Cybersecurity: wat meer aandacht voor de mens graag

Een goede cybersecurity strategie staat of valt met mensen. Hoewel hij recent de switch maakte van een Britse overheidsdienst naar technologieleverancier Tanium, vindt Dan Jones dat de rol van de mens vaak onderschat wordt. 

Dan Jones is sinds februari 2024 Cyber Security Advisor bij Tanium, na een carrière van bijna 30 jaar bij het Britse ministerie van defensie. “Ongeveer om de drie jaar wisselde ik van job binnen het MoD.  Toen ik meer dan zeven jaar in mijn laatste functie zat, voelde ik dat ik klaar was om iets totaal anders te doen waarbij ik al mijn ervaring kon inzetten om anderen te helpen,” verklaart Jones zijn overstap. “Ik vind het fijn om bij Tanium te komen werken. Niet alleen hebben ze unieke technologie met XEM, ik wist ook al dat ik met een team aan fantastische mensen zou kunnen samenwerken.”

Eerste verdedigingslinie

Je werkt duidelijk graag met mensen samen. In cybersecurity speelt de mens een dubbele rol: als probleem en als probleemoplosser.

Dan Jones:  Dat klopt helemaal. In een organisatie vormen de medewerkers de eerste verdedigingslinie tegen security problemen. Maar anderzijds zijn het meestal ook de medewerkers die ervoor zorgen dat er iets mis gaat. In mijn carrière heb ik de meest fantastische en beveiligde systemen en netwerken opgezet. Maar dan is er plots één persoon die een smartphone met een onveilig en verouderd besturingssysteem oplaadt via de USB-poort van zijn PC en je hebt problemen. Idem met phishing links waar iemand – bewust of onbewust – op klikt.

Dat geeft meteen het belang aan van bewustwording, natuurlijk.

Jones: Organisaties moeten hun medewerkers blijven wijzen op de gevaren en bedreigingen. Maar je moet dat wel op een educatieve manier doen en aangeven wat wel mag en wat niet. Het is totaal verkeerd om mensen bang te maken en te dreigen met ontslag als ze dit of dat verkeerd doen.

Het zijn trouwens niet alleen de medewerkers waar bewustwording voor nodig is. Het management heeft nog veel meer nood aan educatie. Zowel in de private als in de publieke sector maakt het management de afweging over welke budgetten vrijgemaakt worden voor cybersecurity. Te vaak heeft het hoger management te weinig kennis over het belang van beveiliging. Daarom is het goed dat de overheden NIS, NIS2 en DORA opleggen. Dat maakt het duidelijk voor management wat hun verantwoordelijkheid is, wat de risico’s zijn en wat de gevolgen zijn van slechte cybersecurity.

Wat is je verwachting eens NIS2 van kracht wordt?

Jones: Ik ben heel benieuwd wat er gaat gebeuren en hoe de regelgeving gehandhaafd zal worden. Welke organisatie komt het eerst in de problemen? Hoe zullen de Europese autoriteiten reageren?  Zullen ze meteen een forse boete opleggen? Of krijgt de eerste gewoon een tik op de vingers? Eens de handhaving gebeurt, zal je merken dat iedereen plots meer appetijt zal krijgen om in security te investeren.

Verschillen tussen publieke en private sector

In je nieuwe rol zie je zowel private als publieke organisaties. Welke verschillen zie je?

Jones: Cybercriminelen maken niet echt het onderscheid tussen de twee. Dus zijn de bedreigingen voor lokale, regionale of nationale overheden dezelfde als voor kleine of grote commerciële bedrijven. Bovendien kan je niet zomaar de grens trekken tussen publiek en privé. Overheden werken ook samen met private bedrijven, onderaannemers bijvoorbeeld, of dienstenbedrijven. En dan is een overheid net zo goed afhankelijk voor zijn beveiliging van hoe die private partner zijn zaakjes op orde heeft. Je moet goed met elkaar samenwerken zodat je weet wat de security strategie van die partner is: wat is hun patching strategie? Hoe worden hun mensen getraind? En ook hier komt het weer neer op mensen: iemand moet uitvissen met welke partners allemaal samengewerkt wordt, welke informatie met hen gedeeld wordt, hoe die data opgeslagen wordt…. Fundamenteel is er 20-30 jaar niets veranderd: computers praten nog steeds met computers. Alleen is alles sneller geworden en hebben alle toepassingen meer functionaliteit. En meer functionaliteit betekent meer kans op problemen. En dan kom ik weer op mijn zelfde punt: het zijn mensen die dit allemaal onder controle moeten houden.

Is het anders werken in cybersecurity voor de overheid van voor een privébedrijf?

Jones: Op vlak van human resources zijn er we soms verschillen: overheden hebben het moeilijker om mensen te houden, omdat ze minder betalen. Nochtans kan het aantrekkelijk zijn om in publieke dienst te werken. Overheden bekijken de zaken op langere termijn dan kwartaalgedreven organisaties. En soms zijn overheden met zaken bezig waar je in de privésector niet van kan dromen.

Ik ben wel heel blij dat we bij Tanium veel met de Nederlandse overheid samenwerken. Dat er een Chief Information Security Officer Rijk aangeduid is, vind ik heel bijzonder en moedig. Dat verplicht de diverse overheden om op een goede manier met elkaar samen te werken. Op die manier kunnen ze veel efficiënter werken en meer bereiken met de mensen die ze nu hebben.

Veranderprocessen – ook daar draait het om mensen

Hoe lastig is het om overheden met elkaar te laten samenwerken?

Jones: Heel veel IT en security organisaties zijn organisch gegroeid. Dat betekent dat iedere overheidsdienst zijn eigen cultuur heeft rond cybersecurity. Ik heb veel overheidsdiensten gezien die weigerden met elkaar samen te werken, of die het vertikten een best practice toe te passen omdat die ergens anders uitgevonden was. Overheden moeten er echt van afstappen om elkaar als concurrenten te zien. Ook hier gaat het om bewustwording en verandermanagement. Om tot meer samenwerking te komen moet je niet dreigen met de stok, maar mensen verleiden met een wortel. Voor de lol heb ik wel ooit eens een basebalknuppel geverfd alsof het een wortel was…