• Home
• Nieuws

Jorrit van de Walle (Audittrail): Informatiebeveiliging organisatiebreed dragen als eerste linie tegen cyberaanvallen

Geplaatst door CorporatieMedia op Wednesday 11 October 2023

De afgelopen jaren is de sector steeds meer bewust geworden van het belang van goede informatiebeveiliging. Wat gaat daarbij goed en waar kunnen corporaties winst boeken om nog veiliger te zijn? CorporatieGids Magazine sprak met Jorrit van de Walle, directeur van Audittrail, over de baseline van een veilig corporatie, het gevaar van kunstmatige intelligentie en het realiseren van een veilige organisatie, nu én in de toekomst.

Wat zijn momenteel de belangrijkste informatiebeveiligingstrends voor woningcorporaties?
Informatiebeveiliging wordt steeds meer gezien als een specialisme en must have waarvoor tijd en budget moeten worden vrijgemaakt. Ik merk gelukkig dat de security officer steeds beter wordt betrokken en soms een centrale rol krijgt op bestuurlijk- en managementniveau. Op die manier wordt informatiebeveiliging onderdeel van het algemene beleid. Ik zie ook dat als er beperkt budget of kennis is, er vaker wordt gekozen voor een CISO as-a-service constructie, om toch informatiebeveiliging te prioriteren.

Een andere trend is ‘hoe overleef je zo goed als mogelijk een cyberaanval’? Hoe bereidt een organisatie zich voor? Veel organisaties zijn druk bezig met het opstellen van bedrijfscontinuïteitsplannen, treffen extra beveiligingsmaatregelen en besteden aandacht aan het trainen van medewerkers.

Als laatste grote trend zie ik het besef dat informatiebeveiliging organisatiebreed moet worden gedragen. De mate van deze security awareness kan belangrijk zijn als eerste linie tegen cyberaanvallen. Er wordt steeds meer gedaan aan awareness trainingen, -campagnes en phishingtesten. Een fantastische ontwikkeling, want je beveiliging is zo sterk als je zwakste schakel en op dit moment zijn dat helaas vaak nog de medewerkers. Ergens is dat natuurlijk ook logisch, want informatiebeveiliging is een abstract begrip en geen onderdeel van de werkzaamheden. Trainen op phishing moet ervoor zorgen dat medewerkers situaties leren herkennen en tegelijkertijd dat de drempel om een incident te melden zoveel mogelijk wordt verlaagd. Vaak komen door onwetendheid of schaamte mogelijke kwetsbaarheden niet aan het licht. Het motto zou moeten zijn: ‘Je bent een held als het meldt’ om te streven naar een veilige bedrijfscultuur.

We hebben de afgelopen jaren grote hackaanvallen in de sector gezien; is het gevaar daardoor verminderd of veranderd?
Een ‘positieve’ ontwikkeling is dat hierdoor het besef bij corporaties is gekomen dat je een doelwit kan worden. Niemand is veilig. Het is niet zozeer de vraag of je wordt aangevallen, maar wanneer er een geslaagde cyberaanval plaatsvindt. Alertheid betekent niet dat het gevaar onverminderd is. Je moet nog steeds je zaken op orde brengen en houden. Corporaties zijn nu eenmaal geliefde doelwitten vanwege alle data die zij verwerken, de publieke functie én de financieringsconstructie die ze hebben. Het gevaar is dus enerzijds verminderd, maar aan de andere kant zitten criminelen niet stil en zullen ze altijd nieuwe manieren ontwikkelen om geslaagde aanvallen uit te voeren.

Wat is de ‘baseline’ om veilig te zijn?
De BIC is in het leven geroepen als baseline voor corporaties om na te streven. Het blijft in mijn optiek het minimum waaraan je zou moeten voldoen. Door actief aan de slag te gaan met risicomanagement, kan je op een juiste wijze de maatregelen treffen die verder gaan dan de baseline. Ik zie dat daar nog wel terrein te winnen is.

Waar is vervolgens nog winst te boeken?
Door de normen van de BIC te hanteren heb je een goede basis, maar waar ik naar toe zou willen is het adopteren van bijvoorbeeld de BIO: de Baseline Informatiebeveiliging Overheid. Deze wordt bij gemeenten volop gebruikt, en laten dat nou net belangrijke ketenpartners zijn van corporaties. Een voordeel van de BIO zijn de extra maatregelen en de indeling in volwassenheidsniveaus. Zo kun je beter proactieve stappen zetten om jouw organisatie verder te beschermen.

Hoe zie jij het gevaar van informatiebeveiliging de komende jaren ontwikkelen?
Het duurt vaak even voordat het duidelijk is dat een organisatie is gehackt. Hackers worden ook steeds beter in zich verbergen en richten daardoor meer schade aan. Ik denk dat vroegtijdige detectie en een adequate reactie daarop steeds belangrijker worden.

Een technische zorg is kunstmatige intelligentie. Kwaadwillenden kunnen steeds minder van echt te onderscheiden aanvallen opbouwen, doordat AI-machines steeds meer kunnen simuleren. Denk bijvoorbeeld aan deepfakes. Stel je maar eens voor dat een hacker opbelt of jou in een videogesprek vertelt dat je geld over moet laten maken, maar dan met de stem en gezicht van de directeur-bestuurder.

Nog een zorg is de blijvende toename van de afhankelijkheid van informatietechnologie. Niets kan meer zonder IT of internet, zo lijkt het. En daarmee stijgt ook de impact als het uitvalt.

Wat kunnen corporaties doen om niet alleen nu veilig te zijn, maar ook over vijf of tien jaar?
Er zijn veel dingen die gedaan kunnen en moeten worden. Als eerste investeren in kennis en kunde. Zorg dat je de juiste mensen op de juiste plekken hebt en zorg dat zij bijblijven met kennis op IT- en securitygebied. Zowel bij interne als externe medewerkers. Investeer vervolgens in goede en up-to-date technologie. Daarmee bedoel ik niet alleen nieuwe firewalls, maar ook geüpdatet sleutelsystemen. Alles wat niet meer onderhouden of iets verouderd is, loopt risico.

Daarmee komen we op het thema updates: zorg dat deze patches altijd en tijdig worden uitgevoerd. Doe daarnaast aan data- en applicatieminimalisatie. Hoe minder je in huis hebt, hoe minder er gestolen kan worden en hoe minder je hoeft te beveiligen.

Als laatste zullen corporaties afhankelijk zijn en blijven van leveranciers. Controleer deze én werk met hen samen. En aan leveranciers de oproep: zorg dat je ook echt veilig bent en blijf daarin investeren.

Bron: CorporatieGids Magazine, Foto: Piet Jacobson