Meer dan technologie: hoe sterke netwerken en samenwerking cybersecurity versterken

Tijdens de recente iBestuur-conferentie rond overheid en cybersecurity, had Dan Jones, Cyber Security Advisor bij Tanium, een boeiend dubbelgesprek met Frank van Beem, plaatsvervangend CISO bij het Ministerie van Defensie. Een gesprek met Dan Jones gaat zelden enkel over technologie, maar vooral ook over mensen en de manier waarop ze samenwerken. Na afloop van het congres spraken  we hierover verder met Dan Jones.

Je neemt zelf graag deel aan conferenties, niet alleen omwille van de bitterballen achteraf, maar ook om nieuwe mensen te ontmoeten. Waarom is dat voor jou zo belangrijk? En waarom vind je het ook zo belangrijk voor de aanwezigen?

Dan Jones: Als er een crisis is, heb je vrienden nodig. En zoals Frank van Beem het daarnet zei: vriendschappen bouw je niet op tijdens een crisis, je moet daarvoor al connecties leggen en kennis opdoen door ervaringen uit te wisselen met andere specialisten. Ik zeg al jaren: cyberbeveiliging is een mensenkwestie, ook al verpakken we dat graag in technologisch jargon. Cyberbedreigingen zijn veelzijdig en vaak heeft geen enkele persoon of team alle antwoorden. De juiste bondgenoten hebben, kan tijdens een crisis een verschil maken. De connecties die je nu legt, kunnen later de reddingslijn zijn die je nodig hebt. En er is voor medewerkers van overheidsdiensten geen betere plek om die nieuwe connecties te maken dan op een event als deze van iBestuur, waar iedereen open en eerlijk kan spreken.

Hoe moeten organisaties volgens jou prioriteit geven aan technologie, mensen en processen bij het beheren van cyberbeveiliging?

Dan Jones: Ik zou zeggen dat het essentieel is om cyberbeveiliging te zien als een driehoek die bestaat uit technologie, mensen en processen. Sterke technologie alleen kan een organisatie niet beschermen. De technologie is slechts zo effectief als de mensen die deze beheren en hun processen moeten solide zijn. Effectieve cyberbeveiliging is afhankelijk van een balans tussen deze drie. Je hebt de juiste technologie nodig, bekwame mensen om deze te bedienen en processen om alles met elkaar te verbinden. Vaak leggen cyberbeveiligingsincidenten zwakke plekken in deze balans bloot. Vergeet ook niet dat geen enkele organisatie op een eiland leeft. Een overheidsdienst wisselt niet alleen gegevens uit met andere overheidsdiensten, maar is ook afhankelijk van verschillende leveranciers. Al die verbindingen moeten feilloos werken.

Korte termijncontracten stimuleren samenwerking

Worden risico’s in de supply chain niet vaak onderschat?

Dan Jones: Dat is inderdaad een groot probleem. Risico’s in de toeleveringsketen zijn een van de grootste uitdagingen van dit moment. Een inbreuk of storing in het systeem van een leverancier kan een kettingreactie veroorzaken en gevolgen hebben voor talloze diensten. Organisaties in de publieke sector hebben transparantie nodig met hun leveranciers en vice versa. Dit is waar korte termijncontracten soms kunnen helpen; ze stellen beide partijen in staat om de effectiviteit van de relatie na verloop van tijd te meten. In de publieke sector stimuleren korte termijncontracten met duidelijke verwachtingen een voortdurende verantwoordingsplicht en houden ze iedereen betrokken op een productieve, transparante manier.

Tegenwoordig zie je een tendens naar langetermijncontracten. Maar daar ben je zelf geen voorstander van? Die creëren toch stabiliteit in de relatie tussen klant en leverancier?

Dan Jones: Ja en nee. Langetermijncontracten kunnen een gevoel van zekerheid geven, maar ze kunnen leiden tot zelfgenoegzaamheid als ze niet goed worden beheerd. Ik heb gevallen gezien waarin langetermijncontracten verworden tot “hoe komen we dit contract door?” in plaats van dat ze wederzijdse waarde opbouwen. Met kortere, makkelijk te verlengen contracten is het continu nodig om het vertrouwen van de andere partij te verdienen, wat helpt om verantwoording af te leggen en te reageren. Overheidscontracten neigen vaak naar de langere termijn, maar ik denk dat het de moeite waard is om deze aanpak te evalueren om flexibiliteit en aanpassingsvermogen te stimuleren, vooral naarmate cyberdreigingen zich ontwikkelen. In mijn vorige job bij het Britse Ministerie van Defensie erfde ik een 10-jaarscontract met één leverancier. We kregen niets meer van hen gedaan. Toen ik er wegging, had ik dat ene contract vervangen door meer dan 60 contracten van korte duur. Op die manier waren we veel effectiever. Ik besef wel dat het telkens vernieuwen van meer contracten ook een uitdaging is. Je moet het juiste evenwicht vinden. Ieder team moet goed inschatten waar ze toe in staat zijn. Maar in mijn ervaring zijn meer korte termijncontracten het beste alternatief.

Stap niet meteen naar de Formule1

Veel deelnemers aan jullie sessie zitten duidelijk met NIS2 in de maag. Is dat een last of een lust?

Dan Jones: NIS2 is een van die raamwerken die cruciaal zijn voor entiteiten in de publieke sector. Het is ontworpen om de cyberveiligheid van essentiële diensten in Europa te verbeteren. Ik zie gemengde reacties – soms wordt NIS2 gezien als ‘gewoon weer een vereiste’. Maar ik moedig organisaties aan om regelgeving te bekijken als een leidraad die de nadruk legt op cruciale praktijken, zoals de zichtbaarheid van bedrijfsmiddelen en risicobeheer door derden. In feite legt NIS2 vooral die zaken op die organisaties hoe dan ook al zouden of hadden moeten doen. En vergis je niet: er staat een 2 na NIS, dus je kan er donder op zeggen dat er ook een NIS3 komt, die de lat opnieuw hoger zal leggen.

Het blijft toch verwonderlijk dat veel organisaties de basics nog niet op orde hebben.

Dan Jones: Dat baart inderdaad zorgen. Ik hoorde vragen over geavanceerde technieken als threat hunting, de rol van analytics en wat artificiële intelligentie kan betekenen. Maar tegelijk weten veel organisaties nog niet exact wat er zich allemaal in hun netwerk bevindt en hoe goed alle endpoints beschermd zijn.

Ik merk ook dat organisaties te weinig voorbereid zijn. Er is misschien ooit wel een business continuity-plan opgesteld van wat er moet gebeuren bij een crisis, maar die plannen worden te weinig geoefend. Op het gebied van cyberbeveiliging zien teveel organisaties de noodzaak van oefenen over het hoofd. De aanpak van de Britse militairen is een goed voorbeeld: ze oefenen net zo lang totdat de procedures een tweede natuur zijn. Bij een echt incident is er geen aarzeling. Overheidsinstellingen zouden veel baat hebben bij soortgelijke oefeningen, zoals tabletop-scenario’s of nagebootste cyberincidenten. Deze oefeningen leggen hiaten in plannen bloot en identificeren rollen. Vaak ontdek je bij een aanval gebreken, niet in de technologie, maar in processen en coördinatie. Het oefenen van deze scenario’s schept vertrouwen en bereidt teams voor om efficiënt te reageren.

Maar zorg er dus eerst voor dat de basis goed zit. En gebruik AI bijvoorbeeld om taken te automatiseren en te orkestreren, bijvoorbeeld met Tanium’s Autonomous Endpoint Management.
Veel cybersecurityspecialisten willen nu meteen al AI ten volle inzetten. Maar dat is alsof je direct Formule 1-coureur wilt worden zodra je een rijbewijs hebt. Je moet eerst de lagere reeksen doorkomen voor je je aan Formule 1 kan wagen.

Je bent vaak in Nederland de laatste tijd. Hoe vind je dat overheidsorganisaties in Nederland of vergelijkbare markten presteren op het gebied van cyberbeveiliging?

Dan Jones: Ik zou zeggen dat er een sterk bewustzijn is, maar dat de consistente uitvoering kan variëren. De Nederlandse publieke sector heeft bijvoorbeeld ingezien dat om echt veilig te zijn, ze niet alleen hun eigen systemen moeten versterken, maar ook rekening moeten houden met de afhankelijkheden van derden.