Joris den Bruinen: HSD wil meer samenwerking in de keten
Ransomware, phishing mails en andere vormen van cybercrime: de kranten staan er vol van. Directeur Joris den Bruinen zoekt de oplossing in meer samenwerking. “De overheid moet informatie over cyberdreigingen delen met meer organisaties dan alleen de 'vitale infrastructuur', en ook bedrijven zelf moeten elkaar beter en sneller informeren.”
'HSD denkt, durft en doet', is de slogan die de proactieve houding van dit 'nationale veiligheidscluster' goed uitdrukt. Security Delta (HSD) is een nationaal netwerk van verschillende bedrijven, de publieke sector, kennisinstellingen en de wetenschap, met een verankering in de provincie Zuid-Holland en een fysieke ontmoetingsplek op de eigen HSD Campus in Den Haag.
De meer dan 250 betrokken partners werken sinds 2014 samen om het verschil te kunnen maken als het gaat om de veiligheid van onze digitaliserende samenleving. Dit doen ze door hun kennis te delen en gezamenlijk te werken aan innovatieve veiligheidsoplossingen. Om zo Nederland digitaal veiliger en weerbaarder te maken.
Dat is nodig, want volgens algemeen directeur Joris den Bruinen worden de dreigingen er niet minder op. “Meer gevaar is onder andere het gevolg van het toegenomen thuiswerken, waartoe organisaties werden gedwongen door de coronacrisis. Vorig jaar maart moesten bedrijven hun medewerkers van de ene op de andere dag volledig digitaal vanuit huis laten werken, dat is een enorme operatie geweest. Vanuit het perspectief van de Chief Information Security Officers (CISO's) in Nederland moest dat natuurlijk veilig gebeuren, en dat in een tijd waarin de dreigingen van buitenaf in zowel kracht als hoeveelheid toch al sterk toenamen. Vooral aanvallen met ransomware: het versleutelen van bestanden waardoor een netwerk wordt platgelegd. Het bestaat al een decennium, maar de hoeveelheden zijn ongekend groot en de gevolgen even zichtbaar als schrijnend: lege kaasschappen bij Albert Heijn en het ROC Mondriaan dat moeite heeft het schooljaar op te starten.”
Betalen?
Eenmaal getroffen door een aanval met ransomware is de prangende vraag: wel of niet betalen? “De overheid betaalt nooit, om het verdienmodel van de crimineel niet te voeden”, weet Den Bruinen. “Dat is ook het dringende advies aan particuliere bedrijven. Maar wie werkelijk een hack beleeft, moet altijd een afweging maken tussen enerzijds de maatschappelijke wenselijkheid van het niet betalen, en anderzijds de bedrijfscontinuïteit: zo snel mogelijk het bedrijfsproces weer op orde hebben. Niet betalen betekent niet alleen uitgeperst worden doordat je systemen worden geblokkeerd en gevoelige bedrijfsdata online komt te staan, maar je moet ook een datalek managen. Er ontstaat een communicatiecrisis. Vanuit maatschappelijk perspectief lijkt niet betalen de betere optie, maar in de praktijk gaat toch vaak de voorkeur uit naar snel de IT weer voor elkaar hebben en operaties hervatten. Helaas voeden we daarmee het verdienmodel van de crimineel. Die kan dan weer verder innoveren en ontwikkelen, en z'n volgende aanval inzetten. Verbieden lijkt mij geen goede weg, maar wel vanuit de overheid verplichten tot een combinatie van aangifte doen bij de politie en meewerken aan het openbaar delen van geleerde lessen bij betaling van ransomware”
De oplossing die al iets langer en breder wordt gepropageerd is 'Zero Trust'. Den Bruinen: Ook het Nationaal Cyber Security Centrum (NCSC) van het Ministerie van Justitie en Veiligheid adviseert nadrukkelijk om in te zetten op de drie basisconcepten van zero trust: netwerksegmentatie, identity management & autorisatie en monitoring. “Zet (nog) sterker in op o.a. identity management & autorisatie: wie komt een netwerk binnen en tot het delen van het netwerk, en tot welke informatie heeft deze persoon toegang? En gelukkig zien we bij CISO's ook steeds meer aandacht voor netwerk monitoring. Het Zero Trust concept houdt ook in dat je voortdurend moet monitoren op afwijkingen, omdat je weet dat je vroeg of laat een keer aan de beurt bent met een cyber aanval.”
Meer samenwerking
Maar Den Bruinen voegt daar iets belangrijks aan toe. “We moeten elkaar helpen. Zorg dat een individuele CISO of organisatie er nooit alleen voor staat. De risico's en de belangen zitten ook in de ketens, in de toelevering. Ik zie een duidelijke trend dat organisaties steeds vaker niet rechtstrééks worden gehackt, maar dat het gevaar binnenkomt via een lek bij een toeleverancier, bijvoorbeeld een IT-partner die een cloudoplossing host. Door kwetsbaarheden bij leveranciers komt de ellende dan ook bij jou binnen, al dan niet in combinatie met een (gecoördineerde) aanval met ransomware op het eigen netwerk. Het is daarom belangrijk dat partijen in dezelfde sector van elkaar weten wat er gebeurt, en dat ze gezamenlijk, met een hele keten tegelijk oefenen op 'incident response': wat te doen als een hack toch een feit is?”
Publiek-privaat
Bovendien pleit Den Bruinen voor meer samenwerking tussen de overheid en het bedrijfsleven. “De jaarlijkse cyberoefening van de Rijksoverheid zou ik graag publiek-privaat zien. Het lastige is: de overheid geeft niet graag informatie door over dreigingen, zeker als die informatie heel specifiek gaat over individuele bedrijven of bepaalde economische segmenten. Er is wetgeving die de overheid en ook het NCSC verplicht om proactief informatie over cyberdreigingen en kwetsbaarheden te delen met het bedrijfsleven, maar die geldt vooralsnog alleen voor bedrijven in de zogeheten 'vitale infrastructuur' van de Nederlandse economie. De wetgeving geldt bijvoorbeeld niet voor de ketenpartners van vitale bedrijven, waar net zo goed kwetsbaarheden (kunnen) zitten. Het Digital Trust Center van het Ministerie van Economische Zaken, die het Nederlandse bedrijfsleven helpt digitaal veilig te ondernemen, startte onlangs een proefproject waarbij met veertig 'niet vitale' bedrijven toch veel actiever informatie wordt gedeeld. Dat mag van mij wel wat sneller, de urgentie is daar groot genoeg voor. Als zo'n pilot werkt, voer 'm dan versneld door richting het hele Nederlandse bedrijfsleven. En verbindt dit weer aan het nieuwe initiatief vanuit private bedrijven en netwerkorganisaties van een zogenaamd clearing house, waar verschillende melding en cyber threat informatie deling bij elkaar worden gebracht.”
Wees zichtbaar
Joris den Bruinen heeft tot slot de nodige tips voor al die hardwerkende CISO's in Nederland. “Het is ongelooflijk belangrijk dat je draagvlak hebt in je organisatie. Werk daarom veel samen en overtuig het bestuur van alle risico's en jouw eigen inschattingen daarvan. Rapporteer regelmatig over de stand van zaken in je organisatie. En investeer in de relaties met je collega's, want vooral financiële mensen bekijken risico's heel anders. Maar het allerbelangrijkste: wees zichtbaar. Want alleen zo lukt het om je organisatie cyberbewust te maken en krijg je iedereen mee.”
Intervisie sessies
Om meer samenwerking te bevorderen, organiseert de HSD zogeheten 'intervisie sessies' met CISO's uit verschillende sectoren. “We brengen de CISO van een ministerie of een gemeente bijvoorbeeld in contact met de CISO van een middelgroot bedrijf”, legt Joris den Bruinen uit. “Slechts 20 procent van cybersecurity is sectorspecifiek; 80 procent van wat een ondernemer of IT'er in een onderneming moet doen, is in ieder segment hetzelfde. Cyberdreigingen zitten overal, dus mensen kunnen veel van elkaar leren. Waar loopt een CISO tegenaan? Hoe krijgt hij in z'n organisatie dingen voor elkaar? Vaak gaat het over leiderschap: hoe bereikt een CISO het topmanagement? 'Er liggen acht servers plat' maakt bijvoorbeeld geen indruk. Beter: 'we kunnen de komende uren geen operaties draaien, er gaan boze klanten bellen, de media staan straks op de stoep en we kunnen maar beter een goed verhaal hebben'. Maar ook in een 'koude situatie' moet een CISO de taal van het bestuur spreken: hoe houden we onze IT ook op de langere termijn veilig en hoe verbindt dit zich tot onze business doelstellingen?”
Verder heeft Security Delta (HSD) samen met het Openbaar Ministerie, de politie, de Fraude Helpdesk, de Nederlandse Vereniging van Banken (NVB) en diverse bedrijven een programma om BEC-fraude (Business Email Compromise) of CEO-fraude tegen te gaan. “Volgens de Amerikaanse FBI is dat de meest kostbare vorm van cybercrime”, weet Den Bruinen. “En we doen projecten om de cyberweerbaarheid in specifieke sectoren te bevorderen, zoals in het Westland. Samen met o.a. het MKB Den Haag, Greenport West-Holland, regionale ontwikkelingsmaatschappij Innovation Quarter en provincie Zuid-Holland maken we niet alleen Westlandse kwekers wijzer, maar ook de hele keten eromheen, zoals transporteurs en zaadleveranciers. De hele sector moet naar een hoger niveau, en dat doen we door echt de taal van die ondernemers te spreken. We beginnen dus niet meteen met allerlei technologische terminologieën en oplossingsrichtingen, maar met simpele vragen. 'U dekt toch ook uw waterschade af, en u hebt een aansprakelijkheidsverzekering? Denk dan ook 's na over IT-cybersecurity', dat idee.”
De HSD wil dit soort initiatieven ook buiten Zuid-Holland doen, in verschillende sectoren. Den Bruinen: “We hebben een concentratie in de Randstad, maar onze partners komen uit het hele land. We willen een brug slaan: partijen koppelen en van elkaar laten leren. We worden daarbij steeds meer nationaal. De 'H' van HSD staat inmiddels ook voor 'Holland' of 'holistic'. We hebben een breed perspectief.”
Door: Jeroen Bordewijk en Witold Kepinski