Het is niet de vraag of, maar wanneer je als organisatie wordt geraakt door een cyberaanval. Maar je kúnt er iets tegen doen.
Het jaar was nog maar net begonnen of we hadden de eerste grote cyberaanval te pakken. Poortwachter Citrix was ditmaal het doelwit. De paniek was groot, bestuurlijk Nederland gooide zo ongeveer van de ene op de andere dag de Citrix-servers op slot, met alle vervelende consequenties van dien.
Na Citrix kwam corona en met corona de hackers en cybercriminelen die van de onzekerheid en angst gebruik maakten om hun aanvallen te intensiveren. Steeds vaker, steeds intensiever en steeds dreigender – het is al lang niet meer de vraag of, maar wanneer je als organisatie wordt geraakt door een cyberaanval. Huib Modderkolk schreef er en mooi boek over met de treffende titel: ‘Het is oorlog maar niemand ziet het.’ Brenno de Winter waarschuwt ook al sinds jaar en dag voor de gevaren van wat hij de digitale jungle noemt, in juni bijvoorbeeld nog tijdens het door Forum voor Standaardisatie georganiseerde webinar Safety by Design en Default.
In de wapenwedloop met steeds agressievere en inventievere cybercriminelen zijn we kwetsbaar, maar niet weerloos. Een goede verdediging begint met een bewustwording van de gevaren. Te vaak nog begint een geslaagde hack bij een medewerker die iets te enthousiast een link opent. Belangrijk is ook om je basale zaken goed op orde te hebben. ‘Het gaat vaak om simpele zaken met verstrekkende gevolgen’, waarschuwde De Winter tijdens het webinar. Hij refereerde onder meer aan het werken met verouderde systemen en het gebruik van te simpele wachtwoorden.
Als overheid hebben we de afgelopen jaren de nodige stappen gezet, maar veiligheid is nooit af, het is iets dat continu aandacht en inspanning vraagt. Bij Wigo4It realiseren wij ons dat als geen ander. Vorig jaar nog werden we geconfronteerd met rode scores waar het de beheersing van de SUWI-keten betrof. In de ENSIA-rapportages, waarin gemeenten verantwoording afleggen over de informatieveiligheid, kwamen wij als leverancier er destijds niet best vanaf. Niet zozeer omdat we onze dingen niet goed deden, maar vooral omdat we niet goed genoeg konden laten zien wat we goed deden. Veiligheid is ook het kunnen laten zien wat je hebt gedaan en waarom. Op dat terrein schoten we tekort.
Het was voor ons een wake-up call. Direct zijn we gestart met een SUWI-project. In samenwerking met de G4 taskforce (Amsterdam, Utrecht, Den Haag en Rotterdam) hebben we hard gewerkt aan alle punten die aangepast dienden te worden. Zoals aan een betere onderbouwing en verantwoording van onze processen, maar ook op het terrein van veiligheid hebben we een slag gemaakt. Met succes. De seinen die vorig jaar nog allemaal op rood stonden staan nu allemaal op groen. Sterker nog, de wijze waarop we SUWI hebben aangepakt dient nu als voorbeeld voor NOREA, de beroepsorganisatie van IT-auditors. De volgende stap is het vertalen van de lessen van het SUWI-project naar BIO, de opvolger van BIG en het opzetten van een control-framework, waarin we nauwgezet de aantoonbaarheid van wat we doen gaan regelen.
Veiligheid is niet alleen zaak van niet aflatende aandacht, het vraagt ook om een lange adem. Alleen om de aantoonbaarheid bedrijfsbreed goed te organiseren duurt volgens onze experts, zoals mijn collega Stefan Molenbroek, drie tot vijf jaar. Maar het loont. Inzicht in je processen helpt om snel te kunnen reageren bij cyber-onraad.
Larissa Zegveld is algemeen directeur van Wigo4it, de coöperatie van de sociale diensten van Amsterdam, Den Haag, Rotterdam en Utrecht op het gebied van informatievoorziening. Begin 2019 werd zij benoemd tot voorzitter van Forum Standaardisatie, ingesteld door de Nederlandse overheid met als doel het gebruik van open standaarden in de publieke sector te stimuleren.
