Alle berichten

Collectieve verdediging

In het FD-seminar Cybersecurity & Privacy gehouden op donderdag 21 september 2017 werd zeer duidelijk gemaakt waar de uitdagingen liggen op dit gebied. De sessie was enorm informatief en schetste een beeld dat aangaf hoeveel werk er te verzetten is in de nabije toekomst.

Vanuit de sessie is er één woord dat toonaangevend was om de dreiging te verduidelijken. Dit is het getal 1.

Zo gaf Aleid Wolfsen (voorzitter van de Autoriteit Persoonsgegevens) aan dat in het onderzoeken van datalekken er vooral gekeken zal worden naar klachten. Hij gaf aan dat bedrijven er rekening mee moeten houden dat “één klacht een normerende werking kan hebben op de gehele bedrijfsvoering”. Hier maakte ik uit op dat als een klacht met betrekking tot privacy gegrond is, dit kan betekenen dat de Autoriteit Persoonsgegevens erop toe kan zien dat het bedrijf terstond zijn beleid aanpast.

Rickey Gevers (Chief Intelligence Officer bij RedSocks) maakt het nog duidelijker dat er werk aan de winkel is. Hij gaf aan dat ieder bedrijf ‘te hacken’ is, zelfs als dit een zeer goed security-beleid heeft. De reden hiervoor is dat “een hacker maar één persoon hoeft te vinden die zich niet aan het beleid houdt”. Gevers gaf aan dat dit ook voorkomt bij juist de technische personeelsleden. Een recent voorbeeld is de hack van Deloitte waarbij een account van een administrator gehackt werd.

Hoewel hacks met betrekking tot persoonlijke gegevens doorgaans het meest pijnlijk zijn vanwege de inbreuk op de privacy, is dat niet het enige dat belangrijk is. Sterker nog, de cybersecurity van systemen die niets met de gegevens van natuurlijke personen te maken hebben, wordt belangrijker.

Dit gaf Axel Arnbak (advocaat bij de Brauw Blackstone Westbroek) aan. Hij vertelde dat er op dit moment belangrijke wetgeving klaarligt met betrekking tot cybersecurity om verder geïmplementeerd te worden en dat de gevolgen hiervan verder gaan dan die van de huidige privacywetgeving. Dit is ook hard nodig vanwege de groeiende interconnectiviteit van apparaten, waardoor er enorme schade kan worden gemaakt. Een typisch voorbeeld is de disruptie van het energienetwerk. Een hacker hoeft maar één schakel in de keten aan te vallen en velen hebben er last van.

De vraag die dit alles uiteraard oproept, is hoe men zich hiertegen kan wapenen. Inge Philips-Bryan (directeur Cyber Risk Services bij Deloitte) gaf aan dat het onmogelijk is om te voorkomen dat je gehackt wordt. Het is natuurlijk altijd verstandig je er zoveel mogelijk tegen te wapenen, maar het volledig voorkomen is onmogelijk. Het belangrijkste wat je kan doen is het inzetten van goede detectie, informatiebronnen te segmenteren en een cultuur te creëren van transparantie.

Indien we dan de oplossing tegen het probleem afzetten, komen we erachter dat juist binnen de organisatie, het beste middel het collectief is. Vooral het creëren van een cultuur waarin men bewust is van de datasystemen en op welke wijze deze gebruikt en misbruikt kunnen worden, is essentieel. Zo gaf Aleid Wolfsen aan dat “organisaties bewust moeten zijn van welke data ze gebruiken en waarom”. Met andere woorden: processen moeten niet meer gegevens verzamelen dan strikt noodzakelijk is.

Ook Axel Arnbak geeft aan dat een juiste cultuur essentieel is. In zijn ervaring met datalekken stelt hij dat het technisch personeel soms tot het laatste moment wacht om een datalek te melden. Het personeel wil namelijk eerst “zelf het datalek onderzoeken of, indien mogelijk, oplossen”. In een organisatie met een ‘afrekencultuur’ is dit soort gedrag natuurlijk te verwachten.

Hoe kan men dan een transparante, verantwoordelijke cultuur bereiken? Het antwoord hierop is om juist de organisatiepiramide om te draaien en van een top-downcultuur naar een bottom-up optimalisatie-cultuur te gaan. Juist in een organisatie waarin iedereen even belangrijk is, is het mogelijk om van je werknemers je belangrijkste defensie te maken.

Dit kan bereikt worden door hen voldoende te trainen. Juist door processen te bouwen vanuit Operations, kan de awareness ‘ingebouwd’ worden in de cultuur en in de processen. Als personeel bijvoorbeeld een doelbewuste afweging moet maken welke data wel of niet essentieel is, is de kans op overbodige data-opslag minder.

Daarnaast is het actief meewerken aan het ontwerpen, digitaliseren en verbeteren van processen bevorderlijk voor een holistische cultuur. Het is juist deze cultuur die nodig is om een goede beveiliging te creëren. Personeel is dan bewust van het hoe en het waarom van de processen, omdat ze er zelf aan hebben meegewerkt.

In een dergelijke organisatie is de kans dat incidenten extreme vormen aannemen, minder aannemelijk. Men kan zich vaak niet langer verschuilen achter het argument “Oh, daar zullen ze wel aan hebben gedacht?” of “Dat is toch niet mijn verantwoordelijkheid?”. Met andere woorden, u dient te streven naar een organisatie waarin iedereen bewust is van hetgeen ze doen.

 

 

Op 4 oktober aanstaande zullen wij aanwezig zijn bij de WEM-conferentie in Utrecht. Komt u ook?

Wouter Mertens

Business Manager IT

Nieuws

Gerelateerd nieuws

Lees meer >