CorporatieGids Magazine

JUNI 2024 I 67 66 I CORPORATIEGIDS MAGAZINE Steeds meer phishinggevaar Computervredebreuk – oftewel het hacken of kraken van systemen – is volgens Peter de belangrijkste uitdaging als het gaat om informatiebeveiliging en privacy. “En de manieren waarop dit plaatsvindt verandert continu. Wat wij momenteel veel meemaken zijn phishingaanvallen. Bijvoorbeeld e-mails uit naam van onze bestuurder met het verzoek om een bedrag over te maken met een link, die niet door onze bestuurder zijn verstuurd. Ook imitatieberichten van bijvoorbeeld DHL komen langs met een link waarmee we een pakket kunnen traceren. Wanneer je vervolgens op deze link klikt, raakt je systeem geïnfecteerd.” Kerst en Microsoft-releases De frequentie waarin hackpogingen plaatsvinden verschilt per periode. “Bepaalde perioden – zoals tijdens de kerstdagen – brengen pieken met zich mee. Daarnaast houden criminelen ook het releaseschema van Microsoft in de gaten. Microsoft komt iedere maand op dezelfde tijd met een nieuwe patch. De meeste bedrijven die hiermee werken wachten een aantal dagen na het uitkomen van de patch met installatie en hackers weten dat. Die proberen in die periode toe te slaan, bijvoorbeeld met een phishingmail over de nieuwe patch.” Volledig veilig een utopie Jezelf voorbereiden op de hackpogingen vraagt vanuit technisch oogpunt verschillende maatregelen. Peter: “Denk aan het nemen van beschermingsmaatregelen binnen je systemen, uitvoeren van pentesten, restore testen, het opstellen van een calamiteitenplan en een Business Continuity Plan. Hiermee kunnen we – in het geval dát er wat gebeurt en onze systemen worden gegijzeld – snel terugvallen op een back-up waardoor het werk kan doorgaan. Echte honderd procent veiligheid bestaat niet, maar op deze manier benaderen we dit zoveel mogelijk. Omdat we daarnaast zijn aangesloten op SOCSIEM monitoren we continu wat er gebeurt binnen ons netwerk. Blijken er vreemde dingen te gebeuren, kunnen we daar direct op acteren.” Onderscheidend door ISMS Het onderscheidende onderdeel van de ISO-certificering is volgens Peter het Information Security Management Systeem (ISMS). “Het ISMS is geen softwaretool, maar betekent meer een continu verbeterproces. Dit zorgt voor een nieuwe werkwijze waarbij we vanuit een systematische aanpak met informatiebeveiliging aan de slag gaan. Dit borgt helderheid over beveiligingsdoelen, geeft inzicht in risico’s en hoe je deze aanpakt, verbetert de betrokkenheid van het management en stelt ons in staat efficiënt een PDCA-cyclus toe te passen om continu te verbeteren.” Sterkere beveiliging Een van de grote voordelen van deze werkwijze is dat je inzicht krijgt in de zwakke onderdelen van je organisatie. “Bij ons was dat bijvoorbeeld wachtwoordbeheer. Iedere medewerker gebruikt wachtwoorden om in systemen te komen. Maar je wilt niet dat ze jarenlang dezelfde code gebruiken, daar wordt je organisatie niet veiliger van. Medewerkers moeten daarom nu periodiek een nieuw wachtwoord instellen. Daarbij zijn de eisen wat betreft lengte en complexiteit van wachtwoorden verhoogt. Verder is two factor authentication verplicht voor alle gebruikers. Door deze stappen is de toegangsbeveiliging duidelijk verbeterd.” Pubquiz Iets waar Woonzorg Nederland volgens de resultaten juist erg hoog scoorde, was op het gebied van cyberbewustzijn. Een bewuste stap volgens Peter: “Dit is een thema waar we intern erg de nadruk op leggen. De aanpak is niet moeilijk: je moet het onderwerp continu terug laten komen op de agenda. Dat doet wij bijvoorbeeld middels lunchsessies waar we het hebben over informatiebeveiliging, het houden van ‘pubquizzen’ over hoe je de organisatie veilig houdt en het meenemen van het onderwerp bij de onboarding van nieuwe medewerkers. Ook is het belangrijk dat je het mak- en van meldingen bevordert en beloont. Wanneer collega’s een melding maken van een potentieel incident, ga hier serieus mee om en laat zien dat het melden niet voor niets is. Daarmee zorg je voor een cultuur waar je zeker weet dat een melding wordt gemaakt als er écht een probleem is.” Peter de Regt (Woonzorg Nederland): Kiezen voor ISO-certificering om informatiebeveiliging nog meer te borgen Als woningcorporatie wil je het criminelen zo moeilijk mogelijk maken om bij je binnen te komen. En als dat wel lukt, ervoor zorgen dat ze zo min mogelijk informatie kunnen buitmaken en je als organisatie snel weer aan de slag kunt. Woonzorg Nederland heeft daarom als een van de eerste corporaties in Nederland een ISO-certificeringstraject ondergaan en behaald. Manager I&A Peter de Regt legt in gesprek met CorporatieGids Magazine de redenen om met de certificering aan de slag te gaan uit en licht toe wat het de organisatie tot dusver heeft opgeleverd. De hack van acht corporaties begin 2022 was voor de sector een eyeopener wat betreft het gevaar van cybercriminaliteit. Ook voor Woonzorg Nederland, begint Peter het gesprek: “Na de hack kregen we intern de vraag ‘in hoeverre lopen wij eigenlijk gevaar’? We doen natuurlijk al veel wat betreft informatiebeveiliging, denk aan het meermaals uitvoeren van pentesten, 24/7 monitoring van ons netwerk en een sterke focus op awareness. De keuze om daarnaast ook voor een ISO27001-certificering te gaan, is wat ons betreft een goede, extra stap in de ambitie om het criminelen zo moeilijk mogelijk te maken en Woonzorg Nederland veilig te houden.”