‘Awareness, awareness, awareness’

Na ‘wat is het?’ (29 januari) en ‘wat gebeurt er als het misgaat?’ (5 februari) ging de derde avond van de cybersecurity-mastercourse (12 februari) over ‘wat te doen ter voorkóming dat het misgaat?’ Om de juiste maatregelen te treffen, legde Marcel Spruit uit, zijn drie zaken cruciaal: (1) hoe belangrijk is cybersecurity voor de organisatie?, (2) welke maatregelen zijn nodig? en (3) hoe laat de gewenste mate van cybersecurity zich organiseren? Spruit is lector Cyber Security & Safety aan de Haagse Hogeschool en als consultant verbonden aan PBLQ HEC.

Een dreiging is niet voor alle organisaties even relevant. Zo kan een politieorganisatie of bank meer hackers verwachten dat een buurtwinkeltje. Risico is kans maal gevolg, dus behalve het inschatten van de kans dat een dreiging zich voordoet, is het zaak te bepalen welk gevolg, welke schade optreedt als het toch gebeurt. Men moet zich daarbij realiseren dat oorzaak en gevolg zich niet op dezelfde plek in de organisatie voordoen. Een aanval richt zich op de techniek (besturingssysteem, databasemanagementsysteem), de gevolgen manifesteren zich bij de processen, die de techniek ondersteunt. Spruit maakt daarbij ook onderscheid tussen de organisatieonderdelen, die bij die twee domeinen betrokken zijn: techniek doet de ICT-afdeling, het management is meer georiënteerd op processen, op de ‘business’.

Wanneer vraag 1 is beantwoord, kiest men zijn maatregelen. Die treft men ook bij de techniek. Wanneer die is uitbesteed zijn maatregelen onderdeel van afspraken met de betreffende (eventueel interne) partij, neergelegd in bijvoorbeeld een SLA. Sommige maatregelen kosten weinig inspanning of geld en hebben een groot preventief effect. Die moet men dus zeker invoeren. Omgekeerd zijn er maatregelen die veel vergen, maar alleen iets uitrichten bij kleine en dus acceptabele risico’s. Die kunnen achterwege blijven. Deze twee categorieën lopen niet naadloos in elkaar over. Ertussen zitten maatregel-risicocombinaties, waarover te discussiëren valt. Daar moet dus gekozen worden.

Maar niet iedereen schat risico’s hetzelfde in. Het management, met de grootste afstand tot de processen waar zich de risico’s effectueren, neigt naar onderschatting. De techniek, annex het systeembeheer, dagelijks getuige van massa’s tegengehouden virussen en verijdelde hacks, ziet het juist te somber in. Voor de betrouwbaarste risicoperceptie moet men op de werkvloer zijn, bij medewerkers met dagelijkse bemoeienis met de processen. Volgens Spruit mislukken veel awarenesscampagnes omdat die deze groep aanspreken, terwijl daar de minste awarenessproblemen liggen. En het Post-it-briefje met een niet te onthouden wachtwoord dan? Of de rondslingerende usb-stick? De plaknotitie ziet Spruit als het gevolg van ondoordacht wachtwoordbeleid en systeembeheer zou ook het gebruik van usb-sticks onnodig moeten maken. Deze onvolkomenheden zijn niet de medewerker aan te rekenen, maar worden hem door anderen opgedrongen.

Om de misperceptie bij management en techniek (ICT-afdeling, systeembeheer, ruimer beschouwd: beveiliging) weg te werken is bewustwording bij leidinggevenden nodig via risicoanalyses, rapportage van incidenten en contact met de werkvloer. Voor de automatisering geldt: beter communiceren. Dit laatste impliceert ook een managementtaak: de leiding moet de ICT-afdeling uitnodigen tot adequate communicatie (en dan met de verkregen informatie ook iets doen). Wat kan helpen is een externe impuls: het EU- plan om een meldplicht in te stellen voor incidenten. Die kan beveiligingsproblemen zichtbaar maken waar deze zich nu slechts openbaren als topje van een ijsberg, want ter vermijding van imagoschade lopen organisaties er niet mee te koop dat ze zijn gehackt.

Spruit adviseert voor de hele organisatie een basisbeveiligingsniveau te realiseren aan de hand van bestaande checklists, zoals van de Code voor Informatiebeveiliging (ISO 27002), en voor kritische processen/systemen daarbovenop extra maatregelen te treffen. De neiging de baseline hoog te leggen, zodat extra maatregelen niet meer nodig zijn, kan men beter onderdrukken, want daardoor zou men medewerkers opzadelen met voorschriften die iets moeten voorkomen, wat zich bij hen toch niet voordoet.

Bij de vraag (3) hoe het te organiseren, is een mix van top-down (sturing) en bottom-up (kennis) ideaal, als die twee bewegingen tenminste bij elkaar komen. Het aanstellen van een goede, eventueel ingehuurde, adviseur kan dit bevorderen en is volgens Spruit zelfs ‘de eerste stap bij het organiseren’. Het management zorgt voor mensen en middelen, definieert taken, verantwoordelijkheden en bevoegdheden, richt processen in, stuurt ze aan, bewaakt en onderhoudt ze. Beveiliging zorgt voor registratie en rapportage van incidenten, geeft inzicht, advies en bewaakt. Andere medewerkers participeren en melden incidenten. Een greep uit Spruits succesfactoren: toewijzing van processen en systemen aan ‘eigenaren’, benutting van inzichten van de werkvloer, integratie van cybersecurity in bedrijfsvoering, inzet van toetsingsmethoden (audit, penetratietesten) en een management dat het goede voorbeeld geeft.

Case: Schiphol

Als ergens iedere medewerker geacht wordt tot in al zijn vezels commitment te voelen bij beveiliging, dan moet het wel luchthaven Schiphol zijn. Kees Jans, CIO van Schiphol Group, vertelde dat informatiebeveiliging er onderdeel is van de totale beveiliging. De directeur Safety & Security is (eind)verantwoordelijk voor die totale beveiliging en dus ook voor informatiebeveiliging. Voor dit laatste laat hij zich bijstaan door een Information Security Advisor, die voorzitter is van een kernteam informatiebeveiliging. Daarin zijn naast het juridische, financiële, facilitaire en HR-domein ook ICT (‘Cyber’) vertegenwoordigd. Voor cybersecurity, aspect van informatiebeveiliging, draagt de CIO de dagelijkse verantwoordelijkheid.

Aan ICT geeft Schiphol jaarlijks 65 miljoen euro uit. Het gaat om ruim honderd ICT-systemen, 2500 vluchtinformatiepanelen, 50.000 sensoren (die de werking van allerlei voorzieningen monitoren) en 2200 kantoorwerkplekken, dat alles gerund door 210 ICT-medewerkers. Dit gebeurt in een platte ICT-organisatie met onder de CIO, bijgestaan door een staf, vier onderdelen met elk een ICT-manager aan het hoofd. Eenzelfde organigram representeert de cybersecurity-organisatie, waarbij de CIO zich laat bijstaan door een Cyber Security Officer en genoemde Information Security Advisor, en de vier ICT-managers integraal verantwoordelijk zijn voor ‘hun’ informatie. Daarmee zijn ze dat ook voor de beveiliging daarvan en voor de cybersecurity van hun deel.

Bij de identificatie van risico’s is het proces leidend. Het belang van het proces bepaalt de hoogte van het aanvaardbare risico en daarmee de tegenmaatregel. Volgens Jans zegt systeembeschikbaarheid uitgedrukt in een percentage boven 99 weinig. Vluchtinformatiepanelen kunnen bij storing best een half uur zonder update, want in een half uur wisselen weinig vliegtuigen van gate. En bij de bagageafhandeling zegt een KPI (kritieke prestatie-indicator) die stelt hoeveel koffers er als gevolg van een ICT-storing kwijt mogen raken, meer dan zo’n beschikbaarheidscijfer. Beide voorbeelden noemde Jans ‘goedkoper dan streven naar een beschikbaarheid van 99-komma-zoveel procent’.

Jans belichtte van Schiphols cybersecurity-maatregelen zowel organisatorische als technische aspecten. Voor alle maatregelen staat het procesrisico centraal. Ook streef men ernaar cybersecurity tot verantwoordelijkheid van elke individuele medewerker te maken. Bij het risicomanagement maakt Schiphol gebruik van de ‘bow tie’- methode, waarbij aan de ene kant van elke dreiging de maatregelen worden aangegeven, terwijl de andere (business-) kant bepaalt wat moet gebeuren als de maatregelen toch een keer niet werken. Alle inspanningen ten spijt moest Jans afsluiten met enkele verbeterpunten, waarbij hij bewustzijn weliswaar als laatste noemde, maar wel drievoudig: ‘Awareness, awareness, awareness’.