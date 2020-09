De coronacrisis heeft in één klap het thuiswerken veel belangrijker gemaakt, in veel gevallen de digitalisering versneld en tegelijkertijd cybercriminelen aangezet tot verhoogde activiteit. Dat zou een wake-up call moeten zijn voor bedrijven om serieus werk te maken van hun cybersecurity. ‘We leven in een 24/7 digitale economie; daar zijn we volledig van afhankelijk.’ Marcel van Oirschot, executive vice president van KPN Security, ziet echter nog te veel bedrijven die voor het thuiswerken zijn blijven hangen in provisorische maatregelen. ‘Wij moeten zorgen dat organisaties de ‘basishygiëne’ voor cybersecurity op orde hebben en hen met de juiste uitleg en handvatten het belang van dit onderwerp laten inzien.’

Marcel van Oirschot uit zijn bezorgdheid over wat hij op de dag van het interview met Link Magazine ’s morgens vroeg op de radio hoort. Volgens onderzoek in opdracht van provider XS4ALL blijkt 88 procent van de Nederlanders zich niet of nauwelijks zorgen te maken over hun online veiligheid. Een jaar geleden was dat nog 61 procent. ‘In dit geval is een hoger percentage een slecht teken. Dit onderzoek laat zien hoe belangrijk aandacht voor het onderwerp cybersecurity is. Want vanaf 15 maart (de dag waarop premier Rutte de ‘intelligente lockdown’ aankondigde, red.) zijn wij met z’n allen thuis gaan werken. We leven in een 24/7 digitale economie en zijn daar volledig van afhankelijk. Nederland werkt meer digitaal dan ooit. Organisaties willen erop kunnen vertrouwen dat dit veilig is.’ Dat laatste is echter allesbehalve vanzelfsprekend. ‘Wij zien nu dat cybercriminelen volop targeten op alles wat beweegt. Zij misbruiken Covid-19 en daarnaast zijn er in Nederland op dit moment veel DDoS-aanvallen aan de gang (distributed-denial-of-service, bedoeld om een netwerk plat te leggen en daarmee een organisatie online onbereikbaar te maken, red.). De afgelopen maanden zijn veel digitale kwetsbaarheden aan het licht gekomen en daar wordt volop misbruik van gemaakt.’ Voor ruim de helft van de respondenten uit het onderzoek blijkt de coronacrisis echter nog niet of nauwelijks van invloed op hun houding ten opzichte van cybersecurity. ‘Met het gros van de medewerkers thuis zie ik de risico’s toenemen.’

Marcel van Oirschot (KPN Security) wil cybersecurity-bewustzijn verhogen

Provisorische maatregelen

KPN Security werd net als bijna iedereen overvallen door het virus an sich. Maar niet door de IT-technische impact ervan, stelt Van Oirschot. ‘Wij waren er klaar voor, binnen twee dagen hadden we iedereen van KPN Security, ja van heel KPN, aan het thuiswerken. Heel veel bedrijven waren er echter niet op voorbereid. Maar dit is misschien geen eerlijke vergelijking, want als bedrijf in de vitale infrastructuur moeten wij voldoen aan een aantal andere eisen en richtlijnen.’ De organisaties die wel werden ‘overvallen’, moesten vaak halsoverkop voorzieningen voor thuiswerken regelen. ‘Ik vergelijk het met het dak dat tijdens een flinke bui gaat lekken. Dat ga je in de regen meteen repareren, provisorisch, zodat het lekken ophoudt. De vraag is vervolgens of je het dak daarna professioneel gaat, of laat, repareren.’

De vraag naar ‘spoedreparaties’ kon KPN Security in de eerste weken goed aan, meldt Van Oirschot. ‘We hebben ook onze maatschappelijke verantwoordelijkheid genomen en met name in zorginstellingen en ziekenhuizen dingen kosteloos gefaciliteerd. Zo hebben we snel een verhoogde dijkbewaking opgezet om te voorkomen dat die instellingen werden gehackt.’ Na de spoedreparaties zijn in veel gevallen echter vervolgorders uitgebleven. ‘Mijn inschatting is dat veel bedrijven voor het thuiswerken nog steeds leunen op de provisorische maatregelen van het begin. Daar zit een groot risico in, want het thuiswerken is in korte tijd van ‘nice to have’ geëvolueerd tot ‘need to have’.’

Wij zien nu dat cybercriminelen volop targeten op alles wat beweegt’

Mensen blijven ‘creatief’

Mensen moeten dus veilig kunnen thuiswerken. ‘Daarom moeten bedrijven zich afvragen of hun IT-infrastructuur richting die medewerkers thuis wel klopt. Heb je de juiste vpn-verbindingen (virtual private network, voor afgeschermde communicatie, red.) beschikbaar en monitor je al het verkeer op je netwerk? Sommige applicaties zijn er niet op ingericht om vanaf thuis te benaderen, dus is het de vraag of jouw mensen bij alle applicaties kunnen die ze nodig hebben voor hun werk.’ Op kantoor is er meestal geen probleem, maar als het thuis niet op een makkelijke manier kan, gaat men zelf oplossingen bedenken en die zijn niet altijd veilig. ‘Mensen blijven immers creatief. Kunnen ze bijvoorbeeld automatisch vanaf hun werkplek thuis printen? Lukt dat niet goed, dan gaan ze bestanden op een privécomputer of een usb-stick zetten, of ze gebruiken hun privémail, om alsnog te kunnen printen.’ Hetzelfde geldt voor grote databestanden. ‘Kunnen mensen thuis bijvoorbeeld een file van 500 MB bewerken en zo nodig naar een collega sturen? Kan dat via een veilige server van het bedrijf? Zo niet, ga je dan als bedrijf een tussenoplossing bedenken om het te faciliteren? Gebeurt dat niet, dan krijg je een wildgroei.’ Dan ontstaat schaduw-IT, een omgeving waar de IT-verantwoordelijke van het bedrijf geen zicht of controle op heeft.

Hoofdpijndossier

Updates vormen een apart hoofdpijndossier. ‘Op kantoor worden software-updates meestal gepusht, daar hoef je als gebruiker niets aan te doen. Maar gebeurt dat ook richting de thuiswerkplekken? Of moeten de medewerkers zelf voor updates zorgen, met alle risico’s van dien als het niet gebeurt?’ De keten is zo sterk als de zwakste schakel in de digitale beveiliging, weten ze ook bij KPN Security. ‘Mensen zijn van hun à propos door de hele situatie, ze missen collega’s, stompen thuis misschien wat af. Tegelijk volgen ze het coronanieuws en klikken sneller op een schijnbaar coronagerelateerde phishing-mail. Cybercriminelen slaan vooral toe als mensen even niet scherp zijn.’

Zeker bij die 88 procent die zich niet lijkt te realiseren hoe belangrijk cybersecurity is. Dat betreft dan wel een onderzoek onder consumenten, maar volgens Van Oirschot ligt het zakelijk niet anders. ‘Ik denk dat dit een behoorlijke afspiegeling van zakelijk Nederland is. Zie de recente berichten over kwetsbaarheden waaruit blijkt dat het lang duurt voordat bedrijven daarop acteren.’ Berichten overigens die aantonen dat niet alleen particulieren maar ook veel organisaties laks zijn in het updaten van hun software en met name het dichten van beveiligingslekken daarin. ‘Neem het Citrix-lek (in de software van Citrix-servers voor onder meer werken op afstand, red.) dat eind vorig jaar bekend werd, of het nog oudere Pulse Secure vpn-lek. Uit onderzoek van de afgelopen maanden is gebleken dat daar nog steeds bedrijven kwetsbaar op zijn. Ze vinden het misschien best belangrijk, maar hebben ze genoeg capaciteit om het op te lossen?’

Begrijpelijke taal

Er liggen daarom, ook voor KPN Security, twee uitdagingen, stelt Van Oirschot. ‘Zorgen dat organisaties de ‘basishygiëne’ voor cybersecurity op orde hebben én hen laten inzien hoe belangrijk cybersecurity-awareness is. Hoe maken we het belang van cybersecurity duidelijk, niet alleen bij de IT’ers maar ook aan de businesskant van organisaties? Daarvoor moeten wij onze boodschap in begrijpelijke taal brengen. Ondernemers moeten zich realiseren dat ze voor 100 procent afhankelijk zijn van digitalisering. Ze hebben snel hun medewerkers en masse aan het thuiswerken gezet. Nu het wat rustiger is, moeten ze gaan kijken naar een duurzame oplossing, misschien met een hybride model, voor de toekomst.’

‘Zakelijk Nederland veiliger maken’

Marcel van Oirschot is nu ruim een jaar executive vice president van KPN Security, onderdeel van KPN Zakelijke Markt. Voorheen werkte hij voor softwarebedrijven, de laatste jaren in de wereld van cybersecurity. Als opdracht kreeg hij mee om van KPN Security, de samenvoeging van een KPN-onderdeel en twee acquisities, één bedrijf te maken. ‘Met 400 medewerkers zijn wij de grootste managed security serviceprovider van ons land. KPN is het netwerk van zakelijk Nederland. Vanuit ons security operations center beveiligen en bewaken we de ICT-infrastructuur van KPN en onze zakelijke klanten. Onze missie is Nederland veiliger te maken.’ Dat doet KPN Security met een breed portfolio, van kant-en-klare securityoplossingen voor met name het mkb tot managed-securitydiensten en maatwerkoplossingen voor het grootbedrijf. Voorbeelden zijn Managed Firewall (bescherming tegen hacken met malware, phishing, enzovoort), Cybersecurity Consultancy (bedrijven ondersteunen met kennis en bij het maken van een securityroadmap bijvoorbeeld) en Smart Access (beveiligde toegang tot online bedrijfsapplicaties voor leveranciers, klanten en medewerkers op afstand). Belangrijk onderdeel daarvan is het beschermen van de identiteit en privacy van klanten. Verder biedt KPN Security onder meer diensten voor monitoring van het netwerkverkeer en incident response in geval van een hack of cyberaanval. Die respons is gericht op het beperken van de impact van een incident en het waarborgen van de continuïteit van de organisatie van de klant.