Interview Frank Leest, CEO Networking4all

Verantwoordelijkheid die registrars hebben wordt vaak onderschat

Een hoster en registrar die de switch maakt naar cybersecurity en zich daar volledig op toelegt: het komt niet vaak voor. Maar juist door deze achtergrond is VVR-partner Networking4all als geen ander in staat om de business van registrars te doorgronden. Geen andere partij heeft zo veel kennis van de dreigingen en risico’s waarmee registrars te maken krijgen op het gebied van cybersecurity. Tijd om daar eens dieper op in te gaan.

Door de unieke achtergrond van Networking4all is er veel kennis aanwezig over de informatiebeveiligingsrisico’s en kwetsbaarheden die typisch zijn voor hosters en registrars. Zij hebben net als andere digitale infrastructuurbedrijven te maken met een flink aantal cybersecuritydreigingen. Die kunnen allerlei vormen aannemen, waarvan phishing, ransomware en DDoS-aanvallen de meest voorkomende zijn.

Delicaat onderdeel van het internet

Wat cybersecurity voor registrars uniek maakt, is dat zij verantwoordelijk zijn voor een delicaat onderdeel van het internet in de vorm van domeinnamen en DNS-records. Met het snelgegroeide belang van bijvoorbeeld e-commerce zijn domeinnamen voor veel bedrijven en instellingen extreem belangrijk geworden. Problemen zorgen al snel voor omzetderving, reputatieschade en schadeclaims.

Alle registrars hebben hier vanzelfsprekend aandacht voor, maar door de complexiteit van de dreigingen en vaak beperkte middelen, is het lastig om prioriteiten te stellen. Zo hebben alle registrars bijvoorbeeld een portal, maar worden die in de praktijk weinig getest op kwetsbaarheden. Daarnaast duiken regelmatig zero-days op, kwetsbaarheden in de informatiebeveiliging die onbekend zijn en dus ook niet snel verholpen kunnen worden. Hoe langer zo’n zero-day onbekend is, hoe groter de kans is dat er misbruik van wordt gemaakt.

NIS2

Ook de Europese Unie ziet het vitale belang van de rol van de domeinnaam registries. Binnen de nieuwe NIS2 regelgeving wordt deze sector gezien als leverancier van essentiële diensten, ongeacht de grootte en omzet van de domeinnaam registrar.

Handen en ogen tekort

Het is dan ook zaak om op een holistische manier over cybersecurity na te denken. Het gaat dan niet alleen om technische maatregelen, maar ook over het trainen van medewerkers en het op de juiste manier inrichten van processen. En, niet onbelangrijk: automatisering en monitoring. Want wie niet sterk is, moet slim zijn.

Dat begint met het werken aan een positieve cultuur rondom informatiebeveiliging binnen de eigen organisatie. Het bewustzijn rondom cybersecurity risico’s moet groot zijn en tot in de haarvaten van de organisatie zijn doorgedrongen. Regelmatig terugkerende trainingen en het testen van de awareness van medewerkers zijn beproefde methoden om deze cultuur te creëren.

Certificeringen kunnen daarnaast helpen om risico’s goed in kaart te brengen, beheersmaatregelen in te richten en een cyclus van continue verbetering te starten zodat ook nieuwe dreigingen het hoofd geboden kunnen worden. Het is daarbij zinvoller om dit zo in te richten dat recht gedaan wordt aan hoe de organisatie in elkaar steekt, in plaats van met templates te werken. Het is daarbij niet alleen belangrijk om de processen op orde te hebben, maar ook om regelmatig te testen of de getroffen maatregelen adequaat zijn. Dit kan door red teaming, maar ook met tools die op kwetsbaarheden scannen of pentesting.

Tot slot is monitoring van het eigen netwerk en infrastructuur essentieel. Want wie zich alleen toelegt op people, processes & technology miskent dat het een kwestie van tijd is voordat een incident plaatsvindt. Als de juiste maatregelen zijn getroffen, heeft zo’n incident in eerste instantie een beperkte impact. Maar die impact kan alleen klein blijven als sprake is van goede monitoring, bij voorkeur door middel van een Security Operations Center (SOC) waar specialisten dag en nacht een oogje in het zeil houden. En direct ingrijpen als dat nodig is.

Grote verantwoordelijkheid, beperkte middelen

De vraag die bij veel registrars speelt, is hoe je de beperkte middelen die vaak beschikbaar zijn het meest effectief inzet. Het is in veel gevallen niet realistisch om zowel awareness, proces- en risicobeheersing, testing en monitoring allemaal in eigen beheer te doen. Het is daarom verstandig om te overwegen of dit niet kan worden overgelaten aan een specialistische partij die jouw specifieke uitdagingen kent. En op basis van die kennis ook maatwerk kan toepassen, gebaseerd op onder meer omvang, beschikbare middelen en bedrijfsprocessen.

Heb je vragen omtrent informatiebeveiliging? Wil je weten in welke cybersecurity bewustzijnfase je organisatie zit? Of wil je weten of je geen zaken over het hoofd ziet?

Neem dan eens vrijblijvend contact op met Networking4all via +31 20 788 1030 of support@networking4all.com. We denken graag met je mee!