Rijkslogo, link naar home
Nationaal Cyber Security CentrumMinisterie van Justitie en Veiligheid

Kwetsbaarheden in Ivanti EPMM 

Lees de alert met tijdlijn, scanscript, duiding en handelingsperspectieven.

Overtuig jouw bestuur van assume breach

Kennisartikelen
Leestijd:
Assume breach
Groeien
Assume breach is een nuttig uitgangspunt voor je digitale weerbaarheid. Voordat je dat hiermee als organisatie aan de slag kunt, moet ook je bestuur het gedachtegoed adopteren. Dit artikel is een praktisch stappenplan om assume breach bij je bestuur aan te kaarten. In drie fases geven we je handvatten om bestuurders mee te nemen in nut en noodzaak van assume breach.

Achtergrond

Als securityprofessional weet je als geen ander dat digitale aanvallen of verstoringen niet volledig zijn te voorkomen. Voor sommige bestuurders klinkt assume breach te defensief en te afwachtend terwijl ze mogelijk meer zekerheid en controle nodig hebben. Het is daarom van belang de denkwijze achter assume breach helder te verwoorden. Door misverstanden weg te nemen creëer je draagvlak. 

Dus niet:

  • “We geven preventie op”
  • “We accepteren dat aanvallers vrij spel hebben”
  • “We verwachten dat alles misgaat”

Maar wel: 

“We zien steeds meer dat organisaties, hoeveel ze ook investeren in preventieve maatregelen, alsnog slachtoffer worden van een digitale aanval. Daarom is het belangrijk te focussen op opsporen, impactbeperking, huidige risico’s en business continuity management.”

Voorbereiding

Leg de brug tussen risico en realiteit

1. Richt je boodschap op wat bestuurders belangrijk vinden

Bestuurders denken in termen van risico’s, continuïteit, reputatie, compliance en kosten. Dus niet in technische termen of per se in jouw prioriteiten. Maak duidelijk dat het adopteren van de assume breach-denkwijze juist herstel versnelt en schade beperkt.

Het is dus belangrijk om assume breach te vertalen in termen die aansluiten bij rollen en verantwoordelijkheden van bestuurders:

  • Niet: “We moeten uitgaan van inbraak en dus investeren in detectie, response en recovery.”
  • Wel: “We moeten ervan uitgaan dat verstoringen onvermijdelijk zijn. Daarom is het van belang dat we breder kijken dan alleen onze digitale beschermingslaag. Om schade en impact te verkleinen is het nodig om ook aanvallen tijdig te zien, weten hoe we daarop moeten reageren en hoe we schade kunnen herstellen.”

2. Gebruik concrete, herkenbare scenario’s

Laat de langdurige impact zien van hoe een onopgemerkte aanval tot uitval van processen, producten en diensten kan leiden en toon dat aan met data of voorbeelden uit je sector. Vertel een verhaal, maar baseer je verhaal altijd op data. 

  • Niet: “We moeten meer doen aan awareness want phishing is een risico.”
  • Wel: “Stel je voor dat een medewerker op een phishingmail klikt. Binnen een aantal uur heeft een aanvaller toegang tot onze HR-bestanden en als niemand de aanvaller heeft gespot dan kan de aanvaller zich verplaatsen en nog meer schade aanrichten. Dat is precies wat organisatie Y is overkomen. In onze laatste phishingtest klikte x% op een phishinglink en vergelijkbare percentages zien we ook terug in organisaties uit onze sector. Dit maakt dat dit een realistisch scenario is.”

3. Koppel assume breach aan bestaande strategische cyber- en andere organisatiedoelen

Verbind de denkwijze achter assume breach aan thema’s die al op de agenda staan. 
Dit kunnen strategische doelen zijn op het gebied van cybersecurity:

  • Digitale weerbaarheid
    • Compliance (NIS2, BIO2, ISO 27001)
  • Maar richt je vooral op strategische doelen op organisatieniveau, zoals:
    • Operationele continuïteit
    • Organisatierelevante KPI’s.

Het lijkt extra werk, maar positioneer het zodat het aansluit op bestaande doelen en realiseer aldus synergie. 

  • Niet: “Dit kost tijd, geld en capaciteit, maar het is noodzakelijk om compliant te zijn aan de BIO2.”
  • Wel: “Investeren in een response- en recoveryplan helpt ons direct om bestaande doelen te halen: continuïteit en een betrouwbare dienstverlening.”

Tijdens het gesprek

Focus op bewustwording & risicobereidheid

4. Zet een duidelijk verhaal neer

Leg je situatie en voorstel concreet in een paar zinnen uit zodat ze bewust worden van het probleem.

Dus niet: “We moeten onze beveiliging verbeteren, want de dreigingen worden steeds complexer. We doen ons best om de impact op de organisatie te verminderen.”

Maar wel:  

  • Realiteit: Volledige preventie bestaat niet, zelfs niet met de beste technologie.
  • Aanpak: We kunnen ervoor zorgen dat we snel(ler) opmerken, beperken en herstellen.
  • Voordeel: Dat vergroot onze veerkracht en beperkt reputatie- en financiële schade.

5. Help je bestuur na te denken over hun risicobereidheid

Help je bestuur in het maken van keuzes rondom risicobereidheid en risicoacceptatie. Geef als context mee dat er al iemand in je systemen zit. Immers, lang niet alle risico’s zijn te managen, te mitigeren en ook lang niet alle risico’s zijn even relevant voor de organisatie. Door jouw kennis en kunde kunnen bestuurders hierin geholpen worden een afgewogen keuze te maken.

Stel bijvoorbeeld de volgende vragen: 

  • Welke bedrijfsprocessen mogen absoluut niet uitvallen? 
  • Welke bedrijfsprocessen kunnen tegen een stootje en hoe lang kan dat voortduren voordat het wel een probleem wordt?

Dus in feite: hoeveel verstoring is acceptabel? 

  • Niet: “Hier is een overzicht van kwetsbaarheden en systemen die risico lopen.”
  • Wel: “Jullie bepalen hoeveel verstoring acceptabel is. Mijn rol is om zichtbaar te maken wat nodig is om binnen die grenzen te blijven. Als we deze grenzen helder hebben dan kunnen we maatregelen treffen die aansluiten op jullie risicobereidheid. 

Na het gesprek

Houd het levend

Assume breach is niet een eenmalig projectje. We adviseren om de gekozen maatregelen cyclisch te organiseren, te monitoren en evalueren. 

6. Houd bestuur en management op de hoogte

Je wilt dat bestuurders en management begrijpen hoe goed de organisatie aanvallen ontdekt, beperkt en herstelt. Maak wat je hebt besproken en afgesproken een terugkerend agendapunt en plan periodieke updates met de bestuurders. We raden aan om het een onderdeel te maken van een cyclisch gesprek over de digitale weerbaarheid en beleid van je organisatie. 

Het management wil waarschijnlijk geen antwoord op de volgende vragen:

  • “Hoe snel detecteren we een binnengedrongen aanvaller?”
  • “Hoe goed kunnen we laterale beweging beperken?”

Maar wel: 

  • “Hoe effectief is ons herstelvermogen?”
  • “Organisatie X is gehackt met Y schade, kan dat ook bij ons gebeuren?”
  • “We hebben het volgende geleerd van de afgelopen incident of bijna incident: ...”

7. Maak verwachtingen expliciet en leg besluiten vast

Het doel is om duidelijkheid te creëren over de risicobereidheid en wie waarvoor verantwoordelijk is. 

  • Documenteer welke risico’s het bestuur heeft geaccepteerd en welke niet. Bijvoorbeeld:
    • “Hoe actief monitoren we en wat is dus de maximale toegestane dwell time?”
    • “Welke impact op kritieke processen bij een succesvolle breach accepteren we?”
       
  • Vertaal dit naar concrete acties, deadlines en eigenaarschap. Wie beslist, wie voert uit? Maak bijvoorbeeld gebruik van het RASCI-matrix om verantwoordelijkheden rond assume breach maatregelen vast te leggen.
    • “Wie is eigenaar van snellere detectie?”
    • “Wie is verantwoordelijk voor segmentatie of identity management?”
    • “Wie beoordeelt of risicobereidheid en -acceptatie nog kloppen na een incident?”

8. Meet en rapporteer met je doelgroep in het achterhoofd

Voorkom technische details, houd het concreet en gericht op de bedrijfsdoelstellingen. Bijvoorbeeld:

“We detecteren aanvallers nu gemiddeld binnen 15 minuten in plaats van 3 uur — dit voorkomt uitval in de operatie.”

  • KPI’s en metrics die jullie samen hebben geformuleerd zijn belangrijk, maar maak er vervolgens vooral een begrijpelijk verhaal van. Het is belangrijk dat je hier altijd een vertaalslag over doet richting bestuur. 
    • Visualisaties en infographics kunnen helpen om het verhaal te vertellen.
      • Metrics die je samen hebt aangeduid zijn bijvoorbeeld:
        • Mean Time To Detect (MTTD)
        • Mean Time To Respond (MTTR)
        • Rapportages van tabletops, red-teaming en purple-teaming sessies.
    • Laat de KPI’s/metrics periodiek terugkomen zodat je een compleet beeld en verhaal bouwt van de situatie.

9. Bouw aan ambassadeurschap en een gevoel van verantwoordelijkheid

Laat je bestuur ervaren hoe het voelt en wat er gebeurt als een aanvaller al binnen is en wat vervolgens hun rol is. 

  • Betrek je bestuur in tabletop-oefeningen met een scenario waarin assume breach een rol speelt. Laat ze zelf ervaren hoe snel een aanval gebeurt en zich verder ontwikkelt.
    • Ambassadeurschap bouw je door te weten wat er in je organisatie speelt
      Luister naar hun individuele behoeftes en praat door over hoe een incident iemands portefeuille raakt. 
      Bijvoorbeeld:
      • HR: risico op datalek en arbeidsrechtelijke impact
      • Finance: verstoring betalingen, fraude
      • Operatie: stilvallen van processen
      • Legal: meldplichten, aansprakelijkheid.
    • Vier successen. Communiceer bijvoorbeeld “Doordat onze detectie effectief is, hebben we schade X voorkomen”. Zichtbaarheid en (zichtbare) impact creëren draagvlak en helpen met ambassadeurschap.
    • Laat impact zien. Laat zien hoe maatregelen bijdragen aan business continuity, niet alleen security. Koppel dit aan gemaakte investeringen zodat bestuurders gemotiveerd blijven omdat ze zien wat het oplevert. 

Aanvullende artikelen over oefenen en het meten van KPI's

Formulier
Heeft deze pagina je geholpen?