De enorme digitaliseringsstappen van woningcorporaties de afgelopen jaren hebben tot veel voordelen geleid. Denk aan efficiencywinst, betere samenwerking over afdelingsgrenzen heen en een huurder die centraal wordt gezet en beter bediend. Maar die ontwikkelingen hebben ook een keerzijde, want het risico op een cyberaanval groeit. Hoe hou je je organisatie veilig en tegelijkertijd je processen werkbaar? CorporatieGids.nl sprak erover met Rob de Rijk, Security Officer bij Woonbedrijf Eindhoven.
Door de toename van ketenpartners en samenwerkingsverbanden is de uitdaging steeds groter om op een veilige manier gevoelige informatie te delen met partners, begint Rob het gesprek: “Daarnaast is cybercriminaliteit in het algemeen – maar ook ransomware – helaas dagelijks in het nieuws en kan iedereen erdoor worden getroffen. Alertheid is dus essentieel.”
Bevindingen delen
Rob refereert onder andere aan de verschillende hackaanvallen in de sector in de afgelopen jaren. “Ondanks dat we bij Woonbedrijf op het gebied van bewustwording, technische en organisatorische maatregelen treffen en hoe goed je alles voor elkaar denkt te hebben, kan het uiteindelijk iedereen overkomen. We proberen uiteraard wel te leren van eerdere incidenten, zeker als deze in onze branche plaatsvinden. Daarom is het zo belangrijk dat na iedere aanval de bevindingen worden gedeeld. Soms lijken de slachtoffers zich te schamen omdat ze slachtoffer zijn geworden, maar het zijn juist hun ervaringen waardoor we als sector beter voorbereid zijn.”
Draagvlak vanuit directie
Op de vraag hoe je de kans op een aanval en schade zo klein mogelijk maakt, pleit Rob voor draagvlak vanuit de directie voor het belang van informatiebeveiliging: “Dat uit zich bijvoorbeeld in informatiebeveiligingsbeleid en richtlijnen om de kwaliteit hiervan te borgen. Daarnaast is het belangrijk dat informatiebeveiliging van iedereen is en iedere medewerker een belangrijke bijdrage levert. Ook heb je betrouwbare partners nodig die de corporaties kunnen helpen met diensten, waaronder het bieden van een security operations center voor 24/7 bewaking en een Cyber Emergency Response Team (CERT) in het geval van een aanval.”
“Het is daarnaast ook van belang om jaarlijks de awareness te toetsen door bijvoorbeeld audits, kwetsbaarheidsscans en cybercrisisoefeningen zodat je weet wat het volwassenheidsniveau van je organisatie is. Deze trainingen helpen medewerkers bewust te maken van de risico’s, helpen gevaren te herkennen en om de juiste keuzes te maken. Het op de hoogte zijn van de laatste ontwikkelingen is daarbij essentieel. Dit jaar neem ik zelf deel aan het Woco-ISAC overleg waarbij Security Officers uit de sector kennis uitwisselen en gerichte branche gerelateerde risico’s kunnen delen.”
Kijkje in de keuken
Om de awareness hoog te houden binnen Woonbedrijf, werkt de corporatie samen met Pentests.nl(Hackify). Rob: “Zij hebben onder andere ethical hackers in dienst die op verzoek de kwetsbaarheden van de IT-voorzieningen inzichtelijk hebben gebracht, aanbevelingen hebben gedaan en hebben meegedacht over verbeteringen. Daarnaast heeft Penstests.nl onze IT-beheerders tijdens de pentestsworkshop meegenomen in de wereld van hackers en daarbij veelgebruikte technieken uit de praktijk laten zien, waardoor we nog bewuster zijn van de eenvoud van het plegen van een cyberaanval.”
Grip op blinde vlekken
Dit inzicht hielp Woonbedrijf om grip te krijgen op blinde vlekken in de IT-omgeving. Rob: “We doen continu kwetsbaarheidsscans om zwakke punten inzichtelijk te maken en te verhelpen. Tijdens de pentest kwamen we erachter dat niet alle facilitaire componenten meegenomen werden, waardoor een aantal facilitaire systemen niet op de radar stonden. Dat is inmiddels aangepakt.”
Kwetsbaarheden voorkomen
Door de kwetsbaarheidsscan te voorzien van de juiste scope, worden nu alle interne facilitaire systemen werkelijks onderzocht. “Daarnaast blinken de leveranciers van facilitaire systemen niet altijd uit in het treffen van de juiste en meest actuele beveiligingsmaatregelen,” legt Rob uit. “Er zijn betere afspraken gemaakt met deze leveranciers om kwetsbaarheden zoveel mogelijk te voorkomen in de toekomst.”
Deep fakes en kwantumcomputers
Informatiebeveiliging staat niet stil en het wordt volgens Rob steeds belangrijker doordat online dienstverlening 24/7 wordt aangeboden en steeds meer informatie met ketenpartners wordt uitgewisseld: “Daarnaast zijn er continu nieuwe technologische ontwikkelingen waar we alert op moeten zijn. Denk aan de opkomst van kwantumcomputers die encryptierisico’s met zich meebrengen of de opkomst van AI. Kunstmatige intelligentie biedt enorme kansen maar brengt ook risico’s met zich, bijvoorbeeld omdat directeur-bestuurders met deep fakes worden nagebootst, een phishingmail makkelijk kan worden opgesteld of omdat je niet altijd grip hebt op waar jouw informatie wordt gebruikt. Als sector zullen we digitalisering steeds meer omarmen om ons werk efficiënt te kunnen uitvoeren. Aan ons de taak om daarin ook oog te hebben voor de risico’s die deze ontwikkeling met zich meebrengt.”
Bron: CorporatieGids, Foto: Woonbedrijf
Zoals ieder jaar was het een voorrecht om CorporatiePlein te mogen organiseren. En de 2024-editie, de veertiende van het…
www.corporatieplein.nlCorporatieGids Magazine - November 2024 Inhoud Ferry van der Pal (Wonen Wateringen): Fusie leidt tot betere bijdrage aan de volkshuisvestelijke opgave…
Zoek en vind leveranciers en adviesbureaus die IT-diensten en oplossingen aanbieden aan woningcorporaties.