Cybersecurity is al 10 jaar jaarlijks op onze agenda en zal steeds belangrijker worden. Het belast steeds meer het IT budget en check & balances zijn nodig binnen bedrijven. De kranten staan vol met DDoS-aanvallen. 

Wat dit betekent; energie- en waterbedrijven worden door toename van digitalisering van hun infrastructuur steeds kwetsbaarder. Het antwoord vanuit de IT wereld is vooral meer van alles. Maar in een wereld waar computersystemen computersystemen aanvallen en de aangevallen systemen zelf ook weer autonoom reageren op de aanval zonder tussenkomst van de mens, moeten we ook gaan nadenken over nieuwe veiligheidsparadigma’s.

Mary-Jo de Leeuw (oa Partner@Revnext Founder@Cyberwerkplaats President@Platform Internet of Toys) is moderator van de middag en trapt gelijk af met hoe onveilig speelgoed al is. Heb je een camera in je pand van Chinese makelij, verbaas je dan niet dat mensen makkelijk mee kunnen kijken en luisteren. Niet alleen budget voor beveiliging is belangrijk. 

Sander Reerink, Information Security Officer bij de Rabobank, neemt ons mee in een aantal dilemma’s die bij een grote bank voorkomen. Ook hier is kennisdeling met andere banken een redelijk open lijn. Wat de ene bank met malware geleerd heeft kan snel gedeeld worden met de rest. Niettemin kan de samenwerking in Nederland tussen verschillende sectoren nog steeds veel beter. Internationale hackers zitten in de hele keten en binnen de keten kennen sommige partijen elkaar niet goed genoeg als zou moeten. De Rabobank werkt tegenwoordig met een Heatmap waar in verschillende kwadranten-risico’s en subrisico’s ingevuld worden tegen een as dreiging en een as control. Daaruit volgen verschillende niveaus van acties rondom issues afhankelijk van de risk appetite die je als organisatie wilt hebben. De heatmap helpt dus goed met prioriteren. Rabobank tests veel met eigen hackers & doet eigen DDoS aanvallen. Dit gebeurt ook veel in de UK waarbij banken hackers in operationele systemen laten inbreken. Verder werd nog even aangestipt dat het best lastig is om met IT vendors en cloud providers informatie te delen. Wat is de kwaliteit van de software van de cloud provider bijvoorbeeld. Aanbieders blijken dan behoorlijk gesloten.9

Rene Marchal, Senior (cyber) Security & Safety Executive bij Tennet neemt ons mee in de wereld van kritische infrastructuur. Er is meer digitalisering en risico’s worden groter. Rene verteld zijn ervaringen vanuit de Cyber security raad. Delen van informatie gaan in de energiesector best goed. De wereld wordt wel complexer, maar ons systeem is robuust genoeg in Nederland verteld hij. De sessies die Rene goed helpen is denken vanuit een business perspectief. Map je kritieke processen in je eigen supply chain. Het delen van informatie wordt steeds makkelijker. Iedereen zit in hetzelfde schuitje, principieel niet delen is geen oplossing. Al met al is de conclusie dat de overheid heel actief moet blijven. Wetgeving is wellicht niet altijd de oplossing.

Leden en sprekers ging daarna in discussie of cyber security nog wel in de IT afdeling thuishoort. Iedereen heeft uiteindelijk ook eigen verantwoordelijk, awareness etc. Mens als zwakke schakel. Kan niet alleen bij IT liggen. Iedereen heeft uiteindelijk ook eigen verantwoordelijk, awareness etc. Mens als zwakke schakel, kan niet alleen bij IT liggen vind de meerderheid van de deelnemers. IT speelt een belangrijke rol, maar kan ook vanuit een faciliterende rol. 

Jeroen Kleinhoven (partner CIONET) gaat nog in op digital capabilities en ITCMF van IVI. IVI heeft een cyber security assessment ontwikkeld. Welke trends, barriers en acties moet je nemen in deze tijd? Okke Tissing (KPN Consulting) plant met haar klanten een aantal van deze sessies en wil graag met een partij de assessment testen.

Ongetwijfeld gaan we deze discussie over cyber security binnenkort weer voortzetten.