Joris den Bruinen staat aan het hoofd van Security Delta (HSD), een cluster van zo’n 275 partners dat strijdt voor een digitaal veilig Nederland. Data&Privacyweb ging met Den Bruinen in gesprek over onder meer het belang van informatiebeveiliging en wat je moet doen als het misgaat. Ook staan we met hem stil bij de huidige cybersecuritywetgeving en de (cyber)oorlog tussen Rusland en Oekraïne.
Joris den Bruinen zet zich als algemeen directeur van HSD al bijna tien jaar in voor een cybersecurity-proof Nederland. Hoewel hij zichzelf – ietwat bescheiden – geen expert wil noemen op het gebied van cybersecurity, heeft Den Bruinen door bijna tien jaar in het werkveld bezig te zijn met zijn stichting naar eigen zeggen toch redelijk inzicht op de inhoud en ontwikkelingen.
HSD organiseert de toegang tot kennis op het gebied van informatiebeveiliging. Dat doen ze bijvoorbeeld door het organiseren van netwerkbijeenkomsten en debatten. Naast praten ligt de focus vooral op het ‘doen’. Zo regelt HSD toegang tot kapitaal en talent voor bedrijven die sneller op de markt willen doorgroeien. HSD lijkt alle facetten van informatiebeveiliging te dekken. Genoeg reden dus om met het hoofd van de stichting in gesprek te gaan over het hoe en waarom van informatiebeveiliging, waarbij we bij de basis beginnen.
“Cyberveiligheid gaat over techniek, proces en mens. Voor wat volwassenere bedrijven geldt voor op het gebied van techniek een belangrijk grondbeginsel, namelijk het zero trust-principe: vertrouw niemand, verifieer alles. Het toepassen van dit principe wordt ook sterk geadviseerd door het Nationaal Cyber Security Center (NCSC). De vergaande houding die uit het principe voortvloeit heeft te maken met het feit dat de cyberrisico’s van tegenwoordig complex zijn. Een simpel wachtwoord en virusscan is allang niet meer voldoende. Het zero trust-principe kent drie hoofdlijnen. De eerste is netwerksegmentatie. Dit houdt in dat niet alle systemen met elkaar verknoopt mogen worden. De IT-kantoorautomatisering en de Operationele Technologie (OT) moeten goed gescheiden zijn in je netwerk. Voor HSD zelf geldt bijvoorbeeld dat het gastennetwerk van de HSD Campus losstaat van dat van de stichting.
Ten tweede gaat het om continu monitoren. Je moet een goed beeld hebben van wat er in jouw systemen gebeurt en alles in kaart brengen wat afwijkt. Op die manier kun je overwegen of ingrijpen nodig is.
Ten derde moet je een beeld hebben bij wie er allemaal toegang hebben tot jouw systemen. Dat gaat enerzijds om identificatie: weten wie toegang heeft. Anderzijds om authenticatie: weten wie je toegang wilt geven en ook tot welke delen en/of data je precies toegang wilt geven. Het gaat dan in eerste instantie om werknemers, maar ook als het gaat om stagiaires en ingehuurde zzp’ers met eigen apparaten of samenwerkende ketenbedrijven moet je hierover nadenken.
Ervan uitgaande dat dit basisprincipe voor veel (grote) organisaties inmiddels gesneden koek is, zien we het in de praktijk toch vaak foutgaan. Recente cijfers van de Autoriteit Persoonsgegevens laten zien dat er bij de privacy waakhond vorig jaar 24.866 datalekmeldingen binnenkwamen. Dat is een stijging van 3,7 procent ten opzichte van 2020. Het is een stijging die al enige tijd doorzet. De vraag is hoe Den Bruinen naar deze ontwikkeling kijkt.
“In het verlengde van het zero trust-principe ligt de gedachte dat het op een bepaald moment hoe dan ook fout gaat. Daarom moet je zorgen dat je een actieplan of zogenaamde incident respons klaar hebt liggen als het wel misgaat. Ook voor als het plaatsvindt in de weekenden of tijdens de vakanties, want cyberaanvallen vinden niet altijd tussen 9 en 5 plaats. Continuïteit gaat ook over de inrichting van het systeem zelf. Het naar behoren inrichten van cybersecurityprocessen is nooit echt af: de cirkel van plan to act, evaluate en implement herhaalt zich continu. Een deel van de dreigingen zijn niet zo zeer technisch van aard, maar ontstaan door menselijk handelen. Denk aan het per ongeluk klikken op een phishingmail. Het is belangrijk dat je een werkcultuur creëert waarin men heel bewust is van wat ze wel en niet moeten doen en dat ze bijvoorbeeld ook weten hoe ze moeten handelen en wie te bellen als het toch een keer fout gaat.”
“Daarvoor is het belangrijk om op een juiste manier te reageren. Wij hadden eens een zzp’er die vanuit de noodzaak van het werken toegang had tot onze systemen. Hij herkende een phishingmail niet en klikte op de link uit deze e-mail. Dan kan je zeggen: wat stom van die persoon. Ik heb hem echter juist gecomplimenteerd ten overstaande van iedereen, omdat hij direct aan de bel trok toen hij doorhad dat er iets mis was. Zo konden we direct contact opnemen met onze IT-leverancier en de toegang via zijn inlog afsluiten. Twee minuten nadat we dit hadden gedaan is er namelijk een poging gedaan vanuit het buitenland om onze systemen binnen te komen. Dat hebben we mooi voorkomen.”
“Het opnemen van cyberveiligheid in de inwerkprogramma’s van al jouw medewerkers, óók de stagiaires en zzp’ers, is een goede eerste stap in de bewustwording van informatiebeveiliging. Training van het personeel is uiteraard belangrijk, maar dat moet je wel op de goede manier aanpakken. De truc is om mensen in het hart te raken, zodat het menselijk handelen beïnvloed wordt. Denk aan het voorleggen van ethische en technische dilemma’s of het opzetten van een phisingcampagne. Het belangrijkste is dat je mensen niet eenmalig maar continu uitdaagt om actief na te denken over cybersecurity.”
Wees altijd op je hoede, heb een noodplan klaarliggen en zorg voor een gezonde bedrijfscultuur waar fouten mogen worden gemaakt, zo vatten we de woorden van Den Bruinen in een notendop samen. Dat dit nog te weinig gebeurt roept bij ons vanuit juridisch oogpunt vragen op.
“In principe heb je twee wetten die zich richten op informatiebeveiliging. Een daarvan is de AVG, die heeft het voor ongeveer de helft over dit onderwerp. Vanuit Europa kennen we de netwerk- en informatiebeveiliging richtlijn (NIB-richtlijn). Deze richtlijn regelt voor een deel van de vitale infrastructuur de verplichtingen en verantwoordelijkheden die zij moeten naleven op het gebied van informatiebeveiliging.
Naast deze twee vormen van wetgeving zijn er nog tal van sectorregelgingen en maatregelen vanuit het bestuursrecht die aan het digitale vraagstuk raken. Bepaalde gaten in de wetgeving, zoals de vraag wie er verantwoordelijk is voor de informatiebeveiliging bij Internet of Things-producten, worden op dit moment opgepakt middels de herziening van de NIB-richtlijn. In deze richtlijn NIS2 wordt ook de lijst met vitale partijen die zich aan de regels moeten houden sterk uitgebreid. Nu al, maar zeker na de implementering van de herziene NIB-richtlijn hebben we een behoorlijk juridisch raamwerk liggen waarmee we aan de slag kunnen. Het komt dus neer op de praktijk en de uitvoering. Niet alleen de vitale partijen, maar ook het MKB moet in diezelfde lijn aan de slag met cyberweerbaarheid.”
Waar informatiebeveiliging is, is cyberdreiging. In de context van wat zich momenteel afspeelt tussen Rusland en Oekraïne werd er in het begin zelfs van een ‘cyberoorlog’ gesproken. Hoewel de dreiging groot leek, lijkt er op dit vlak weinig te gebeuren. We legden deze kwestie voor aan Den Bruinen.
“De digitale oorlog tussen Rusland en Oekraïne is in principe al een decennium gaande. In 2016 zagen we dat het energiedomein in Oekraïne werd platgelegd door een cyberaanval, hoogstwaarschijnlijk georganiseerd door Rusland. Dit leverde ook nevenschade op voor Nederland. De systemen van containerbedrijf Maersk/APM, waarvan containers in Rotterdam zijn gevestigd, waren namelijk ook niet meer toegankelijk. Hierdoor lag in feite een derde van de Rotterdamse haven plat, omdat containers niet konden worden afgehandeld.
Zo zie je dat cyberaanvallen ook nauw in contact kunnen komen met openbare orde- en veiligheidsvraagstukken. Ook zie je dat hybride oorlogsvoering consequenties kan hebben voor de rest van de wereld. Wat exact de oorzaak is van het uitblijven van consequenties van de Russisch-Oekraïense cyberoorlog laat ik aan de experts over.”
“Informatiebeveiliging is een continu proces en kent zoals gezegd een sterk menselijke component. Vooral kleine bedrijven steken hun kop in het zand en gaan in de praktijk vaak alleen aan de slag met hun kernactiviteiten. Dat is een grote fout. Zelfs als ze een externe IT-leverancier hebben, zullen bepaalde maatregelen getroffen moeten worden. Dat lijkt allemaal technisch complex, maar is ook een kwestie van gewoon beginnen, doen en de juiste vragen stellen. Het is een onderdeel van risicomanagement waar de directeur en/of bestuurder verantwoordelijk voor is. Hierbij kunnen zij geholpen worden door Digital Trust Center (DTC) en regionale, sectorale cyberweerbaarheidscentra en cybersecurity specialisten.
De gedachte dat er bij jou niks te halen valt moet worden losgelaten. Er is altijd wel data waarvan je niet wil dat het op straat belandt of wat als je je kernactiviteiten niet meer kan uitvoeren doordat je systemen zijn gehackt. Het kan je imago schaden of je kunt afgeperst worden, waarbij je de hacker moet betalen om weer toegang tot je eigen systemen en data kunt krijgen. Dan denk je: ‘had ik maar een goede back-up gemaakt...’”
