Verslag FERM Port Cyber Café: ‘Human Factors en ICT-beveiliging’

Het thema van deze eindejaarseditie is ‘Human Factors’, ofwel de menskant van (informatie)veiligheid. Een middag met presentaties rond bewustwording van ICT-beveiliging onder medewerkers, en de technische maatregelen die bijdragen aan de ‘digitale hygiëne’ van een bedrijf en helpen tegen criminele infiltratie. Hoe kan het samenspel van menselijke activiteiten en beveiliging met digitale technologie bijdragen aan het zo goed mogelijk beschermen van uw bedrijf en onze persoonsgegevens?

Uiteraard was de introductie ook vanmiddag voor onze vaste moderator, Chris van ’t Hof, die van het feit dat we wéér een FERM-jaar afsluiten gebruik maakte door de onderwerpen van alle voorgaande edities nog eens door te nemen. Dat lijstje vind je natuurlijk ook op onze website, inclusief alle verslagen per bijeenkomst.

Na het inleidende verhaal van Chris ging het woord naar Ward Veltman, Cyber Security & Risk Officer van Havenbedrijf Rotterdam, die het aanwezige publiek meenam in de plannen voor de volgende fase van FERM. Ook daarin was plaats voor een stukje geschiedenis – met highlights zoals het Haven Cybermeldpunt, de diverse edities van CyberNautics en bijvoorbeeld onze redactionele serie over Storage Spoofing – maar voor nu richten we ons graag even vooral wat er voor 2020 en verder op de agenda staat. Het doel is namelijk een volgende stap: van awareness naar weerbaarheid.

Uit een recent onderzoek kwam de behoefte voor (verdere) samenwerking naar voren. Dat heeft geresulteerd in de pilot, waarin we met een groep bedrijven als collectief aan cyberweerbaarheidsdienstverlening werken – als ‘digitale brandweer’. Welke bedrijven dat zijn en alle verdere details van deze pilot, waaronder het trainen van IT/OT, gezamenlijke oefeningen en een doorontwikkeling van de organisatie, zullen we op een later moment delen.

De volgende spreker deze middag was Joab de Lang, CISO bij gemeente Rotterdam. Als Chief Information Security Officer weet hij als geen ander welke maatregelen er genomen kunnen worden (en zijn genomen) om informatiebeveiliging te verbeteren.

In 2017 concludeerde de Rotterdamse Rekenkamer in hun rapport “In onveilige handen” namelijk dat het slecht was gesteld met de informatiebeveiliging van de gemeente Rotterdam. Daarop volgden ingrijpende technische en organisatorische veranderingen. Joab vertelde uitgebreid hoe zij te werk zijn gegaan en hoe Rotterdam er nu, ruim twee jaar later, voor staat. Specifiek ging hij op de vraag ‘Wat zou u doen als u door een toezichthouder of auditor op de vingers wordt getikt?’.

Een van de concrete antwoorden is dat er bij Gemeente Rotterdam een aantal trajecten in gang gezet zijn om de zaken aan te pakken, waaronder Governance (bestuur & beleid) en Informatiebeveiligingsfunctie. In dat tweede spoor kreeg de menskant een belangrijke rol: de medewerker is vaak de zwakste schakel. Dat wordt door Joab echter bewust genuanceerd, want je kunt je medewerkers ook als positieve factor benoemen. Als onderdeel van de bewustwordingscampagne is het aantal mensen die zich binnen de organisatie bezighouden met informatieveiligheid gegroeid van 7 naar 20 medewerkers, om informatiebewustzijn én de volgende stap (gedragsverandering) organisatiebreed op te kunnen pakken.

Het derde traject, of ‘spoor’ zoals het binnen de organisatie consequent wordt benoemd, is Control, waarin de maturity van de maatregelen wordt gemonitord. Worden die stappen van awareness naar het juiste gedrag inderdaad gezet?  De human factor is een belangrijke variabele, maar uiteraard moet er ook aandacht zijn voor technische maatregelen. In het vierde spoor daarom veel aandacht voor continuous security monitoring, segmentering van het netwerk, kwetsbaarhedenscanning, het uitfaseren van legacy systemen en bijvoorbeeld goed management voor mobiele apparatuur, in tandem met spoor 5: fysieke maatregelen (denk daarbij bijvoorbeeld aan badges voor toegangscontrole).

In de huidige situatie is er toewijding aan de evaluatie en effectiviteit van de genomen maatregelen, maar ook veel aandacht voor externe ontwikkelingen en variabelen. Ook een organisatie als Gemeente Rotterdam moet immers weten wat er speelt in de wereld van digitalisering en hoe dat systemen en processen beïnvloedt om daar intern mee om te kunnen gaan. Een tip van Joab daarbij is communicatie; het heeft enorm geholpen om de noodzaak van geïmplementeerde maatregelen op een transparante en duidelijke manier voor het voetlicht te krijgen, om als organisatie in de juiste richting te kunnen bewegen; informatiebewustzijn als sleutel voor gedragsverandering.

Deel twee van het ‘Human Factors’-verhaal werd verzorgd door Fred Byrman van SERIS Security, die een inzichtelijke presentatie gaf over ‘cyberhygiëne’: het vrijhouden van netwerken en systemen van infecties en vermijden van besmettingshaarden. Ten aanzien van een onderwerp als wachtwoorden wordt dat het best geïllustreerd met een tandenborstel, zo luidt zijn duiding: ‘kies een goede, deel ‘m niet met anderen en vervang ‘m geregeld’.

Cyberhygiëne is behalve een boek waar Fred de laatste jaren aan gewerkt heeft ook een cursus die hij bijvoorbeeld verzorgd heeft tijdens het grote Port Security Seminar 2019, dat SERIS Security georganiseerd heeft in samenwerking met STC Training & Consultancy. De term is doorheen de presentatie sterk verbonden met de term ‘Human Firewall’, in lijn met wat Joab ook al aanstipte: zie de mens/medewerker niet als zwakste schakel, maar juist als bepalende factor in de informatiebeveiliging.

Insiders (interne actoren) zijn er in twee varianten: onbedoeld en kwaadwillend. In die eerste categorie hebben we het over de mens als meest kwetsbare in de gehele keten, deels door te goed zijn van vertrouwen maar zeker ook door een gebrek aan kennis. Omdat dit gebrek aan kennis zich rechtstreeks laat vertalen in risico’s is het zaak te investeren in training van medewerkers. De tweede categorie heeft betrekking op actoren die bewust van plan zijn data te bemachtigen (of corrumperen).

Cyberhygiëne gaat dan ook verder dan cybersecurity awareness. Vanuit begrip van de werking van het systeem en de technieken die een kwaadwillende gebruikt om dit te manipuleren wordt actief gezocht naar een praktisch en effectief handelingsperspectief voor de gebruiker, want die gebruiker is uiteindelijk degene die de digitale deur op slot moet houden. Concreet gaf Fred het gezelschap vanmiddag praktische voorbeelden en adviezen over alles van baiting en shoulder surfing tot phishing, vishing en zelfs Smishing (via SMS of WhatsApp) – want de tegenpartij wordt steeds inventiever.

Een greep uit de tips van Fred richting gebruikers, van algemeen tot zeer concreet;

• Denk na over risico’s, stel bij en leer van elkaar (FERM)
• Doe een cybersecurity awareness training
• Communiceer de spelregels en monitor het netwerk
• Beperk webbrowsing
• Blokkeer usb-poorten waar deze niet nodig zijn
• Voer beleid op sterke wachtwoorden en hanteer tweefactor authenticatie

Voor meer informatie kun je terecht op Seris.nl, waar je onder meer leest over een security awareness training in 20 minuten.

FERM is onderdeel van het Port Cyber Resilience Programma. Doel van het programma is het stimuleren van samenwerking tussen bedrijven in de Rotterdamse haven en het verhogen van het bewustzijn met betrekking tot cyberrisico’s om zo de best digitaal beveiligde haven van de wereld te worden.

De Port Cyber Cafés zijn bedoeld om met experts uit het vak samen in een informele setting dieper in een actueel onderwerp rond cybersecurity in het Rotterdamse Havengebied te duiken.

Lees ook het verslag van de vorige editie: IT meets OT – Part I