Tekst Thijs Beumer
Foto Wim van Beek

Iedereen loopt het risico om gehackt te worden. Door een valse e-mail, een foute software-update of een nepwebsite. Alert Online is een jaarlijks initiatief van de overheid en stimuleert meer bewustwording van cybersecurity. Ook binnen SSC-ICT is er veel aandacht voor dit thema. Rob van der Voort is Chief Information Security Officer (CISO) bij SSC-ICT, en praat ons bij over het belang van cybersecurity, bewustwording en de Alert Online campagne. ‘We moeten ons bewust zijn van de risico’s die we lopen, zowel zakelijk als privé.’

Security organisatie

Rob: ‘Als CISO ben ik inhoudelijk verantwoordelijk voor toepassing van de rijksbrede kaders, zoals bijvoorbeeld de BIR (Baseline Informatiebeveiliging Rijksdienst, red.) binnen SSC-ICT. Het neerzetten van een goede security organisatie met kloppende processen hoort daarbij, en daar zijn we fanatiek mee bezig bij SSC-ICT. Wij adviseren en toetsen vanuit security, maar de lijnorganisatie moet uiteindelijk zelf de afweging maken om tot een bepaalde uitvoering over te gaan. Stel: we zien een risico voor SSC-ICT, zoals bijvoorbeeld een ransomware aanval. Ons SOC-team (Security Operations Center) analyseert daar direct de potentiële impact van: zijn wij hier vatbaar voor? En: hebben we de nodige maatregelen in place? Het advies daarover leggen we neer bij de lijn, die bijvoorbeeld patches kunnen uitvoeren, of een firewall dicht kunnen zetten. Daarnaast zijn we ook proactief bezig, door constant onze infrastructuur te scannen op kwetsbaarheden.’

'We willen mensen graag bewust maken van de risico’s die je loopt, zowel privé als zakelijk'

Dreiging

‘Cyberdreigingen zijn tegenwoordig overal aan de orde van de dag, dus ook bij SSC-ICT’, vertelt Rob. ‘Dat kan van alles zijn. Van een stel kwajongens tot criminele organisaties, of soms statelijke actoren. De dreiging is reëel en dat neemt alleen maar toe. Dat is ook één van de redenen dat het belangrijk is om awareness te creëren bij mensen als het over online veiligheid gaat. We willen mensen graag bewust maken van de risico’s die je loopt, zowel privé als zakelijk. Bij SSC-ICT hebben we een dubbele verantwoordelijkheid op dat vlak: we beschermen niet alleen onze eigen gegevens, maar we beheren ook veel informatie van ministeries. Zeker met andermans belangen hoor je zorgvuldig om te gaan. Ik vind dat iedereen zich dat goed moet realiseren binnen SSC-ICT en de Rijksoverheid in het algemeen.’

Onbewust en bewust

Rob: ‘Iemand die kwaadwillend is en wil binnendringen bij SSC-ICT, gaat als eerste naar een zwakke plek zoeken. En bewust of onbewust blijft de mens zelf de meest kwetsbare schakel in het security proces. Iemand die bewust kwaad wil doen, is altijd een risico. Wat wij met onze campagnes willen bereiken, is dat het onbewuste er uit slijt. We werken allemaal met prachtige mobiele apparaten, die het leven en het werk makkelijker maken. Maar er zitten ook nieuwe risico’s aan vast. Als jij in de trein zit en op je laptop vertrouwelijke stukken leest, kan er zomaar iemand meekijken. Let je daar op? Dit heeft dus niet eens zoveel met de technische kant van informatiebeveiliging te maken, maar met gedrag. Een ander voorbeeld is papieren die in kantoren rondslingeren en waar gevoelige informatie op te vinden is. Dat kan heel nuttig zijn voor iemand die kwaad zou willen. Heel simpel, maar dát is awareness. Kleine dingen waarop je alert kunt zijn.’

'Via een echte phishing mail kunnen kwaadwillenden op slinkse wijze gegevens van je ontfutselen'

Phishing campagne

Onlangs is voor de derde keer een nep-phishing mail uitgegaan naar alle medewerkers van VenJ en BZK, dit keer over een zogenaamde ‘koffie-enquête’. Rob: ‘Met de gegevens die we daaruit halen krijgen we een goed beeld van de awareness van onze medewerkers op dat gebied. Uiteraard hopen we een verbetering te zien ten opzichte van de eerste en de tweede mail. De uitkomsten van deze campagne gaan we binnenkort delen. We vinden het ontzettend belangrijk dat mensen zich bewust zijn van de gevaren van phishing. Via een echte phishing mail kunnen kwaadwillenden namelijk op slinkse wijze gegevens van je ontfutselen. Afhankelijk van de functie en autorisaties die jij hebt, kan dit van grote impact zijn op de organisatie. Dat is een flink risico waar we allemaal bij stil moeten staan en we proberen mensen hier daarom bewuster te maken.’

Vond je dit artikel interessant?