CBR CIO Bob van Graft: Beveiliging doe je met elkaar
Beveiliging is een zaak die allen aangaat en is dus ook een gezamenlijke verantwoordelijkheid; bijvoorbeeld van gebruiker én leverancier. Dit meent Bob van Graft, CIO bij het CBR. Elke strategie begint met het in kaart brengen van het eigen IT-landschap, onderlinge relaties en risico-analyses daarvan.
Van Graft heeft een rijke ervaring opgebouwd bij diverse (semi) overheidsinstanties, onder andere bij de Vrije Universiteit Amsterdam en organisaties binnen het Ministerie van Justitie en Veiligheid. Een goede beveiliging stond en staat altijd bovenaan de agenda. Hij vindt dat nog te vaak alleen naar de IT-afdeling wordt gekeken als het om security gaat. “Maar het is geen IT-feestje”, stelt hij. “Een organisatie moet eerst zelf vaststellen welke data beschermd dient te worden; dat is een bestuurlijke rol. Ik heb meegemaakt dat we bij een organisatie uitentreuren met alle stakeholders uren hebben vergaderd over de best mogelijk oplossingen om de gegevens te beschermen. En uiteindelijk bleek het te gaan om open data!”
Van buiten naar binnen
De IT-afdeling denkt van binnen naar buiten en probeert een onneembare vesting te bouwen. “Maar je moet van buiten naar binnen denken: wat is de moeite waard om te worden beschermd? En vervolgens hoe je dat dan regelt. Als het om publieke data gaat, dan heeft het weinig zin om daar een doortimmerde security-aanpak voor te regelen; dat doe je alleen voor jouw kroonjuwelen. Uiteindelijk is alles hackable. Dus moet je in kaart brengen welke data bescherming nodig hebben; en vervolgens welk dreigingsbeeld daarbij hoort.”
Bij de VU dient bepaalde data, zoals persoonsgegevens van studenten en personeel en over examens, beveiligd te worden. Die mogen niet naar buiten komen. Andere data, zoals de presentaties van professoren of informatie over de universiteit en zijn lesprogramma’s, zijn juist bedoeld om openbaar te zijn. Daarmee wil de onderwijsinstelling zich profileren. “Dan maak je fysieke of virtuele scheidingen in omgevingen. Je past dan zonnering toe voor de ‘beveiligde’ data en voor de ‘publieke’ data. Het begint ermee dat je de waarde van data goed in kaart brengt.”
Afspraken maken
Geen enkele organisatie opereert in het luchtledige. Zij heeft partners: klanten, leveranciers, overheid en collega’s. Daar bestaan digitale banden tussen. Naarmate de digitale transformatie vordert, breidt dit alleen maar uit. “Je moet dat ecosysteem goed in kaart brengen. Dat heb ik ook bij het CBR gedaan: welke stakeholders hebben we allemaal. Vervolgens moet je dan goede afspraken maken met elkaar over de bescherming van data. Wat zijn de open data, welke moet je beschermen? Doe je dat in een blockchainachtige constructie of via beveiligde verbindingen? In hoeverre vertrouw je elkaar. Daar moet je open gesprekken over voeren met elkaar.” Hij komt met het voorbeeld van Universiteit Maastricht dat te kampen had met een geslaagde ransomware-aanval. “Je moet eerst bedenken hoe je dan met de ketenpartners omgaat om verdere verspreiding van het virus tegen te gaan. Verbreek je alle digitale banden met de partners; of moeten de partners de deuren sluiten. Of doe je allebei? Maak daar afspraken over.” Van Graft ziet dat in toenemende mate data ‘in de cloud’ worden opgeslagen. “Daar heb je dan geen controle meer over. We worden steeds afhankelijker van de grote techbedrijven zoals Microsoft, Google en Amazon. Ook met hen moet je afspraken maken over de bescherming van data. Van hen verwacht ik een actieve rol in deze en dat zij dit onderwerp met elke klant ter sprake brengen en hiervoor standaard procedures hebben ingericht.”
Herstel
Aan de basis van elke beschermingsstrategie staat altijd een goede back-up & restore regeling. “Maak duidelijk wat een back-up nodig heeft, hoe vaak en waar die wordt opgeslagen. Zorg ervoor dat er ook een back-up offline staat; anders haal je daarmee ook een risico naar binnen”, legt hij uit. “Een goede kopie van gegevens (en infrastructuurinformatie) is van levensbelang, maar je moet natuurlijk ook goed regelen hoe je al die informatie weer werkend krijgt na het onverhoopte geval van een brand of een geslaagde cyberaanval. Uiteindelijk gaat het om een snel en volledig herstel van je business proces.” Hij ziet dat bij projecten ‘disaster response’ nog te vaak een sluitstuk is. “Terwijl je dat eigenlijk al aan de voorkant moet afkaarten.”
Awareness
De CIO en IT-afdeling kunnen nog zo goed alles hebben geregeld, het kan toch nog fout gaan bij een eindgebruiker die onbewust op een link in een email klikt. “Alles begint natuurlijk met awareness: zorg ervoor dat iedereen zich ervan bewust is dat er risico’s zijn, welke risico’s dat zijn en hoe ze hen kunnen vermijden. Die trainingen geven wij natuurlijk ook bij het CBR. Denk wel goed na over de communicatievorm. Te vaak krijgen de gebruikers een te technische uitleg. Dan haken de meesten al af.”
Overigens vindt Van Graft dat niet alleen de bedrijven hier een taak hebben. Ook de leveranciers van IT-apparatuur moeten zich op dit vlak roeren. “Als gevolg van corona werken steeds meer mensen thuis. Dan ben ik toch verbaasd dat het onmogelijk is om bij thuis-routers twee factor authenticatie in te regelen. Dat is een simpel voorbeeld, maar wel belangrijk. Vervolgens moet de leverancier rekening houden dat leken met die apparatuur werken; dus moet het ook nog eens eenvoudig zijn om die twee factor authenticatie te gebruiken.”
Containers
Wat volgens Van Graft belangrijk is op gebied van cybersecurity is: “Gecontaineriseerd werken”, is het stellige antwoord. Hij doelt erop dat applicaties in een afgeschermde omgeving draaien, in een container. “Bijvoorbeeld Outlook of een bedrijfsapplicatie op een mobiel device in een container laten werken. Als daar dan een besmetting plaatsvindt, kan je dat technisch gezien snel isoleren.” Er zijn genoeg zaken te regelen om bescherming te bieden. “Maar het is wel iets dat je met elkaar moet doen; dat moet iedereen terdege beseffen.”
Door: Witold Kepinski en Teus Molenaar
