.png)
Dit is het nieuws en productoverzicht van december van Cyberday en ook een samenvatting van het laatste admin webinar van 2024. Ons volgende admin webinar, waar we live zullen gaan, zal begin 2025 plaatsvinden. Je kunt je dichter bij de datum inschrijven voor het webinar op onze webinars-pagina.
De NIS2-richtlijn zal vanaf oktober 2024 van toepassing zijn en de landspecifieke wetten worden in een goed tempo afgerond. De belangrijkste verschillen tussen landen zitten in de aanwijzing van sectoren en de nadruk op beveiligingsmaatregelen. In veel landen is de nationale wet al geïmplementeerd.
In het voorjaar van 2024 hebben we het e-book NIS2 ready with ISO 27001's best practices gepubliceerd, waarin we laten zien hoe de vereisten van de internationaal erkende norm hand in hand gaan met de richtlijn, waardoor naleving wordt vergemakkelijkt. In veel landen verwijst de nationale wetgeving ook naar ISO 27001 om een adequate implementatie te waarborgen.
Op dit moment publiceren we de nationale NIS2-wetten op Cyberday !
De Digital Operational Resilience Act (DORA) is van toepassing op financiële operators en ICT-dienstverleners die actief zijn in de EU. Het stelt uniforme eisen aan informatienetwerken en systemen die financiële bedrijfsprocessen ondersteunen. We hebben al meer in detail over DORA geschreven op onze blog.
In de loop van 2024 zullen verschillende technische regelgevingsnormen (RTS) voor de DORA worden gepubliceerd om financiële instellingen te helpen de beginselen van de DORA over te nemen en de naleving ervan te waarborgen. Om in overeenstemming met DORA te kunnen werken, is het daarom ook noodzakelijk om aan de RTS-aanvullingen te voldoen.
De specificaties hebben betrekking op zaken als risicobeheer, incidentclassificatie, beveiligingsbeheer van de toeleveringsketen, penetratietests, rapportage van incidenten en een meer gedetailleerde implementatie van informatiebeveiliging voor uitbesteding. In het digitale beveiligingsmodel heeft DORA al een update ontvangen over de classificatie van incidenten, en we zullen de verfijningen van de RTS in de loop van 2025 invoeren.
Het toezicht op DORA begint op 17 januari 2025.
De CRA (Cyber Resilience Act) is een EU-verordening die de veiligheid van alle digitale producten en diensten waarborgt. Het toepassingsgebied is breed en omvat software en hardware (bijv. consumentenelektronica, IoT, besturingssystemen) met digitale elementen. CRA zorgt ervoor dat producten met digitale elementen gedurende hun hele levenscyclus worden ontworpen, ontwikkeld en onderhouden met het oog op beveiliging.
Bron: exein.io
De EU-AI Act is in augustus 2024 in werking getreden en de handhaving ervan zal in 2025 geleidelijk worden ingevoerd. De AI-wet is van toepassing op ontwikkelaars en gebruikers van AI-systemen. Hoewel de reikwijdte van de AI-wet kleiner is, is het goed voor organisaties om te weten waar ze aan toe zijn.
Het belangrijkste doel van de AI-wet is:
De AI-wetgeving van de EU zal naar verwachting dienen als wereldwijd ijkpunt voor AI-regelgeving, waarbij technologische vooruitgang wordt afgewogen tegen sociale en ethische overwegingen.
Chief Information Security Officers (CISO's) van organisaties hebben vaak een enorme verantwoordelijkheid in hun werk. CISO's zijn strategische spelers en risicomanagers. De rol van de CISO is echter niet alleen om ervoor te zorgen dat gegevens worden beschermd, maar ook om het vertrouwen van de organisatie te behouden.Het is cruciaal om stil te staan bij de angst die veel CISO's ervaren: verlies ik mijn baan als er een datalek plaatsvindt in de organisatie?
Portnox heeft een onderzoek uitgevoerd onder 200 professionals in CISO-functies, met name in grote organisaties. De cijfers spreken voor zich als het gaat om de uitdagingen en angsten voor de baan: 99% van de respondenten maakt zich zorgen over het voortbestaan van de baan na een datalek, waarvan 77% zich grote zorgen maakt.
Wat kan er worden gedaan om de situatie te verbeteren? Organisaties moeten inzicht krijgen in de huidige staat van informatiebeveiliging en middelen inzetten om een proactieve omgeving voor informatiebeveiliging en gedeelde verantwoordelijkheid op te bouwen en te koesteren.
Informatiebeveiliging is een teamprestatie - laten we er één van maken.
Artikel van helpnetsecurity.com
Artikel van darkreading.com
Laten we nu eens kijken wat CyberArc's onderzoek naar de beveiligingspraktijken van medewerkers onthult. Het onderzoek onder 14.000 werknemers in verschillende sectoren laat zien dat de beveiligingspraktijken niet veel zijn verbeterd. De belangrijkste cijfers uit het onderzoek zijn:
De resultaten van de enquête onderstrepen de noodzaak van bewustwording en training van personeel op het gebied van beveiliging. Hoe onderhoudt uw organisatie de beveiligingsvaardigheden van uw personeel?
Artikel van theregister.com
Ransomware cybercriminele bendes hebben onlangs de Britse gezondheidszorg geteisterd. De Britse NHS (National Health System) is veel in het nieuws geweest, omdat veel systemen het doelwit zijn geweest van meerdere aanvallen, naar verluidt ook door verschillende criminele bendes. Een van de meest recente doelwitten is het bekende Alder Hey Children's Hospital in Liverpool. De aanval op het kinderziekenhuis wordt erkend door dezelfde losgeldgroep die in het verleden achter veel aanvallen op NHS-ziekenhuizen zat.
Op veel locaties heeft de aanval de beschikbaarheid van systemen aangetast, waardoor afspraken werden geannuleerd en medewerkers hun toevlucht moesten nemen tot pen en papier. Ondanks het datalek zijn de diensten van Alder Hey onaangetast en is er geen onderbreking van geplande afspraken of procedures. Bij het datalek zijn echter wel gevoelige gegevens gestolen. In het geval van Alder Hey omvatten de gelekte gegevens informatie over patiënten en donoren, rapporten en documenten. Het ziekenhuis heeft bevestigd dat het het datalek onderzoekt en samenwerkt met de National Crime Agency (NCA) en andere partners om de impact te beoordelen en de systemen te beveiligen.
Artikel van thehackernews.com
In december besloot Roemenië, het op zes na grootste land van Europa, de resultaten van de 1e ronde van de presidentsverkiezingen nietig te verklaren. De nietigverklaring kwam er nadat de Tik Tok-dienst campagnes begon te verspreiden die de rechtse partij Geogescu promoten, waarbij Rusland verdacht werd betrokken te zijn. Het onderzoek vond bijvoorbeeld grote niet-aangegeven donaties en 25 000 sociale media accounts die in korte tijd werden geactiveerd om de verkiezingscampagne van Geogescu te steunen, gecoördineerd via een ander contactkanaal. Het is nog niet duidelijk of Geogescu een rol heeft gespeeld in de campagne.
De nietigverklaringen benadrukten hoe de verkiezingsuitslag niet overeenkwam met de peilingen, met een relatief onbekende extreemrechtse kandidaat die als winnaar uit de bus kwam. Kandidaten die het goed deden in de verkiezing zijn natuurlijk ongelukkig met de beslissing, waarbij sommigen de nietigverklaring als antidemocratisch bestempelen. De tweede ronde van de presidentsverkiezingen zou plaatsvinden in december 2024, maar de Roemeense regering heeft besloten om de presidentsverkiezingen uit te stellen naar een latere datum, waarschijnlijk voorjaar 2025.
De zaak belicht in het bijzonder de groeiende uitdagingen waarmee democratieën worden geconfronteerd als gevolg van externe inmenging via digitale platforms, en onderstreept de dringende noodzaak om de controle op sociale media te versterken en de politieke regelgeving te moderniseren om de integriteit van verkiezingen te beschermen.
Met deze functie kun je eerst je partners in verschillende categorieën indelen en bepalen welke een beveiligingsbeoordeling nodig hebben. Vervolgens kunt u beoordelingen versturen op basis van het geselecteerde eisenkader. Leer meer over deze functie in onze Academy.
We hebben ook de eerste verbeteringen voor beveiligingsbeoordelingen vrijgegeven, waaronder het beoordelen van reacties op beoordelingen, het opnieuw indienen van verzoeken en de mogelijkheid om overbodige beoordelingen te verwijderen.
Met de hulp van ons team kan de account worden gekoppeld aan een functie op groepsniveau waarmee verschillende organisaties binnen een grote groep afzonderlijke Cyberday kunnen gebruiken. Op bedrijfsniveau kan er soms echter behoefte zijn aan aanvullende vereisten voor bepaalde taken en soms is het nodig om een bedrijfsimplementatie te bieden voor bepaalde taken.
Een van de accounts kan worden gedefinieerd als een "corporate hoofdaccount", waarbij de hoofdgebruikers kunnen beslissen om de gewenste taakbeschrijvingen te distribueren naar de subaccounts. De subaccounts ontvangen de gedistribueerde beschrijvingen onmiddellijk, maar verder moeten ze hun eigen taakversie op de normale manier beheren, inclusief het schrijven van hun eigen "account-specifieke specificaties" in de procesbeschrijving.
Deze functie is speciaal gemaakt voor consultants die meerdere accounts beheren of grote bedrijven met meerdere bedrijven/accounts onder hun beheer en met dezelfde sleutelfiguren. De pagina Uw accounts toont nu meer relevante informatie. Als u toegang hebt tot meerdere Cyberday , kunt u deze openen via de knop "Account wijzigen" in het linkermenu.
Gebruik van openbare API's: Binnenkort willen we betere beschrijvingen publiceren van de openbare API's die beschikbaar zijn op Cyberday. Hiermee kunnen organisaties hun eigen integraties bouwen tussen andere diensten en Cyberday.
Cyberday Trust center rapportageportaal: U kunt eenvoudig een geloofwaardig ogende webpagina maken voor beveiligingsrapportage. U kunt de rapporten selecteren die u wilt delen (bijv. organisatorisch beveiligingsbeleid, compliancerapporten of subgebiedspecifieke beveiligingsbeleidsregels) en andere "controle-informatie" wordt ook naar de pagina gebracht. De rapporten en het hele portaal kunnen vrij toegankelijk zijn of achter een lichte authenticatie.
Duidelijkere aanbevelingen voor verbetering van Cyberday: We testen momenteel een nieuwe weergave van het bureaublad die, in volgorde van prioriteit, de volgende 10 aanbevelingen geeft voor verbeteringen aan de compliancewaarde of het bewijs. Deze zullen de gebruiker altijd helpen om te begrijpen wat er nu moet gebeuren.
Daarnaast onderzoeken we momenteel het AI-ondersteund genereren van antwoorden op beveiligingsonderzoeken met behulp van inhoud uit uw beheersysteem. 🔍
Nieuwe kaders: TISAX, NIS2 Nationale wetgevingen: Kyberturvallisuuslaki (Finland), Cyberfundamentals (België), NSM ICT-beveiligingsbeginselen (Noorwegen)
Aankomende kaders: DORA RTS, CIS18, CRA, NIS2 nationale wetten
Bekijk de beschikbare en komende frameworks in de Cyberday app of op de Frameworks website.
