee zaken gedaan wordt. Het is van groot belang om een goed begrip te hebben van de wet- en regelgeving in zowel uw eigen land als het land van uw zakelijke partner om ervoor te zorgen dat uw gegevens veilig en compliant worden behandeld.
Beveiligen van (gevoelige) bedrijfsinformatie
Een belangrijke methode om gevoelige informatie te beschermen is door middel van encryptie. Zoals CW Greenport eerder schreef, zorgt encryptie ervoor dat gegevens versleuteld worden ze onleesbaar voor onbevoegden, zelfs als deze in handen vallen van kwaadwillende partijen. Het is van essentieel belang om sterke encryptieprotocollen te gebruiken en ervoor te zorgen dat ze up-to-date zijn om de hoogste mate van beveiliging te waarborgen. Zeker in landen waar overheden geneigd zijn informatie te onderscheppen, zorgt encryptie ervoor dat de informatie niet ingezien kan worden.
Daarnaast is het van belang om veilige communicatiemethoden te gebruiken bij het delen van gevoelige informatie met externe partijen. Denk bijvoorbeeld aan het gebruik van beveiligde e-mailverbindingen, versleutelde berichtendiensten of beveiligde bestandsuitwisselingssystemen. Het is ook raadzaam om te overwegen welke informatie daadwerkelijk gedeeld moet worden en welke alleen op een need-to-know basis toegankelijk moet zijn. Zeker wanneer zaken gedaan wordt met een land waar meer risico’s mee gemoeid zijn (een instabiele overheid, veel hackers afkomstig uit het land, bekend om cyberaanvallen, etc.), is het belangrijk dat niets meer dan de juiste informatie gedeeld wordt.
Toegangsbeheer
Het komt vaak voor dat externe partijen toegang hebben tot interne systemen, bijvoorbeeld om bestellingen te plaatsen, contacten te leggen of samen aan documenten te werken. Het is standaard al gebruikelijk om een sterke controle op toegangsbeheer te hebben, omdat ze helpen de informatie en bronnen van een organisatie te beschermen tegen ongeoorloofde toegang. Als deze externe partij in een land buiten de EU zit, is het des te belangrijker dat organisaties goed controleren wie toegang heeft tot de systemen. Dit heet identity and access management, oftewel digitaal toegangsbeheer. CW Greenport schreef hier eerder een artikel over, samengevat zijn de volgende stappen belangrijk:
- Beleid opstellen rondom digitale toegangscontroles. De toolbox van CW Greenport bevat meerdere documenten, zoals beleid en procedures, die organisaties eenvoudig kunnen gebruiken;
- Vaststellen wie toegang nodig heeft tot welke informatie. Idealiter gebeurt dit op basis van rechten en rollen: een persoon krijgt alleen toegang tot informatie binnen een systeem indien dit nodig is voor zijn/haar werk;
- Beoordeel de toegangsrechten regelmatig. Controleer hierbij of alle personen toegang hebben tot informatie die zij daadwerkelijk benodigd hebben (geïdentificeerd in stap 2) en pas rechten aan indien deze niet kloppen. Houdt ook rekening met medewerkers die de organisatie verlaten hebben: vraag de externe partij om regelmatig door te geven wie uit dienst zijn gegaan én van functie zijn gewisseld, om de rechten als zodanig te wijzigen.
Vele praktische documenten, zoals beleid, processen en best practices, zijn in de toolbox van CW Greenport te vinden.
Incident Management
Een ander belangrijk onderdeel binnen cybersecurity is het voorbereid zijn op mogelijke incidenten en het snel en effectief reageren wanneer deze incidenten zich voordoen. Voorbeelden van incidenten zijn (pogingen tot) hacks, gelekte informatie en informatie dat is ingezien door een ongeautoriseerde partij. Dit geldt des te meer bij internationale zaken, waarbij een coördinatie tussen partijen cruciaal is. Ook voor incident management heeft CW Greenport vele documenten beschikbaar gesteld in haar toolbox.
Een praktisch voorbeeld is de template van het cybersecurity herstelplan: het is van belang om een goed gedefinieerd incidentresponsplan te hebben dat specifieke stappen en verantwoordelijkheden duidelijk beschrijft. Dit plan moet niet alleen reactieve maatregelen bevatten, maar ook proactieve maatregelen om de schade te beperken en herhaling te voorkomen. Bij het zaken doen met bedrijven buiten de EU is het ook belangrijk om samen met uw internationale partners noodplannen op te stellen. Dit omvat afspraken over hoe gezamenlijk te handelen in geval van een cyberincident. Duidelijke communicatie en gecoördineerde actie zijn van het grootste belang om de schade te beperken en het herstelproces te versnellen.
Fysieke veiligheid en reizen
Organisaties doen niet alleen digitaal zaken met organisaties uit andere landen: zij zullen ook al dan niet periodiek op bezoek gaan om lokaal samen te werken. Dit is waar fysieke veiligheid aan bod komt. Risico’s moeten geïdentificeerd worden en maatregelen moeten genomen worden om de informatie veilig te houden.
Reizen zal veelal met het vliegtuig gaan. Een veelvoorkomende situatie is dat op een vliegveld een onveilig wifi-netwerk aangeboden wordt door een kwaadwillende om de informatie te onderscheppen. Om dit risico te verminderen, moeten medewerkers worden aangemoedigd om altijd een VPN-verbinding te gebruiken bij het verbinden met externe netwerken. Daarnaast moeten zij op de hoogte zijn van de gevaren van onbeveiligde Wi-Fi-netwerken en het gebruik ervan tot een minimum beperken. Ook komt het vaak voor dat er een controle door de douane uitgevoerd wordt. Zeker in de VS en in bepaalde landen in Azië kan de douane vragen om een laptop te openen en te laten zien wat hierop staat. Dit houdt in dat een ongeautoriseerd persoon direct inzage krijgt in (gevoelige) bedrijfsgegevens. Medewerkers moeten weten hoe zij gevoelige gegevens op hun apparaten kunnen beschermen. Het is raadzaam om bedrijfsgegevens op een versleutelde externe schijf op te slaan en alleen te openen wanneer strikt noodzakelijk. Dit artikel van CW Greenport geeft praktische tips voor het meenemen van apparatuur naar andere landen.