Security? “Daar hebben we iemand voor”

 
14 juli 2020

EXPERT INTERVIEWS MET JAYO BALOO (AVAST), AKSEL DORÈL (MOTIV ICT SECURITY), BAS MEYBERG (ORION4U) EN JAN WILLEM SCHOEMAKER (ERASMUS MC)

Digitale weerbaarheid gaat over meer dan het buiten de deur houden van cyberdreigingen. Het gaat ook over het vergroten van bewustzijn, het ontwikkelen van scenario’s voor crisisbestrijding, het oefenen met verschillende crisissituaties en het actief uitwisselen van kennis – binnen de organisatie en daarbuiten. Giarte sprak met vier experts over het versterken van de digitale weerbaarheid van organisaties en over IT-security. Aan het woord: Aksel Dorèl, Managing Director bij Motiv ICT Security; Jan Willem Schoemaker, CISO/Business Continuity Manager bij Erasmus MC; Jaya Baloo, CISO bij Avast; en Bas Meyberg, oprichter van Orion4u. 

Wat zijn de grootste uitdagingen op het gebied van IT-security? En welke reflexen zien jullie daarbij? 
Bas: “Cybercriminelen zijn de afgelopen jaren enorm geavanceerd geworden. Ze hebben kennis, tijd en geld. Dat maakt het moeilijker om ze buiten de deur te houden. Het roept ook de vraag op waarin je gaat investeren: verdedigen of doorbraken monitoren? En wat ga je doen als je iets constateert? Met de ransomware bij Universiteit Maastricht werd duidelijk dat er weliswaar een lampje ging branden, maar dat niemand op tijd in actie kwam. Daarnaast denk ik dat beveiliging van operationele technologie – zoals bij het internet of things – een grote uitdaging gaat worden. Daar spelen andere business drivers en andere risico’s en dreigt een disconnect te ontstaan tussen mensen in de operatie en mensen aan de software- en securitykant. In IT kun je veel noodscenario’s een keer oefenen, maar in operationele technologie is dat veel lastiger – je kunt niet alle sluizen in Nederland open en dicht zetten.”

Aksel: “De cybersecuritysector drijft op ‘fearuncertainty and doubt’, met veel aandacht voor de actualiteit. Dat is begrijpelijk, omdat er direct grote impact is. De reflex is echter al lange tijd ongewijzigd: een reactieve benadering. De uitdaging is hoe we dat gaan ombuigen. Herna Verhagen (zie kader, scroll omlaag) bood een paar jaar geleden een mooi rapport aan premier Mark Rutte aan. Daarin riep ze bedrijven op om tien procent van hun IT-budget te besteden aan cybersecurity – inclusief een goede verdeling over preventie, detectie en respons. Zodat je als organisatie je weerbaarheid vergroot.

IT-security

Aksel Dorèl

Ik denk niet dat er al veel bedrijven zijn die het advies van die tien procent hebben opgevolgd. Pas als er een incident is, wordt er iets mogelijk; dat heeft blijkbaar te maken met de menselijke natuur. Firewalls, identity management en IT-security operations centers lossen niet op hoe je bijvoorbeeld omgaat met ingehuurd personeel. Soms klikken medewerkers bewust op een mogelijk verdacht linkje, omdat ze de beveiliging die de organisatie heeft uitbesteed, willen uittesten. Menselijk handelen is en blijft de zwakste schakel.”

Jaya: “Bedrijven die hun securitybeleid niet strategisch hebben ingebed, maar zich richten op het oplossen van geconstateerde compliance-problemen, gaan de mist in. Een goed programma is strategisch van opzet, maar pragmatisch als het aankomt op de aanpak.”

Jan Willem: “Onze tegenstanders zitten bepaald niet stil. In de zorg zijn bijvoorbeeld vorig jaar een Frans, en dit jaar een Tsjechisch ziekenhuis aangevallen. De uitdaging om jezelf weerbaarder te maken heeft te maken met financiële middelen en technologie. Dit soort aanvallen begint toch vaak bij een actie van een IT-eindgebruiker, zo heeft Universiteit Maastricht via het webinar over hun ransomware-aanval laten zien. COVID is een woord dat nu veelvuldig wordt misbruikt. Hoe filter je het uit, wat heb je er aan middelen voor over, en hoe snel reageer je op een signaal? In Maastricht is uiteindelijk niet snel genoeg gereageerd, waardoor er tijd was voor een succesvolle ransomware-aanval.”

IT-organisaties stellen alles in het werk om de vijand buiten de deur te houden, maar wat ga je doen als de vijand eenmaal binnen is en de digitale ramp zich al voltrokken heeft? Doen bedrijven voldoende aan scenarioplanning rondom IT-security?
Jaya: “De coronacrisis is in feite een reallifescenario. Wat hierbij de aandacht van de CISO zou moeten hebben, is thuiswerken. De meeste bedrijven zijn bij het inrichten van hun connectiviteit, licenties en bandbreedte uitgegaan van een bepaald percentage medewerkers dat vanuit huis werkt. Het is vergelijkbaar met het testen van je DDoS-capaciteit; dat doe je ook niet op maximaal vermogen. Maar nu staat de wereld op zijn kop en hebben we de totale thuiswerkcapaciteit nodig. Voor sommige systemen hebben we de toegangsmogelijkheden beperkt tot fysieke toegang. Hoe ga je daar nu mee om?”

In 2016 presenteerde Herna Verhagen, CEO van PostNL, een rapport aan de Tweede Kamer met als titel Nederland digitaal droge voeten. Dit ‘Deltaplan Cybersecurity’ bevat een analyse van de belangrijkste kansen en bedreigingen die digitalisering ons land biedt. Verhagen roept op tot meer bewustzijn en meer actie rondom cybersecurity. Digitale bedrijvigheid was tussen 1990 en 2015 goed voor ruim een derde van alle economische groei en inmiddels wordt ruim vijf procent van het BNP verdiend met IT. Daar staat tegenover dat cybercrime in Nederland in 2016 een schadepost vormde van 10 miljard euro. Een van de adviezen van Verhagen was dan ook het stellen van een norm voor de uitgaven aan IT-security: tien procent van het IT-budget. Daarnaast pleit Verhagen voor een groot aantal andere ingrepen. Zoals meer sturing vanuit de overheid, bijvoorbeeld door het aanstellen van een nationale functionaris voor cybersecurity en het opstellen van toekomstbestendige wetten en regels; het bevorderen van de eigen verantwoordelijkheid bij de private sector; meer onderzoek naar cyberaanvallen; het bevorderen van ‘Nederland digitaal vaardig’.  

Bron: De economische en maatschappelijke noodzaak van meer cybersecurity, september 2016. 

Bas: “Vooraf nadenken over bedrijfscontinuïteit, daar mag inderdaad veel meer aandacht voor komen. Nu de crisis er is, wordt duidelijk dat sommige bedrijven niet goed hebben geoefend met business continuity. De gemiddelde ondernemer doet niet veel aan scenarioplanning. Als je alleen maar beren op de weg ziet, ben je geen ondernemer. Maar als je helemaal nergens naar kijkt, ben je vooral begrafenisondernemer. In veel bedrijven gaan zaken nu veel sneller en vaak geldt dat een deel van de organisatie in de overlevingsmodus staat. Dat moet, maar na een paar weken komt de vraag op of alles nu ook nog op een veilige manier verloopt. Dat bedrijven de hand op de knip houden is niet bevorderlijk. Als er nu een aanval zou komen, zou dat jammer zijn. Het kan wel helpen als je vooraf nadenkt over de vraag op welk ecosysteem aan experts je kunt terugvallen als er iets gebeurt. We kunnen niet allemáál Fox-IT bellen als het misgaat.

Jan Willem: “Oefenen op het gebied van scenario’s en continuïteitsrisico’s doet het Erasmus MC eigenlijk al sinds 2004, we noemen dat integrale calamiteitenplanning. We hebben afgelopen najaar samen met de regio een uitgebreide oefening gedaan met een grieppandemie. Bizar genoeg leek dat scenario behoorlijk op de huidige COVID-uitbraak. Er is gedurende anderhalve dag intensief geoefend met het crisismanagement. Dit soort oefeningen doen we centraal, binnen diverse onderdelen van de organisatie, ook binnen IT, bijvoorbeeld ook met cybercrises. We hebben hiervoor al allerlei maatregelen klaarstaan. Daarbij wordt ook per onderdeel bekeken wat we nodig hebben om zónder IT te kunnen functioneren. Dan gaat het om noodvoorzieningen, en noodvoorzieningen op noodvoorzieningen. Volledig zonder IT functioneren kan een korte tijd, maar op termijn kom je in de problemen.”

Aksel: “De vraag hoe je je voorbereidt, is belangrijk. Hoe plan je het ongeplande? Bedrijven zouden beslist meer aan scenarioplanning moeten doen. De NS doen meerdere malen per jaar verschillende soorten oefeningen. Dat helpt enorm, want er komen dan ook altijd basale IT-zaken bovendrijven, bijvoorbeeld dat changes niet goed zijn gedaan of documentatie niet op orde is. Vaak kun je veel dingen rond IT-security heel praktisch oplossen. In Amsterdam wordt IT overwegend uitbesteed – een echte regie-organisatie. Gemeente Rotterdam heeft bijna 1.100 IT’ers in dienst en wil veel zelf doen en onder de motorkap kunnen meekijken. Beide gemeenten reageerden op hun geheel eigen wijze op het Citrixlek. In Amsterdam werd aan de dienstverleners gevraagd wat er moest gebeuren. In Rotterdam heeft men door logisch nadenken en door de mouwen op te stropen het zelf opgelost, waardoor men meteen kon doorwerken.”

Jaya: “Ik kwam bij Avast aan boord, een week nadat het bedrijf ontdekt had dat het gehackt was. Op zo’n moment draait alles om crisisbeheersing. Goed, maar vooral snel handelen is key. De wendbaarheid van je besluitvorming bepaalt in hoge mate of je in staat bent een plan-B uit te rollen. Het helpt als je vooraf al hebt nagedacht over een crisisteam en over besluitvorming. Met andere woorden, wat je voorafgaand aan een crisis hebt gedaan aan voorbereidingen, is bepalend. Het is ook goed om een tweede team naast het crisisteam te hebben dat kan reflecteren. Bij het oefenen met scenario’s moet je niet alleen je processen doorlopen, maar ook leren omgaan met fysieke problemen. Zet maar eens een datacenter uit. Dat is alsof je een reserveband achter in je auto hebt liggen waarvan je niet weet of die lek is. Oefenen wordt helaas, net als documentatie, niet sexy gevonden, en ook raken goede voornemens op dit vlak ondergesneeuwd door de waan van de dag.”

IT-security

Jaya Baloo

Hoe gaan bedrijven om met IT-security wanneer ze hun IT uitbesteden? Verandert er dan iets in hun houding ten aanzien van IT-security? 
Bas: “Die nonchalance – ‘we hebben daar iemand voor, het probleem is belegd’ – zie je nog te vaak. Maar een leverancier kan nooit eindverantwoordelijk voor security zijn.” 

Jaya: “Ook wanneer je IT-security binnen een organisatie hebt belegd, wordt vaak gedacht ‘het is niet meer mijn probleem’. Maar dat is nooit het geval: IT-security is inderdaad een taak die bij iedereen ligt. Aan de andere kant: als je gebruik maakt van een managed security services-dienstverlener, dan heb je er in ieder geval iets aan gedaan. Alle monitoring is goed, maar de verantwoordelijkheid blijft altijd bij het bedrijf zelf. Niet bij de CISO of de IT-afdeling, maar bij iedereen binnen het bedrijf.

Aksel: “Cybersecurity is een ‘skill game’: er is altijd wel een gevaar om op te anticiperen en er is vrijwel altijd een tekort aan skills. Bedrijven staan voor de keuze: make or buy. De uitbestedingsmarkt voor IT-security is minder volwassen dan de IT-outsourcingmarkt, maar bedrijven hebben vaak wel hulp nodig bij het vergroten van hun weerbaarheid. Het risico is inderdaad dat ze vervolgens zeggen ‘ik heb het toch uitbesteed?’. Ook al is het een dienst, een groot deel daarvan gaat over toekomstige dreigingen zonder dat daar nu al een pasklare oplossing voor bestaat. 

Grotere organisaties stellen steeds vaker een CISO aan. Als iedereen binnen de organisatie een taak heeft op het gebied van IT-security, hoe kan een CISO dan effectief zijn?  
Aksel: “Als je een CISO aanstelt, heb je al een eerste goede stap gezet, maar het gaat om het pad wat eraan voorafgaat: leiderschap tonen. Daarom vind ik Herna Verhagen een held: zij heeft haar nek uitgestoken en het aangedurfd om informatiebeveiliging te koppelen aan een minimaal benodigde investering. Het is jammer dat de aandacht op dit vlak een beetje verzwakt is.”

Bas: “Een CISO zou ook de taalbarrière met de board moeten kunnen overbruggen. Hij of zij zou specialisten bij elkaar moeten brengen en de business moeten faciliteren. Voor de board zou het goed zijn regelmatig te praten over de mate waarin de onderneming afhankelijk is van IT. Het verhaal zou dus over meer moeten gaan dan alleen over compliance, GDPR en certificaten. Gelukkig is er de afgelopen twee jaar veel verbeterd aan de rol van de CISO: de functie wordt serieuzer genomen en er is meer sprake van een volwassen dialoog over allerlei onderwerpen.”

IT-security

Bas Meyberg

Jaya: “De CISO kan van alles regelen, maar je hebt maar één gebruiker nodig die een fout maakt en dan is alles voor niks geweest. Een CISO is een soort geweten: doe je de goede dingen en doe je die dingen ook echt goed? Sommige bedrijven hebben geen CISO nodig omdat ze al behoorlijk volwassen zijn, bijvoorbeeld omdat ze zaken als technische processen en netwerkdetails goed hebben gedocumenteerd. En omdat ze structureel werken aan doorlopend verbeteren. Bij kleinere bedrijven zijn de uitdagingen vaak goed te overzien – begin dus als het nog klein is.”

Bas: “Als CISO wil je in ieder geval gehoord worden op boardlevel wanneer je risico’s op het gebied van IT-security signaleert. De persoon zelf zal communicatief sterk moeten zijn – belangrijk als de boel onder druk komt te staan – maar ik zie de CISO toch vooral als faciliterend. In bijzondere situaties zal je in overleg moeten, in plaats van directief zijn.”

Jaya: “Als je de missie van een CISO hebt bepaald, ligt daarin ook het mandaat. Dan gaat het bijvoorbeeld ook over het oordelen over de veiligheid van nieuwe producten die naar de markt moeten. Als je als CISO moet samenwerken met een directie die bij de eerste de beste tegenwind afwijkt van adviezen op het gebied van IT-security, heb je een probleem. IT-security draagt niet bij aan je top-line, maar wel aan je bottom-line retentie. Een CISO moet dat kunnen uitleggen.”

Jan Willem: “Toen ik aan deze job begon, heb ik als eerste getoetst hoe er naar IT-security werd gekeken. Ik val onder de CIO, maar ik heb een functionele lijn met de raad van bestuur. Daar is serieuze belangstelling, maar er is óók een goede structuur met overleggen, documentatie en certificeringen. Daarnaast haken we aan op de bestaande IT-governance, waarmee je voorkomt dat je werkgebied als CISO op afstand komt te staan. In die structuur denken ook de afdelingshoofden uit zorg, onderzoek en onderwijs mee.”

Het is uit verschillende onderzoeken bekend dat in de boardroom en bij commissarissen en toezichthouders de kennis over technologie en technologierisico’s tekortschiet. Wat kun je hieraan doen?  
Aksel: “Dat beeld is herkenbaar. Ik weet niet of het de afgelopen tien jaar beter of slechter is geworden, maar over twintig jaar moet dit wel zijn opgelost. Meer daadkracht bij commissarissen om anders te werven? Misschien meer vrouwen in de top? Ik denk dat in rvb’s en rvc’s te veel het old boys network overheerst. Laatst moest ik een wat oudere commissaris uitleggen dat IT werkt met producten die nooit af zijn, ofwel altijd in ontwikkeling. Dat wekte verbazing. Zero Day (een cyberaanval die op dezelfde dag plaatsvindt waarop er een lek wordt ontdekt in de software, red.) zei hem ook niets, maar hij was erg blij met de uitleg.”

Bas: “Inderdaad, misschien andere mensen in een rvc plaatsen in plaats van vast te houden aan het old boys network. Er vinden veel innovaties plaats, dus het is begrijpelijk dat rvc’s op een gegeven moment door de bomen het bos niet meer zien. Regelmatige bijpraatsessies met meerdere specialisten of workshops kunnen helpen.”

Jaya: “Je kunt niet van een board verlangen dat alle leden technische kennis hebben. Omgekeerd verwachten we ook niet van technische boardleden dat ze alles weten over HR of financiën. Ik denk dat het juist de taak van de CISO is om de impact van securityrisico’s op operations, HR en finance duidelijk te maken. Ik zie dus eerder een tekortkoming bij de CISO dan bij de board. Om het probleem te snappen is basiskennis voldoende.”

Jan Willem: “Bij ons heeft de raad van toezicht naar aanleiding van het incident bij Universiteit Maastricht direct, in de kerstvakantie, vragen gesteld aan de raad van bestuur. Daarnaast vraagt onze raad van toezicht proactief aan de raad van bestuur en het IT-management om verantwoording af te leggen. Die resultaten worden ook getoetst. Dat het goed werkt, heeft denk ik te maken met het feit dat onze commissarissen uit andere sectoren van het bedrijfsleven komen, waar informatiebeveiliging ook een onderwerp is. Daarnaast staat technologie vaker op de agenda, omdat het Erasmus MC volop met digitalisering bezig is.”

Bas: “Een board zal er zelf voor moeten zorgen dat ze met verschillende specialisten praten. Het wordt met name interessant als specialisten het niet met elkaar eens zijn. Als bestuurder zou je dan moeten zien dat het ingewikkelde materie is, waarin mensen langs elkaar heen praten. Als je met één specialist praat, bestaat de kans dat je die te veel gaat zien als je expert.”

Jan Willem: “Samenwerken in allerlei verbanden is een succesfactor, denk ik. De andere partijen werken immers ook samen – iemand die een Zero Day in Linux vindt, zoekt op het dark web naar partners om het te verkopen of te verspreiden. Zo moeten wij aan de goede kant ook samenwerken, maar dan met oplossingen. Zo werken we vanuit het Erasmus MC samen met andere UMC’s en met het Z-CERT, het expertisecentrum voor cybersecurity in de  zorg.”

IT-security

Jan Willem Schoemaker

Jaya: “Ook de COVID-19 Cyber Threat Coalition is een geweldig internationaal initiatief. Dat is ontstaan na de gijzeling van het ziekenhuis in Brno, Tsjechië. In eerste instantie ging het om coronagerelateerde cyberaanvallen gericht op de zorg, nu worden alle sectoren bedreigd. Dit soort initiatieven hadden we ook kunnen opzetten in de tijd toen er nog geen crisis was. Ik hoop dat dit soort samenwerkingsverbanden blijft bestaan, ook na de coronacrisis.”

 

De interviews vonden plaats in de eerste helft van april 2020.