"Security gaat over de continuïteit van je business"

Vandaag is het 3-daagse event NLSecure[ID] van KPN Security start gegaan. Demissionair minister van Justitie & Veiligheid Ferd Grapperhaus deed de opening. Hij onderschrijft volledig het doel van deze bijeenkomst voor de gehele IT-community: Samen Nederland veiliger maken. Verschillende securityexperts en topsprekers uit binnen- en buitenland delen drie dagen lang hun kennis met bijna 2.000 deelnemers. Die uitwisseling is cruciaal om de digitale weerbaarheid in Nederland te vergroten. Een mooi moment om met KPN Security directeur Marcel van Oirschot in gesprek te gaan over de stand van de digitale veiligheid in Nederland.

De wereld is enorm veranderd sinds maart vorig jaar, wat is de impact van corona op de wereld van cybercrime?
“Cybercrime is een structureel kat-en-muis-spel en 2020 was voor criminelen een uiterst interessant jaar. Corona duwde onze samenleving in een versnelde digitaliseringsslag. Het werd nog duidelijker voor iedereen dat we 24/7 afhankelijk zijn van digitale verbindingen; van de bakker op de hoek tot grote organisaties. Cybercriminelen wisten dit allang en maakten afgelopen jaar optimaal gebruik van de situatie. Het is hun strategie om met een groot actueel onderwerp zoveel mogelijk mensen te misleiden met bijvoorbeeld phishingmails. Het EK-voetbal of de Olympische Spelen zijn van die onderwerpen. Die gingen niet door maar in plaats daarvan was er een veel groter onderwerp waar criminelen op konden inzetten: corona. In combinatie met de exponentiële groei van mensen die online actief waren, ontstond een enorm aanvalsoppervlak. En dat is precies waar cybercriminelen naar zoeken. Hoe groter het aanvalsoppervlak, hoe groter de kans op succes. Dat is essentieel voor hun verdienmodel. Een cybercrimineel is nooit werkeloos!”

Waar gaat het vooral mis bij bedrijven?
“In hoog tempo zagen we een massale verschuiving naar bijvoorbeeld werken in de cloud. Een beweging die niet gecontroleerd is verlopen omdat bijna iedereen acuut thuis moest kunnen werken. Veel bedrijven moesten dit even snel voor elkaar zien te krijgen waardoor soms voor houtje touwtje oplossingen werd gekozen. Dat is zorgelijk. Nu is het moment dat bedrijven hun infrastructuur en veiligheid structureler en professioneler gaan organiseren. Ze moeten de basis inrichten, anders is het vragen om problemen. De meeste security-incidenten zijn simpelweg terug te voeren op de basis die niet op orde was.”

‘Nu is het moment dat bedrijven hun infrastructuur en veiligheid structureler en professioneler gaan organiseren.’

Marcel van Oirschot, directeur KPN Security

Wat versta je onder basisbeveiliging?
“Dat gaat over drie pijlers: mens, proces en technologie. Bij mensen gaat het om bewustwording en gedrag. Weten waar je wel of niet op klikt. Verstuur je iets met een beveiligd mailprogramma of via een appje. Huisartsen kunnen bijvoorbeeld onderling afspreken om patiëntgegevens alleen beveiligd te mailen met behulp van bijvoorbeeld KPN Zorg Messenger. Maar als dat niet hard wordt afgedwongen dan is het in de praktijk lastig om het gemak en de snelheid van een appje te weerstaan. Bij proces zit het vooral op een duidelijk beleid voor zaken als wachtwoorden, back-ups en patchmanagement. En dat brengt ons vanzelf bij de derde pijler technologie. Want een proces werkt alleen als je daarvoor de juiste technologie in huis hebt.”

Je hoort weinig over incidenten terwijl we weten dat ze er volop zijn. Hoe komt dat?
“Er wordt gedacht dat het momenteel rustig is in de wereld van cybercrime. Dat is het juist niet. Het komt alleen niet in de openbaarheid. Bedrijven schamen zich er blijkbaar voor als ze slachtoffer zijn. Ik snap dat het niet leuk is als het je overkomt, maar schamen hoeft helemaal niet. Echt iedereen is potentieel slachtoffer. Daarom zou ik willen dat er veel meer openbaar wordt, zoals de hack bij de Universiteit van Maastricht. Daar kunnen we van leren met z’n allen en het schudt altijd weer een paar organisaties wakker om hun basis op orde te gaan brengen.”

Vooral bewustwording is een belangrijke stap, wat is de rol van KPN daarin?
“Het vraagt om een lange adem om mensen en bedrijven bewust te maken van de urgentie van security. Ondernemers hebben al zoveel aan hun hoofd, daarom gaan we met hen in gesprek en niet alleen over security. Het gaat juist over de continuïteit van hun business. We verplaatsen ons in hun wereld en denken mee over hoe en waarmee we hun bedrijf in de lucht kunnen houden. Dat doen we als betrouwbare partner, als groot stabiel Nederlands bedrijf aan wie ondernemers hun data met een gerust hart kunnen toevertrouwen. En ook de komende drie dagen tijdens NLSecure[ID] is bewustwording een terugkerend thema. Als securitycommunity hebben we een gezamenlijk doel: Nederland veiliger maken en kennisdeling is cruciaal om de digitale weerbaarheid te vergroten. Dat begint allemaal met bewustwording.”

‘Ondernemers hebben al zoveel aan hun hoofd, daarom gaan we met hen in gesprek en niet alleen over security. Het gaat juist over de continuïteit van hun business. We verplaatsen ons in hun wereld en denken mee over hoe en waarmee we hun bedrijf in de lucht kunnen houden.’

Marcel van Oirschot, directeur KPN Security

Tot slot, heb je wellicht een overdenking voor de lezer?
“Die heb ik zeker. Hij is niet van mezelf maar zo ontzettend waar. Hij luidt: Er is geen excuus om je basisbeveiliging niet op orde te hebben. Privé en zakelijk. Je komt er niet meer mee weg door te zeggen dat je niet wist dat security belangrijk is. Het onderwerp is vaak genoeg in de pers geweest. Dus, wees je altijd bewust van je kwetsbaarheid en de impact als het fout gaat. Voorkomen is beter dan genezen.”