Cyber security in het digitale era: tandpasta verkopen met behulp van rotte tanden?

De oude Chinezen bouwden een Chinese muur, de nazi’s hadden hun Atlantikwall en in Nederland kennen we de Deltawerken. Eeuwenlang proberen volkeren en mogendheden zich al te beschermen tegen vijandelijke invloeden van buitenaf. Beveiliging, of security, is iets van alle tijden. Geen wonder dus dat met de mondiale intrede van het digitale tijdperk, het beveiligen van data en de security issues die daarmee gepaard gaan hoog op de agenda staan. Maar hoe is de digitale veiligheid bij organisaties te waarborgen? Zijn er innovatieve oplossingen voor actuele en toekomstige veiligheidsvraagstukken? Deze vragen stonden centraal tijdens het tweede CIONET community event van 2015, met de gepaste titel ‘Cyber Security Strategies: achieving cyber resilience’.

De plaats van handeling was allerminst uit de lucht gegrepen. The Hague Security Delta (kortweg HSD) vormt het grootste security cluster van Europa. Zo’n 48 geïnteresseerden hadden zich op deze 9 april rond 15.00 op het statige complex in Den Haag verzameld, om op het allerhoogste niveau bijgepraat te worden over de stand van zaken in cyber security land. Dichter bij het vuur kun je nauwelijks komen. Onder de aanwezigen bevond zich uiteraard ook bijna voltallige team van CIONET Nederland: Herman van Bolhuis, Marita Vleugel, Floortje Akkerman en Frits Bussemaker.

Eerstgenoemde zwaait deze dag de scepter als dagvoorzitter. Herman bijt het spits af door alle aanwezigen op de voor hem karakteristieke hartelijke wijze welkom te heten. Daarbij richt hij zich in het bijzonder tot een speciale, internationale gast in het gezelschap. Hardeep Singh Garewal, president van de Europese tak van het Indiase ITC Infotech, is voor de gelegenheid overgevlogen uit Milton Keynes in Engeland om deze sessie bij te wonen. Het moge duidelijk zijn: CIONET schuwt de globalisatietrend geenszins. De voertaal van de diverse presentaties en plenaire discussies zal dan ook afwisselend Engels en Nederlands zijn. Een beetje zoals de persconferenties van Louis van Gaal dus, maar dan hopelijk begrijpelijker en met minder woede-uitbarstingen.

In vervolg op het openingswoord van de dagvoorzitter is het de beurt aan de eerste keynote speaker. Ida Haisma, directeur van HSD met een enorme staat van dienst in het veiligheidswezen, trapt af met een korte introductie van de prestigieuze operatie waar zij sinds maart 2014 aan het roer staat. The Hague Security Delta bestaat uit 200 verschillende partners en vormt als grootste security cluster van Europa in feite de digitale toegangspoort tot het Oude Continent. De partners van HSD zijn verenigd in een zogeheten ‘triple helix’, bestaande uit het bedrijfsleven, overheid en wetenschap. Hun gemeenschappelijke doel: meer business activity, meer banen en een veilige wereld. Om dit te bereiken richt men de aandacht op een vijftal kernthema’s, waarvan cyber security er één is.

Dat cyber security momenteel een hot item is, behoeft in deze tijden van hackerscollectieven en cyberaanvallen weinig uitleg. Er vallen dan ook weinig verbaasde geluiden op te tekenen als Ida bijna achteloos enkele toch wel forse cijfers uit de mouw schudt: de security sector kent een jaarlijkse groei van 4,1% en verwacht wordt dat er tot 2020 een banenstijging van maar liefst 25% te noteren zal zijn. Deze prognose maakt dat talentontwikkeling voor HSD minstens net zo belangrijk is als kennisontwikkeling. Programmamanager Hans van Loon valt haar bij en geeft aan dat HSD met haar enorme netwerk, vele themabijeenkomsten, diepgaande kennis en innovatieve oplossingen in dit kader een belangrijke rol heeft in de digitale veiligheid van morgen.

Na deze inleidende beschietingen is het tijd voor een open discussieronde. Ida en Hans snijden allereerst een binnen veel organisaties terugkerende kwestie aan: wat is er nu eigenlijk belangrijker, security of functionaliteit?

Direct barst aan alle tafels een harmonieus gezoem los, waarna Herman na enkele minuten informeert naar de bevindingen. Security maakt onderdeel uit van de requirements en dient zodoende altijd prioriteit nummer 1 te zijn, zo klinkt het aan de ene tafel. Maar, zo werpt Tom Bakker (Chairman Editorial Committee van het Platform voor InformatieBeveiliging en Chief Security Officer Digidentity) direct tegen: “Met 100% veiligheid kun je niet werken.” Het gros van de aanwezigen lijkt zich dan ook beter te kunnen vinden in de notie van ‘security by design’; security zou een kwaliteitsaspect moeten zijn van het systeem. Of, zoals Carl Adamse (Senior IT adviseur Ministerie van BZK) het verwoordt: “Security IS functionaliteit! Online shoppen bestaat toch alleen bij de gratie van veilige transacties?”

Uiteraard wil iedereen het liefst dat zijn transacties en data zo veilig mogelijk zijn. Maar hoe voorkom je dat een van je werknemers een USB stick met gevoelige informatie op de achterbank van een taxi laat slingeren? Ida en John vragen de zaal wat volgens hen de meest effectieve methode is om awareness te creëren voor cyber security binnen de organisatie. Naming en shaming, of toch de zachte weg van trainingen? Arno Oosterhaven (Professor Management & IT aan de UvA) verkiest de gulden middenweg en propageert een combinatie van uitgebreide informatievoorziening met simulaties waarin je medewerkers laat ondervinden wat er kan gebeuren zodra ze de mist in gaan. Naming en shaming, zo luidt de consensus, is niet alleen te hard maar brengt ook een reputatierisico met zich mee. Wanneer iemand met het incident naar buiten treedt heb je immers geen interne kwestie meer, maar een extern security issue waar de pers van zal smullen. Met alle kwalijke gevolgen van dien.

Om dezelfde reden blijkt de zaal desgevraagd in eerste instantie wat terughoudend om datgene wat men als organisatie door schade en schande leert te delen met anderen. Natuurlijk, het onderling uitwisselen van ervaringen zorgt er voor dat je uiteindelijk zelf ook leert, maar anderzijds maakt het delen van incidenten ook kwetsbaar. Uit de reacties in de zaal klinkt dezelfde schroom door als in veel oplichtingszaken: ben je bereid toe te geven dat je te grazen bent genomen en misschien wel heel erg dom en/of naïef hebt gehandeld? En hoe zit het met concurrentiegevoeligheid? Deze hoofdbrekens ten spijt, lijkt er wel degelijk voedingsbodem voor een interorganisationele praatgroep aanwezig. Als je elkaar immers helpt door incidenten te delen, zo oppert men aan een van de tafels, wordt je daar op termijn zelf ook beter van. Nu is de één het haasje, maar door branchegenoten te informeren kan worden voorkomen dat er meer slachtoffers vallen.

Aansluitend aan deze geanimeerde discussieronde, is het aan John Hermans (Partner bij KPMG Risk Consulting/Cyber Security) om als laatste het spreekgestoelte te betreden. Het verloop van zijn carrière illustreert op treffende wijze hoe het security vraagstuk de afgelopen decennia aan importantie heeft gewonnen. Praatte hij in het begin nog met lijn- en IT Managers, tegenwoordig zit hij steevast met RvC en RvB-leden aan tafel. John begint deze gesprekken steevast met dezelfde vraag: wie is er eigenlijk geïnteresseerd in jouw informatie? Zo bepaal je een risicoprofiel en dus de hele paraplu van maatregelen die je gaat treffen. Dit is volgens hem een vruchtbaarder insteek dan een klant van meet af aan schrik aan te jagen door allerlei rampscenario’s te schetsen. Of, zoals hij het prachtig beeldend verwoordt: “De security branche wil tandpasta verkopen door een model te laten zien met rotte tanden. Maar je verkoopt toch veel meer met stralend witte tanden?”

De kern van John’s security analyses bestaat uit het kwantificeren van risico’s. Nu zijn risico’s inherent aan elke vorm van ondernemen, maar het is belangrijk te weten wat de kans is dat een organisatie te maken krijgt met security issues. Temeer daar de aard en omvang van deze issues in de loop der jaren sterk is veranderd. Bestond het managen van security risks in het verleden vrijwel uitsluitend uit het bestrijden van insider fraud, tegenwoordig komt de grootste bedreiging van buitenaf.

Volgens John is 100% bescherming een fabeltje. Het is niet zozeer de vraag óf je te maken krijgt met een incident (een belangrijke klant van hem noteert er op een normale dag 14.000), maar wanneer en hoe vaak. En wat doe je zodra je het ontdekt? Vooral niet panikeren, zo luidt het devies. Imagoschade moet niet worden overschat, het geheugen van de gemiddelde Telegraaflezer is relatief kort. Morgen is iemand anders weer aan de beurt. Onthoud, zo spreekt hij zijn toehoorders moed in, er heeft zich nog altijd geen 9/11 voorgedaan op het internet.

De belangrijkste taak voor CIO’s of CISO’s (Chief Information Security Officers) bestaat er volgens John dan ook uit om in discussie te gaan met boards, om zo hun kennisniveau te verhogen en inzicht in mogelijke acties te vergroten. Zijn key takeaway: jaag mensen geen schrik aan, maar geef ze handelingsperspectief!

Terwijl het publiek deze wijze les verwerkt, is het afsluitende woord aan de dagvoorzitter. Zijn korte ‘State of the Union’ maakt duidelijk dat CIONET nog steeds sterk groeiende is. Maar er is meer goed nieuws, want de tweede leergang ‘CIO als Commissaris’ is in volle gang. Gevraagd naar zijn reactie als deelnemer, blijkt Arjan van Dijk (CIONET Advisory Board member en voormalig Manager IT Stadgenoot) een Schwarzenegger-achtige oneliner in huis te hebben: “Commissarissen be aware, er komt een lichting aan die wél verstand heeft van IT!” Een krachtige boodschap, die John Hermans en de andere aanwezigen ongetwijfeld met veel genoegen zullen hebben aangehoord. Het waarborgen van cyber security, zo weten we na vandaag, begint immers met awareness binnen de hoogste echelons in de organisatie.

Auteur: Frank Verduijn

Leave a Reply

Your email address will not be published. Required fields are marked *