Stap 1#
Laat je medewerkers schrikken
‘Wij zijn begin 2018 begonnen met een phishing test. Eerlijk gezegd, dat viel niet mee. Het ingeschakelde bedrijf, CYCO, had het ook niet te makkelijk gemaakt. Wij hadden maar heel weinig input gegeven, alleen dat het een mail moest zijn van ‘een huisleverancier’. Je staat versteld wat je allemaal aan gegevens bij elkaar kunt googelen. Medewerkers kregen een heel professioneel uitziende mail in de trant van: ‘Wegens de lange relatie die wij hebben met jullie, gaan we wat gadgets verloten.’ Met een link werden ze naar een fake-website geleid en om zeker te zijn dat het inderdaad een werknemer van ons was, moest hij of zij inloggen met zijn Visser & Visser-inlog. We zijn om 10 uur gestart en om 17 uur hebben we de test voortijdig stopgezet. En dat was niet voor niets. Zeker in organisaties met veel mailverkeer wordt er snel gelezen. Er wordt vooral gekeken naar wat gevraagd wordt. Maar hierna was de twijfel helemaal weg dat een awareness training nodig was.’
‘we hebben de cybersecurity test voortijdig gestopt en dat was niet voor niets’
‘De data die tijdens de test zijn vergaard zijn geanalyseerd en gepresenteerd aan de partners van Visser & Visser met de boodschap: ‘Hier moeten we mee aan de gang.’ We zijn begonnen met een lunchsessie waarin we alle medewerkers hebben geconfronteerd met de resultaten waarbij we het schrikeffect ten volle hebben laten uitkomen. CYCO heeft ons ook allemaal ‘meegenomen’ op het illegale darkweb zodat we konden zien hoe het er daar aan toe gaat, wat er allemaal te koop is. Dat heeft ons de ogen wel geopend.’
Hoe kwetsbaar elk bedrijf is voor cyberaanvallen? Kijk maar:
Stap 2#
Zet iedereen verplicht op veiligheidstraining
‘Accountants doen heel veel aan dataverwerking. Wij zitten er dus iets anders in dan it’ers. De gedachte was: ‘It regelt het wel.’ En voor it was beveiliging een kwestie van lijstjes afvinken. Ik heb ook 10 jaar in de zorgsector gewerkt en kijk er misschien daarom iets anders tegenaan. De mens is de zwakste schakel als hij niet weet wat de risico’s zijn. Digitale beveiliging wás altijd een it-feestje, maar door de focus te leggen op techniek, zorg je juist voor méér risico.’
‘We hebben De Gezonde Digitale Organisatie gevraagd wat ze konden aanbieden om onze situatie te verbeteren. Uiteindelijk hebben we via hen gekozen voor een e-learningtraject van Kaspersky. De eerste reactie onder het personeel was heel breed: ‘Ik heb wel wat beters te doen’. Dan moet je veel praten. Aan het einde van het eerste jaar hadden vijf van de 300 medewerkers het traject niet gevolgd. Zij kregen een brief van hun leidinggevende en die zit in hun personeelsdossier. Dat klinkt overdreven, maar je moet laten zien dat je cybersecurity serieus neemt anders gebeurt er niets.’
‘je moet laten zien dat je cyber security serieus neemt, anders gebeurt er niets’
‘Al sinds 2016 hebben we een meldpunt voor datalekken. Dat begon met vijf tot acht meldingen per jaar, maar sinds we zijn begonnen met de trainingen zijn dat er vijf tot acht per maand. We kregen laatst een melding van een collega die een e-mail naar de verkeerde persoon had gestuurd. Hij zei er meteen bij dat hij de nodige stappen al had ondernomen: de geadresseerde gewaarschuwd en gevraagd om de e-mail te verwijderen. Bij bewustwording hoort ook de kennis over wát er is gelekt. VPB-gegevens zijn niet zo erg, het BSN-nummer is wél erg.’
Stap 3#
Moderniseer de it-organisatie en zet alles op papier
‘Als de it verandert, moet de afdeling ook veranderen. Houd er rekening mee dat een it’er van de oude stempel een prima systeembeheerder is, maar dat hij misschien niet warmloopt voor cybersecurity. Ook de aansturing moet anders. Wij hebben een team met een functionaris gegevensbescherming, een p&o’er, de chief security officer ben ik en één van de directieleden is de compliance officer. Daaronder hangen werkgroepen: Bewustwording, Overheid & Juridisch, Registratie, Risicobeheersing, Datalekken en een groep specifiek over ónze dienstverlening. Daarnaast hebben we sessies voor klanten gedaan om hun awareness te verhogen.’
‘zet de structuren zwart op wit: ons cybersecurity beleid past op 1 A4’tje’
‘Structureren helpt je als organisatie alle onderdelen rond veiligheid ergens onder te brengen. Hoe komt het dat het vastleggen van die onderdelen bij veel bedrijven niet op orde is? Omdat structuren niet zwart op wit staat. Bij ons past dat op een A4’tje: Wie is de belanghebbende, welke activiteit is nodig als er iets gedaan moet worden en wie is de coördinator? Ik zit als manager ict ook elke twee weken bij het directie-overleg en rapporteer welke datalekken we hebben geconstateerd en hoe het zit met de AVG. Er was wel zorg over, maar de AVG is niet meer dan het vastleggen van de realiteit. Dat moet je juist doen.’
Stap 4#
Doe een uitgebreide cyberrisicoanalyse
‘Eind oktober hebben we een cyberrisicoanalyse uit laten voeren. Dat was een complete nulmeting: Hoe is de techniek en hoe is de bewustwording van alle medewerkers? Dat kost geld, maar het levert zoveel op. Daar kwamen enkele zwakke it-punten uit. Dat heeft een beetje te maken met hoe het gebouw in elkaar zit, maar het meeste zat toch bij de mens. E-mail is de grootste oorzaak van datalekken die zelf worden veroorzaakt. Er worden zo makkelijk berichten doorgestuurd naar een verkeerd e-mailadres of met alle eerdere geadresseerden nog in de CC.’
Stap 5#
Zorg dat al jouw data ergens veilig staan
‘Dit jaar zijn we van data on premesis, op eigen servers, naar data in de cloud gegaan. En we zijn begonnen met het labelen van documenten. Je kunt ze alleen openen als je daar rechten voor hebt en het is nu ook mogelijk om het gebruik te volgen.’
‘De overgang naar de cloud was voor ons een beheerskwestie. Wij hebben 12 kantoren en 300 medewerkers, dieniet meer per se op kantoor achter een desktop pc zitten. Autonome medewerkers kunnen nu makkelijker veilig bij hun werk komen. Ik denk dat, mits je je eigen softwarekant goed hebt ingericht, een cloud-omgeving veiliger is dan dat je alles zelf met je eigen kleine clubje it’ers moet bijhouden. Clouddiensten is er alles aan gelegen om optimale veiligheid te bieden.’
‘als je gegevens alleen goed beschermt om geen boete te krijgen, heb je het belang ervan niet goed begrepen’
‘Medewerkers moeten de kennis hebben om veilig met data om te gaan. Ik lees wel eens ‘ach, het valt allemaal wel mee met die AVG-controles’ als excuus om weinig aan dataprotectie te doen. Ja, er zijn geen boetes uitgedeeld. Maar als je alleen maar compliant wilt zijn om geen boete te krijgen, heb je het belang van gegevensbescherming niet goed begrepen. De techniek is zo veranderd dat de mens een grotere verantwoordelijkheid heeft gekregen. Dat past ook bij ons bedrijf. Mensen zijn hier tegelijk verantwoordelijk voor klantbeheer en projectbeheer en dus óók voor de data en de veiligheid daarvan.’
Stap 6#
Houd het vuur brandend
‘We vragen niets, maar elke maand krijgt een medewerker een mailtje dat er een training klaar staat met een deadline waarop die gedaan moet zijn. Op sommige onderdelen van ons intranet kun je je abonneren en dan krijg je berichten die voor jou interessant zijn, maar die over cybersecurity zijn verplicht. We willen ook berichten over cybersecurity gaan narrowcasten en er is een serviceplein waar medewerkers terecht kunnen met vragen. Af en toe anonimiseren we een casus die we breder delen. We proberen op allerlei manieren onze mensen bij dataveiligheid te betrekken. Dit jaar gaan we een assessment afnemen om te kijken of de medewerkers écht iets hebben geleerd en of het blijft hangen.’
‘cybersecurity is geen it-probleem, maar een organisatorisch probleem’
‘Het is jammer dat een medewerker altijd beducht moet zijn op kwaadwillenden. Met een telefoontje, zogenaamd namens een medewerker of een klant, naar een onoplettende, vriendelijke receptiemedewerker kun je al heel veel gegevens krijgen voor social enginering. Zo maken criminelen misbruik van menselijke eigenschappen om vertrouwelijke gegevens te verkrijgen of iemand te verleiden om een bepaalde handeling te verrichten. Daarvoor houd ik mijn hart vast bij dienstverlenende organisaties zoals de onze. Dat ondervang je door training en ervaring. Iedereen die hier binnenkomt als nieuwe werknemer, krijgt meteen een cybertraining.
Ik merk dat de bewustwording groeit en daar zijn we blij mee. Het kost tijd, dus we moeten goed afwegen wat we wel en niet moeten doen. Cybersecurity is geen it-probleem, maar een organisatorisch probleem.’
5 ongedachte/onverwachte cybersecurity gevaren
Deze ogenschijnlijk onschuldige acties kunnen veel schade aanrichten als digitale gegevens in verkeerde handen komen:
- Mailtje naar de verkeerde persoon;
- Verkeerde bijlage meegestuurd;
- (Groep)mails doorsturen met daarin ook alle mailadressen van de andere geadresseerden zichtbaar in CC;
- Mail doorsturen met daarin de hele mailgeschiedenis, inclusief gegevens van contactpersonen van buiten de organisatie;
- Mensen kunnen ongecontroleerd jouw pand binnenlopen en achter een computer gaan zitten.