Erno Doorenspleet (links) en Marcel van Oirschot: “Onze missie is om Nederland digitaal weerbaar te maken.”

Marcel van Oirschot en Erno Doorenspleet, KPN Security 

‘Digitale weerbaarheid blijft samenspel van mens, proces en techniek’

Nu organisaties hals over kop en massaal thuis zijn gaan werken, rijst de vraag of bedrijfsnetwerken de online beveiliging krijgen die ze verdienen. KPN Security toont zich bij monde van Marcel van Oirschot, executive vice-president, en Erno Doorenspleet, vice-president security strategy, bezorgd. “We moeten de basis op orde krijgen, maar ook vooral houden.”

Die basis is volgens Van Oirschot eenvoudig te formuleren: “Als ik kijk naar de afgelopen jaren zijn het gros van online beveiligingsindicenten te herleiden naar het feit dat de basis niet op orde was. Cybercriminelen zijn geavanceerd en zoeken de weg van de minste weerstand en organisaties maken het te gemakkelijk voor ze. De basis op orde betekent dat medewerkers zich bewust zijn van de online dreiging en wat ze eraan kunnen doen, er een beleid is voor wachtwoorden, de back-ups kloppen via de 3-2-1-methode, er direct gepatcht wordt wanneer nodig, het netwerk is gesegmenteerd en er VPN-verbindingen zijn. Dan kom je al een heel eind in cybersecurity.”

KPN Security helpt organisaties van klein tot groot om een beeld te krijgen van hoe ze er op het gebied van beveiliging voorstaan. “Onze missie is om Nederland digitaal weerbaar te maken. Dat is niet een kwestie van alleen techniek, maar ook van het proces aanpassen en de mens bewust laten worden.”

Nieuwe wegen, nieuwe kwetsbaarheden

De volgorde van werken is volgens Van Oirschot: mens, proces en techniek. “Uit het rapport van het onderzoek naar de ransomeware-aanval bij de Universiteit Maastricht bleek dat het vooral rammelde aan de kant van de mens en de processen. De valkuil is vaak dat men denkt dat online beveiliging met het installeren van een tool op een netwerk wel is geregeld. Maar cybersecurity is geen eenmalige actie. Cybercriminelen zoeken telkens naar nieuwe wegen en nieuwe kwetsbaarheden. Digitale weerbaarheid is zo ook een vak apart. Je moet het er als IT-manager of securityprofessional er niet even bij willen doen. Ik vind zelfs dat het een belangrijk thema is voor de boardroom. Maar dan niet de techniekkant ervan, maar juist bekeken vanuit de businesscontinuïteit. Dat is een verantwoordelijkheid van het de directie. Wat kunnen wij als organisatie doen om ervoor te zorgen dat onze business blijft draaien? Daar horen de elementen mens, proces en techniek integraal bij.”

‘De valkuil is vaak dat men denkt dat online beveiliging met het installeren van een tool op een netwerk wel is geregeld’

Geen checklist

Doorenspleet stelt dat cybersecurity moet worden omschreven in de IT Governance. “Niet als een checklist waarmee je voldoet aan wet- en regelgeving, maar als continu raamwerk om te kijken of de dijkbewaking goed genoeg is. Waar moeten we actie ondernemen? Dit is dan ook geen IT-issue, maar een managementissue. Waarbij je als bestuurders een intrinsieke motivatie nodig hebt om jouw waardevolste bezit, je business, te willen beschermen. Dat is zeker nu nodig, want bedrijven digitaliseren volop. Sommige zelfs tot honderd procent. Dan kun je niet zeggen dat het wel meevalt als je wordt geraakt. Vraag is zelfs al niet meer of je wordt geraakt, maar wanneer. Dat zeg ik niet om organisaties angstig te maken. Integendeel. Ik zeg het om organisaties voorbereid te laten zijn. Voorbereiden kan aan de hand van een roadmap. Welke gevaren zien wij voor de businesscontinuïteit? Welk beveiligingsniveau past bij mijn soort organisatie en mijn markt? Welke stappen moeten we nemen om tot het gewenste niveau te komen? Deze vragen beantwoorden is niet zozeer een kwestie van bits en bytes, maar van jouw positie en rol in de keten en de belangrijkste assets van het bedrijf. Hoe ga je die beschermen?” 

Ondersteunen, ook in de privésituatie

Wie op kantoor komt, vertrouwt de faciliteiten die daar zijn om het criminelen moeilijker te maken. Van Oirschot: “Dat geeft een gevoel van veiligheid. Ik kan als het ware de netwerkkabel vertrouwen die uit de muur van het bedrijfspand komt. Ik weet dat er toegangscontrole is en dat mensen gereguleerd binnenkomen. Tijdens het begin van de coronacrisis is het hele spel naar huis verplaatst. Uit het zicht. Hoe goed is het daar geregeld? Daar heb ik mijn vraagtekens bij. Ik hoop dat bedrijven met de IT-managers en securityprofessionals voorop, deze handschoen oppakken. Dat gaat ook over het bieden van solide, gebruikersvriendelijke oplossingen. Bijvoorbeeld om 30mb over een secure lijn heen te krijgen, zodat een medewerker niet alsnog met een tweede laptop via Dropbox of WeTransfer langs het bedrijfsnetwerk werkt. Dat is Shadow IT. De mens is hierin creatief en de vraag is vooral of je de medewerkers zo goed mogelijk kunt faciliteren in de behoefte die ze hebben. Dat betekent ondersteunen. Op de zaak, maar ook in de privésituatie.”

Stepping stone

De mens heeft de neiging om dreigingen te relativeren, stelt Doorenspleet. “Ik ben niet interessant voor cybercriminelen. Bij mij valt toch niets te halen. Ik heb niets te verbergen. Mijn organisatie is niet interessant. Ik hoor dat soort geluiden vaak. Ik durf te stellen dat iedereen een potentieel target is. Is het niet rechtstreeks omdat je interessante data hebt, dan is het wel via via. Wie ken je en waar ben je een onderdeel van? Vaak zie je dat cybercriminelen medewerkers van een organisatie als stepping stone gebruiken om toe te slaan. Je zou dus de vraag moeten omdraaien: waarom zou ik geen target zijn?”  

Doorenspleet ziet dat cybercriminelen hun terrein verleggen van de consument naar bedrijven. “Daar is veel meer geld te verdienen. Daar gaat het al snel om tonnen. De Universiteit van Maastricht betaalde 197.000 euro aan criminelen om hun netwerk te bevrijden en hun data terug te krijgen.”

Een samenspel

Van Oirschot vindt het verstandig dat IT-deskundigen van organisaties continu samenwerken met cybersecurity-specialisten. “Voor de IT-afdeling, de CIO, de CFO, de security-specialisten is online beveiliging niet dagelijkse kost. Maar zij kunnen wel aangeven waar er mogelijk dreigingen zijn in de businesscontinuïteit van de organisatie. Wat is als het ware de flow van de organisatie? Zij kunnen duiden waar het ontbreekt in de onderneming aan bewustzijn over de risico’s. Een externe partij kan het beeld schetsen van waar de kwetsbaarheden liggen op de gebieden mens, proces en technieken en daarmee helpen de gaten te dichten. Het is zo een samenspel, waarbij de organisatie in kwestie aan het stuur zit. Het moet niet zo zijn dat niemand in de organisatie meer snapt waar de cybersecurity-specialisten nu mee bezig zijn. Het is een samenspel, waarbij we organisaties ook helpen om op te schalen als de dreiging te groot voor hen wordt.”  

‘Het moet niet zo zijn dat niemand in de organisatie meer snapt waar de cybersecurity-specialisten nu mee bezig zijn’

Samenwerken loont

De twee heren noemen het een eer dat ze tot Partner of Choice zijn verkozen. Van Oirschot: “We willen bouwen aan langdurige relaties en dan zijn we trots om in dit onderzoek zo gezien te worden. Een betrouwbaar partner zijn is een groot goed. Mooi dat dat erkend wordt. Ook omdat organisaties de zorg voor hun informatie in onze handen leggen. We hebben daarbij de schaalgrootte om telkens nieuwe uitdagingen in cybersecurity aan te gaan.” Daar sluit Doorenspleet op aan: “Nederland digitaliseert en het is pure noodzaak om een front te vormen tegen cybercriminelen. Dat doen we via communities die we zelf hebben opgestart, waarin we volop en continu kennis delen. Alleen dat zorgt ervoor dat we een vuist kunnen maken. Samenwerken loont.”

Dit artikel is tot stand gekomen in samenwerking met KPN Security.