Solimas-directeur Gerard de Weerd is gepassioneerd door cybersecurity- en informatiebeveiliging. Hij is daarnaast ook lid van het Platform voor Informatiebeveiliging. Het zal je dan ook niet verbazen dat het bij Gerard ieder jaar al aan het eind van de zomer begint te kriebelen: oktober is namelijk Cybersecurity Maand. Naast de aandacht die we bij Solimas hieraan gegeven hebben, heeft Gerard een bijdrage geleverd aan de SIDN Podcast door samen met CyberSterk Business Developer Daisy Rasing en Chris van ’t Hof te praten over informatiebeveiliging voor het MKB. De hamvraag: hoe maak je je als organisatie cyberweerbaar?
In de podcast worden verschillende cybersecurity- en informatiebeveiligingsscenario's behandeld aan de hand van een fictief MKB-bedrijf. Dit familiebedrijf zit in de bouw en de website is 16 jaar geleden eens gemaakt door een handig neefje. Dat dit niet helemaal veilig en verantwoord is snapt men ook wel, dus de meest belangrijke applicaties zijn uitbesteed aan SaaS-leveranciers. Daar draaien de loonadministratie, de facturatie en de inventaris en men vertrouwt erop dat dat allemaal goed zit. Binnen het familiebedrijf is er een hoop onderling vertrouwen waarbij iedereen een beetje zijn eigen manier van werken heeft. De onderneming bestaat uit 50 medewerkers en heeft nog eens 50 freelancers tot haar beschikking. Men heeft een hoop kennis van fysieke risico’s in de bouw en maakt daarover uitgebreide risk assessments, maar weet niet veel van IT-security. Waarom zouden ze ook? Dat hebben ze immers allemaal uitbesteed aan een goede SaaS-leverancier.
Gerard brandt meteen los. ‘Er is een aantal jaren geleden een mooi onderzoek gepubliceerd waarin gekenschetst werd hoeveel procent van de SaaS-klanten wel niet vertrouwd op hun leverancier. Het grootste deel daarvan vindt het eigenlijk heel logisch dat de SaaS-leverancier ook de beveiliging van de applicaties regelt.’ Of het een stukje gemakzucht is bij ondernemers betwijfelt hij, maar hij vindt wel dat er sprake is van een wederzijdse verantwoordelijkheid. Over het fictieve bouwbedrijf zegt hij dan ook: ‘Als zij een woning gaan bouwen dan vragen ze ook welke sloten erin moeten, maar als ze een website gaan laten bouwen vragen ze meestal niet of het veilig is.’
Het is verstandig dat ondernemers juiste vragen stellen als het gaat om informatiebeveiliging, stelt Gerard. Daarbij is alleen vragen ‘of het veilig is’ niet voldoende.
‘Wij zijn als organisatie gecertificeerd, dus daarmee tonen wij aan als organisatie dat wij hebben nagedacht over de risico’s die wij zelf lopen, maar ook over de risico’s die de diensten die we onze klanten aanbieden.’ Zo kunnen MKB’ers vragen naar de ISO 27001 certificering, een belangrijke norm voor informatiebeveiliging die we bij Solimas jaar op jaar met succes halen. Grote kans dat de directeur van ons fictieve bouwbedrijf nog nooit van ISO 27001 gehoord heeft, aldus Van ’t Hof. Maar dat is wat te makkelijk: ‘Als jij een bouwbedrijf hebt met vijftig medewerkers dan denk je, hoop ik, iets meer en breder na over je bedrijfsvoering en de continuïteit van je bedrijfsvoering. Ook als je kijkt naar de hele digitale reis die veel klanten aan het maken zijn waarbij de afhankelijkheid van je infrastructuren en je ICT steeds groter is geworden.’
Daisy Rasing van CyberSterk voegt daar nog een belangrijke tip aan toe: weet wat je in huis hebt. ‘Welke applicaties gebruik ik en welke informatie zit daar dan in?’ Het komt namelijk regelmatig voor dat men bij het maken van zo’n overzicht van het applicatielandschap databases, websites of applicaties ontdekt waarvan niemand meer wist dat ze het hadden. Bovendien kan zo’n 16 jaar oude website en de daaraan hangende database wel eens hartstikke lek zijn. Maar ook dat kan een groot risico zijn voor MKB’ers. Juist oudere versies, waar dus bekende lekken in zitten, worden heel veel misbruikt door hackers om kwetsbaarheden te vinden binnen het netwerk. Via dit soort kwetsbaarheden kunnen cybercriminelen vervolgens stapje voor stapje dieper het netwerk in sluipen.
Ondernemers zouden volgens Rasing ook moeten nadenken over wat voor informatie zij in hun SaaS-applicaties opslaan. Zorggegevens, digitale patiëntgegevens bijvoorbeeld, moeten namelijk nóg beter beschermd worden. Organisaties zouden van hun SaaS-leverancier kunnen eisen dat dit soort data in Nederland opgeslagen moet worden en dat de database waarin deze informatie staat versleuteld is.
Ook hier kun je een leverancier weer naar zijn certificeringen vragen, aldus Gerard. De NEN 7510 norm voor Informatiebeveiliging voor de zorgsector in Nederland, bijvoorbeeld. Deze certificering bevat een aantal verzwaringen op de eisen van de ISO 27001 norm, om de beveiliging van zorg gerelateerde informatie te garanderen. Bij Solimas betekent dit bijvoorbeeld dat arbeidsovereenkomsten nooit per mail verstuurd worden, maar dat we deze op een veilige manier met elkaar uitwisselen. Het is verstandig om zo’n norm binnen de hele keten door te voeren, zegt Gerard. ‘Dus dat niet alleen de zorginstelling voldoet aan die normering, maar ook hun toeleveranciers, hun partners.’
‘Los daarvan’, zegt Daisy, ‘denk ik ook dat we security naast IT-gerelateerd ook meer moeten aanvliegen vanuit de mens, vanuit de dagelijkse dingen.’