“Je kunt nooit achteroverleunen en zeggen: we hebben het voor elkaar. Want cybercriminelen zitten ook niet stil.”
Cybersecurity: het is een vast speerpunt geworden op de jaarlijkse agenda van GERRIT, want eigenlijk kunnen we altijd maatregelen treffen om het nog beter te doen. Cybercriminelen komen met nieuwe technieken, waar wij op in moeten spelen. We spraken erover met collega’s Jarko Brouwer en Nico van Bergen Bravenboer.
Jarko: “Eén van de grootste stappen die we het afgelopen jaar hebben gerealiseerd, is dat we ons hebben weten te beveiligen tegen ransomware. Dat is gijzelsoftware: alle systemen worden versleuteld en dan krijg je een losgeldsom op je beeldscherm.”
“Graag zoveel geld overmaken, dan krijg je de boel weer terug.” Het eerste wat hackers dan vaak doen, is op zoek naar back-ups en die onbereikbaar maken. Maar wij hebben nu een oplossing gevonden waarbij dat niet mogelijk is. Onze back-ups zijn veilig.”
Nico: “Tegenwoordig is het niet meer de vraag of het fout gaat, maar wanneer het fout gaat. Deze maatregel betekent voor onze klanten dat de data die wij hebben, extra goed beveiligd is. Mocht het gebeuren, dan is het onoverkomelijk dat je data kwijtraakt. Maar we hebben de garantie om weer vlot in de lucht te komen en dat is al een enorme winst.”
Coördinator informatiebeveiliging en TSO
Het afgelopen jaar zijn we actief begonnen met het monitoren van systemen. Daarmee hebben we de rollen gesplitst bij GERRIT: Nico houdt zich als coördinator informatiebeveiliging en kwaliteit bezig met de wet- en regelgeving en Jarko vervult nu naast zijn rol als systeembeheerder ook die van ‘TSO’: Technisch Security Officer. Hij heeft tooling tot zijn beschikking om systemen periodiek te controleren, om daar vervolgens rapportages van te maken.
Nico: “We doen elk jaar een externe pentest: bedrijven met hackers in dienst komen dan langs om een deel van ons netwerk te controleren. Met de uitkomst van zo’n pentest kun je je systeem veiliger maken. Eigenlijk is Jarko onze miniatuur-pentester: met zijn software controleert hij onze systemen op de juiste instellingen.”
Jarko: “Die software geeft ons een lijst van de systemen met de bekende kwetsbaarheden die bekend zijn. Als je al die adviezen opvolgt, is hij zo veilig mogelijk. Maar dan werkt er niks meer! Het is een hele delicate balans: wat zet ik dicht en waar neem ik bewust een ingecalculeerd risico?”
Periodiek meten
Nico: “Het is een belangrijke ontwikkeling dat we nu zelf periodiek meten. We kunnen de klanten meenemen in de rapportages die hieruit komen. Ook voor het MT is het een goede manier om te zien waar we continu mee bezig zijn.”
Je hoopt natuurlijk dat het zo weinig mogelijk voorkomt, het liefst helemaal niet, maar wat als er écht iets misgaat? Om zo goed mogelijk voorbereid te zijn op een crisissituatie, moet er worden geoefend. Daarom hebben we bij GERRIT in december een calamiteit nagespeeld.
Nico: “We huurden een extern bedrijf in die een crisis beschreef en aan de hand daarvan moest het crisisteam handelen. We simuleerden een ransomaanval van een hacker. Het ging er hier niet om hoe er technisch gereageerd werd, maar om de werkwijze: hoe neemt het crisisteam besluiten, en hoe snel? De oefening heeft meteen zijn vruchten afgeworpen. Een paar weken later was er een echte crisis: een grote verstoring in het netwerk. Collega’s werden ingebeld en het werd soepel en vlot opgelost. Je ziet daarmee dat oefenen ervoor zorgt dat het steeds beter gaat lopen.”
NIS2: de nieuwe Europese cybersecuritywet
Naast testen en oefeningen, is er ook altijd genoeg te doen op het gebied van wet- en regelgeving. Gelukkig hebben we daar Nico voor. Het afgelopen jaar is hij diep gedoken in de NIS2: de nieuwe Europese cybersecuritywet.
Nico: “Aan mij de taak om uit te zoeken: wat betekent het allemaal precies en hoe verhoudt zich dat tot GERRIT? Voor NIS2 geldt dat we de belangrijkste maatregelen al hebben getroffen, die zijn vrij basis. Maar je moet ook denken aan governance-afspraken. Zo is het hoogste management straks verplicht om bepaalde trainingen te volgen op het gebied van cyberbeveiliging en risicoanalyses. En we zijn straks verplicht om incidenten die wij constateren op het gebied van cyberbeveiliging, te melden bij een autoriteit. Dat alles met de bedoeling dat Europa op zodanige manier beschermd is, dat incidenten zo snel mogelijk worden herkend en wordt voorkomen dat het als een soort inktvlek over de rest van Europa verspreidt.”
Alles begint met denken: wat speelt er in de wereld en wat kunnen we doen? Dat balletje rolt door: welke technische maatregelen nemen we? Zo werken we stap voor stap. Daarom is het zo belangrijk er continu mee bezig te blijven.”
Jarko: “Het is nooit afgerond!”
Contact
Meer weten over de rollen van Nico en Jarko bij GERRIT? Geïnteresseerd in één van de onderwerpen waar zij zich mee bezig houden, of kun je wel wat hulp gebruiken op het gebied van Privacy & Security? Ze gaan graag met je in gesprek! Mail Nico of Jarko of bel via 085-7604076.