Digitale weerbaarheid
Artikel

Hoe Nederlandse organisaties over cyberweerbaarheid leren van Amerikaanse collega’s

Beeld: Tanium

Meer formele en informele samenwerking tussen overheidsdiensten, standaardisatie en meer aandacht voor asset management. Dat zijn slechts een paar van de lessen die een tiental Nederlandse CISO’s en security adviseurs trokken uit een werkbezoek aan hun collega’s in die Verenigde Staten. Dat is ook het verhaal dat Tony van der Togt (Rijk) en Raymond Bierens (VU Amsterdam) recent brachten tijdens het iBestuur event ‘Security & Overheid’.

Deze studiereis werd opgezet door CISO-Rijk en vond dit voorjaar plaats. De Nederlandse securityspecialisten voerden meer dan 40 gesprekken met vertegenwoordigers van zowel federale, regionale als lokale Amerikaanse overheidsdiensten. Zij bezochten onder andere de US Navy, US Marine Corps, State of California, State of Arizona, State of New Jersey, State of New York en de San Francisco County & City Incident Report Centers. Daarnaast hadden zij ook gesprekken met MITRE, de standaardenorganisatie NIST, bezochten ze de RSA conferentie en overlegden ze met diverse technologieleveranciers, waaronder Microsoft en Tanium. Tanium ondersteunde deze studiereis inhoudelijk door gesprekken met overheden op te zetten rondom best practises.

Doel van deze studiereis: lessen trekken uit de ervaringen van andere complexe en vaak versplinterd opererende overheidsinstellingen met het verbeteren van hun cyberweerbaarheid. Ook wilde men  onderling ervaringen uitwisselen om tot een beter begrip te komen van de uitdagingen en de oplossingen. Veel aandacht ging ook uit naar het zo efficiënt mogelijk beheren van het attack surface.

Veel van deze organisaties zijn uiteraard een fors maatje groter dan soortgelijke Nederlandse organisaties. Zo telt de staat California alleen al meer dan 100 agentschappen en taakorganisaties. Mocht California een zelfstandig land zijn, dan vormde zij de vierde grootste economie van de wereld, voor landen als Duitsland, India, het Verenigd Koninkrijk en Frankrijk. Maar toch merkten de deelnemers aan de studiereis dat veel van de uitdagingen en problemen dezelfde zijn, en dat er aardig wat te leren valt van de best practices in deze organisaties. Op vlak van cybersecurity lopen de Verenigde Staten wat voor op Europa, waardoor meteen voordeel gehaald kan worden uit hun ervaringen.

De Amerika-reizigers staken heel wat kennis op, maar onderstaande drie conclusies sprongen het meeste in het oog.

Werk zoveel mogelijk samen

Uiteraard is het voor overheidsinstellingen handig als er een overkoepelende overheid is die een aantal standaarden oplegt en een architectuur uittekent. Dat is ook waar CISO-Rijk mee bezig is. Maar wanneer een dergelijke structuur ontbreekt, zetten Amerikanse overheidsinstanties vaak samen een ‘coalition of the willing’ op. Op die manier kunnen ze niet alleen met elkaar overleggen, maar creëren ze ook schaalvoordelen om bijvoorbeeld met leveranciers te onderhandelen. Zo zijn er staten die raamcontracten onderhandelen voor alle overheidsinstanties binnen die staat. Wie wil kan er gebruik van maken en zo financieel voordeel behalen. Wie liever zelf een partner kiest, mag dat uiteraard ook doen, maar draagt daar dan ook zelf de verantwoordelijkheid voor. De ‘whole-of-state’ aanpak waarbij formeel of informeel samengewerkt wordt, krijgt overal ter wereld meer tractie, zoals we in een vorig artikel beschreven.

Cyberweerbaarheid gaat verder dan technologie

Naast deze samenwerking tussen organisaties onderling, besteden de Amerikaanse securityspecialisten van de overheid ook veel tijd aan het opzetten en onderhouden van relaties met de hogere echelons binnen hun agentschappen. Dat doen ze door heel specifiek aan te geven aan hun directies welke specifieke bedreigingen er zijn voor hun organisatie. Door op die manier begrip te creëren bij hun management, kunnen ze zich verzekeren van ondersteuning op de lange termijn. Bovendien helpt sponsorship op directieniveau voor een betere acceptatie in alle lagen van de organisatie.

Begin bij de basis van cyberhygiëne

Hoewel de diverse overheden die de groep bezocht heel erg verschillen in omvang en in geografie, blijken de meesten toch de verhoging van hun cyberweerbaarheid te starten door in te zetten op het identificeren, inventariseren en beheren van hun assets. Het is inderdaad bekend dat veel aanvallen starten bij endpoints, zoals PC’s of laptops. Ervoor zorgen dat deze endpoints altijd gepatcht zijn en de laatste updates en upgrades krijgen, is een basiselement in een goede cyberhygiëne.

Er is geen betere manier om kennis op te doen dan te praten met vakgenoten die in hetzelfde domein actief zijn en voor vergelijkbare uitdagingen hebben. De ervaringen die zij opdeden en de lessen die zij leerden, helpen organisaties snelle stappen te zetten om deze ervaringen ook gelijk in de praktijk toe te passen. Dat de deelnemers aan deze studiereis inmiddels ook de in de VS opgedane kennis verder delen met andere Nederlandse collega’s, bijvoorbeeld door de presentatie tijdens het iBestuur event, kan de cyberweerbaarheid van onze overheidsorganisaties alleen maar verder verbeteren.

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren