2022 was misschien wel hét jaar waarin de sector het belang van goede privacy- en informatiebeveiliging begon in te zien. Om te kijken wat goed gaat en wat beter kan, deed Claranet op CorporatiePlein een aantal Security Scans bij woningcorporaties. Wat zijn de uitkomsten, wat zijn de grootste valkuilen voor het nieuwe jaar en welke ontwikkelingen gloren aan de horizon voor de sector? Een gesprek daarover met Account Manager Peter van den Broek (links op de foto onderstaand) en Security Consultant Dries Paulussen.
Niet alleen tussen woningcorporaties, maar ook binnen organisaties zelf ziet het duo een grote verscheidenheid aan securityvolwassenheidniveaus. Dries: “Na de scans zijn we met een groot aantal corporaties in gesprek gegaan omdat volgens de uitkomst werk aan de winkel was. Wat we daarbij veel zagen was de onbekendheid van de genomen – of juist nog niet genomen – maatregel. Voor sommige corporaties was de scan ook een echte wake up-call om intern meer duidelijkheid te scheppen in de daadwerkelijke verdediging tegen cybercriminelen.”
Hoog awarenessniveau
Voorbeelden van gevaren zijn steeds geavanceerdere phishing- en ransomware-aanvallen. Peter: “Dit is in de afgelopen jaren al een enorm probleem geweest, maar heeft nog relatief weinig problemen veroorzaakt. Echter als zo’n aanval slaagt, is het gelijk goed raak. We hebben vorig jaar gezien dat ook corporaties onder de slachtoffers behoren. Hetzij rechtstreeks, hetzij via een supply-chain incident. Ons advies is simpel: zorg voor een hoog niveau van awareness binnen je organisatie. De mensen die je laatste defensielinie vormen, moet je goed voorbereiden omdat de gevolgen niet te overzien zijn als criminelen eenmaal binnen zijn.”
Nog een weg te gaan
Om zo’n awarenessniveau te bereiken, heeft het Nationaal Cyber Security Center (NCSC) volgens Peter een aantal basismaatregelen gepubliceerd. “Corporaties kunnen deze direct adopteren, zoals het toepassen van multifactorauthenticatie, segmenteren van netwerken en het genereren van loginformatie door systemen. Zodra je inzicht hebt of je hieraan voldoet, kun je uitbouwen of wellicht een inhaalslag maken. Er is behoorlijke diversiteit in de volwassenheid wat we hebben gezien in de uitkomsten van de scans op CorporatiePlein. Er zijn genoeg corporaties die we kunnen inschalen als professioneel, maar ook genoeg die nog een weg te gaan hebben.”
Pentesten bezig met inhaalslag
Vanuit de scans is terug te leiden dat weinig corporaties de IT-omgeving continu scannen en minder dan de helft pentesten gebruikt om de omgeving jaarlijks te testen. Dries: “Het is een onjuist idee dat pentesten en continue securitytesten horen bij organisaties die vaak en veel updates hebben op hun IT-omgeving mét webwinkel of applicatie. Ook corporaties kunnen enorm veel baat hebben bij dergelijke testen. We hebben het natuurlijk over gevoelige en persoonlijke informatie en door gebruik van een portal of webomgeving is er een directe connectie naar buiten. Dit soort testen zorgen ervoor dat lekken en mogelijke open deuren direct kunnen worden gedicht, erg belangrijk dus. Op het moment dat dit kwartje valt, is er gelukkig ook eigenlijk geen corporatie die dit negeert, en er dus mee aan slag gaat.”
Geen garantie
Beveiligen is essentieel maar biedt uiteindelijk geen garantie, legt Dries uit: “Er is maar één ondoordachte handeling nodig om de spreekwoordelijke voordeur voor een crimineel open te zetten. Dat zien we ook terug in de gesprekken met klanten. Er is een toenemende vraag naar meer beheerde diensten waarbij er een actieve controle is van het IT-landschap, bijvoorbeeld middels 24/7 monitoring. Dat is een serieuze oplossing maar wel een die de impact van een incident drastisch kan verlagen.”
Security als iets van iedereen
Wil je deze gevaren het hoofd kunnen bieden, moet volgens Peter iedereen meedoen. “Security moet serieus worden genomen door de hele organisatie. Het heeft geen zin om veel moeite en geld in security te steken als niet iedereen meedoet. Dat begint met het management en moet uiteindelijk een business-gedreven onderwerp worden waarbij je moet uitgaan van de zogenaamde zero trust¬-benadering. Vertrouw niets, maar verifieer alles. Dat is uiteraard een onnatuurlijke insteek, omdat je het liefst iedereen zou willen vertrouwen en uitgaan van het goede van mensen. Maar zodra security breed én serieus wordt genomen, zijn de daaruit volgende stappen veel makkelijker te zetten omdat het besef er is dat het belangrijk is. Dat is het vanzelfsprekend om het altijd in processen mee te nemen.”
Voorbereiden op de toekomst
Nieuwe wet- en regelgeving komen er daarnaast ook aan, sluit Dries af. “De NIS2-richtlijn heet die, in Nederland ook wel de NIB 2 genoemd. Deze richtlijn is door het Europees Parlement aangenomen en stelt strengere eisen aan bedrijven, overheden en infrastructuur op het gebied van cyberbeveiliging. Nederland heeft nu anderhalf jaar om deze richtlijn om te zetten naar een wet die dit gaat regelen op nationaal niveau. We zitten nu in een unieke situatie dat NIS2 in 2023 nog geen enkele formele invloed heeft, maar dat corporaties zich wel moeten voorbereiden. In 2024 wordt de wet van kracht en daarom moet er nu al begonnen worden. Kijk bijvoorbeeld naar de invoering van de AVG in 2018 waarna verschillende organisaties achter de feiten aanliepen. Alleen in de laatste maanden zijn toen echte stappen gezet, dat kun je beter plannen en voorbereiden.”
Dit artikel is eerder veschenen op CorporatieGids.nl