In de laatste weken waren we getuigen van een reeks cyberaanvallen op woningcorporaties. Alhoewel het doelwit niet direct de woningcorporaties was, maar het softwarebedrijf dat de software levert aan een aantal woningcorporaties, is het uiteindelijke slachtoffer de woningcorporatie en in het bijzonder haar huurders. Het zijn immers hun privégegevens die nu op straat dreigen te komen.
Boban Vukicevic, lid RvC Staedion en RvC Leystromen en lid van de werkgroep Digitalisering en Robert Govers, directeur van Securesult gaan in dit artikel in op cybersecurity.
Hadden we hier iets aan kunnen doen?
Hadden we hier iets aan kunnen doen? Doen wij voldoende op het gebied van informatiebeveiliging en in het bijzonder cybersecurity? En wat is de rol van de leden van de RvC? Uit de enquête die onlangs door de VTW-werkgroep IT en digitalisering is gehouden, blijkt dat bij ruim 60 procent van de VTW-leden cybersecurity nauwelijks op de agenda van de RvC staat. De recente cyberaanvallen en de er opvolgende afpersingpogingen zijn "corpus delicti" die aantonen dat corporaties cybersecurity bedreiging zeer serieus moeten nemen. Des te meer omdat de digitalisering/digitale transformatie hand in hand gaan met de behoefte aan de verhoogde aandacht voor de informatiebeveiliging en in het bijzonder cybersecurity.
Om alvast een voorschot te nemen op het thema behandelen we in dit artikel een aantal basisbegrippen en vragen ten aanzien van cybersecurity. Deze dienen om bij de leden van de VtW meer begrip te ontwikkelen voor het onderwerp. We realiseren ons dat het onderwerp ingewikkeld is en we zullen pogen om een aantal belangrijke aspecten toegankelijk te maken ook voor de toezichthouders zonder technische achtergrond. De VTW-werkgroep IT en digitalisering heeft informatiebeveiliging en cybersecurity hoog op de agenda staan en zal op korte termijn komen met meer content over dit onderwerp.
Wat is informatiebeveiliging?
Organisaties die gegevens verwerken doen dit omdat de verwerking van deze data een bepaalde waarde heeft. Het praktisch beveiligen van deze gegevens, gedurende de tijd dat de organisatie hier gebruik van maakt, om onrechtmatige toegang, verwerking en misbruik tegen te gaan noemen we dan informatiebeveiliging. Ook beschikbaar zijn van data wanneer de organisatie deze nodig heeft, is zaak van informatiebeveiliging. De goede informatiebeveiliging zorgt dus dat de beschikbaarheid, integriteit en vertrouwelijkheid van informatie en informatiesystemen is gewaarborgd, zodat (kritische) bedrijfsprocessen doorgang kunnen vinden. Ook wordt er gekeken naar authenticiteit en onweerlegbaarheid.
Wat is cybercriminaliteit?
Onder cybercriminaliteit vallen de strafbare feiten die gepleegd worden met ICT-middelen die gericht zijn op ICT-middelen. Aanvallers kunnen verschillende aanvalstechnieken inzetten. De meest gebruikte zijn: het voordoen als een vertrouwd persoon of systeem, data manipuleren, ontkenning (weerlegbaarheid), openbare informatie misbruiken, systemen platleggen en zichzelf meer rechten verwerven.
Bedrijfsprocessen zijn veelal voor een of meerdere van deze aanvalstechnieken vatbaar en het is goed hier weet van te hebben zodat de juiste maatregelen worden ingezet. Maatregelen kunnen een afschrikkend, preventief, detectief, corrigerend of compenserend karakter hebben. Om een risico te beheersen is het gebruikelijk om een combinatie van maatregelen te treffen.
Alle gegevens waar contextueel informatie uit kan worden gehaald kan op malafide wijze worden gebruikt voor bijvoorbeeld (persoons)fraude, oplichting of afpersing. Potentiële inbrekers zijn mensen die de buitgemaakte informatie doorverkopen of zelf gebruiken om criminele activiteiten mee uit te voeren. Vaak zijn 'hack-aanvallen' niet persoonlijk gericht maar hebben als doel om zoveel mogelijk gegevens uit een organisatie te stelen voor eigen/andermans (vaak economisch of strategisch) gewin.
Wat is cybersecurity?
Cybersecurity betreft vooral het beschermen van de (technische) infrastructuur en de digitale data. De activiteit kan worden gedefinieerd als het verdedigen van computers, servers, mobiele apparaten, elektronische systemen, netwerken en gegevens tegen kwaadaardige aanvallen.
Wat is het verschil tussen cybersecurity en informatiebeveiliging?
Het grootste verschil tussen informatiebeveiliging en cybersecurity is dat informatiebeveiliging zich richt op alle aspecten van de informatiebeveiliging zowel op fysieke als digitale informatie, ook bijvoorbeeld toegang tot de serverruimtes of het maken van back-ups. Cyberbeveiliging echter, richt zich uitsluitend op de digitale informatie en in het bijzonder de technische infrastructuur.
Wie is in een organisatie verantwoordelijk voor de informatiebeveiliging, wie voor de cybersecurity?
Vaak zien we in de praktijk dat informatiebeveiliging en cybersecurity worden belegd bij een ICT afdeling. Bij de grotere organisaties worden de inregeling en het beleid dikwijls overzien door een (Chief) Information Security Officer of iemand met een soortgelijke rol (het liefst op directieniveau). Het is belangrijk dat er eigenaarschap wordt genomen en draagvlak is voor het beleid op governanceniveau. De eindverantwoordelijkheid in een organisatie op het gebied van informatiebeveiliging en cybersecurity ligt namelijk bij de bestuurder.
Wat is de link tussen informatiebeveiliging/ cybersecurity en privacy (AVG)?
De AVG (Algemene Verordening Gegevensbescherming) die sinds 2018 actief is in alle Europese lidstaten beschermt de informationele privacy van EU burgers door te borgen dat organisaties gegevens op een bewuste, veilige manier verwerken. De principes van privacy by design omvatten ook de technische maatregelen die ervoor zorgen dat verwerkte gegevens beschermd zijn tegen o.a. onrechtmatige inzage en dat er bijvoorbeeld voldoende veilige back-ups zijn bij onverwachte complicaties, zoals een ransomware-aanval. Privacy is een doel dat gewaarborgd kan worden door het nemen van maatregelen; dat is 'security'.
Onze accountant doet toch de ICT audit? Is dat niet voldoende?
Er zijn diverse manieren om ICT audits te doen, echter zijn er ook normenkaders voor, die een organisatie in staat stellen zich ook zichtbaar te certificeren op het gebied van Informatiebeveiliging, bijvoorbeeld de ISO27001. Dit normenkader stelt een organisatie in staat om een groot aantal facetten van informatiebeveiliging uiteen te zetten en te borgen zodat de organisatie over de gehele linie bewust bezig is met het implementeren van waardevolle maatregelen en verbeteringen op zwakker bevonden elementen in de verdediging. Voor de woningcorporaties is door Corponet een subset van deze ISO kwaliteitskader gedefinieerd zogenaamd BIC - baseline informatiebeveiliging voor woningcorporaties. De BIC is bedoeld om alle woningcorporaties op een vergelijkbare manier (standaard) te laten werken met informatiebeveiliging. Bij een kwaliteitskader hoort ook een audit. Vaak wordt een externe partij ingehuurd om dit als een tweede paar ogen te (pre-)auditen om zo onafhankelijk mogelijk te kijken naar de situatie.
Vanuit de accountant wordt veelal naar de opzet, bestaan en werking van processen gekeken waarbij de technische beveiligingsaspecten minder aandacht kunnen krijgen. Dat kan per accountant erg verschillen. Het is dus goed om met de accountant hier een gesprek over te hebben. Desalniettemin is het goed om een zogenaamde "ethisch hacker" of "penetratietester" de techniek te laten onderzoeken op mogelijkheden voor misbruik.
Onze ICT is uitbesteed. Zijn wij nog steeds verantwoordelijk?
Zijn we nog steeds verantwoordelijk voor de Informatiebeveiliging / cybersecurity als we onze ICT hebben uitbesteed? En zo ja, hoe kunnen we deze verantwoordelijkheid dan waarmaken?
Wanneer je een dienst afneemt in het cybersecurity/informatiebeveiligingsvlak ben je uiteindelijk zelf nog verantwoordelijk om deze dienst ook goed te managen. Als een externe partij data voor jou verwerkt (of eigenlijk van jou verwerkt) ben je als eigenaar van deze gegevens verwerkingsverantwoordelijke. De derde partij is dan enkel een verwerker van jouw gegevens. Tussen deze partijen wordt idealiter een verwerkingsovereenkomst opgesteld die de verwerking van gegevens en data in juiste banen leidt met oog op het naleven van de regels in de AVG inclusief het melden van datalekken. Betreffende het beveiligen van je infrastructuur is het evenredig belangrijk om goede afspraken te maken met de verwerkende partij waarbij de beveiliging minimaal op het zelfde niveau is van de uitbestedende organisatie en te allen tijde op de hoogte te zijn van de ontwikkelingen binnen je organisatie en de externe partij.
Daarbij is het zeer aan te raden om een cyberoefening gezamenlijk met de leverancier uit te voeren, zodat tijdens een calamiteit helder is wie wat moet doen en of de communicatielijnen juist zijn.
Hoe kan een woningcorporatie zorgen dat de informatiebeveiliging / cybersecurity / privacy goed ingeregeld en geborgd is?
Net als iedere andere organisatie is het belangrijk dat de basishygiëne voor cybersecurity, informatiebeveiliging en privacy geborgd zijn. Organisaties zijn immers allemaal gebonden aan de AVG en hierin staat duidelijk dat gegevens ook technisch goed beschermd moeten zijn tegen ongeautoriseerde toegang of onvoorzien verlies. Zoals hierboven aangegeven zijn er ISO normenkaders die organisaties handvatten geven bij het opstellen van een adequaat informatiebeveiligingsbeleid. De kaders kunnen vervolgens door bijvoorbeeld een ISMS (Information security management systeem) worden bewaakt en beheerst, met als doel via Plan-Do-Check-Act cyclus continu te verbeteren. Daarnaast zijn trainingen om medewerkers bewust te maken van risico’s van cybercriminaliteit en het belang van informatiebeveiliging zeer belangrijk. De cultuur in de organisatie moet erop gericht zijn om privacy en informatiebeveiliging de juiste aandacht te geven. Als medewerkers dat niet vanzelfsprekend doen, is er nog werk aan de winkel.
Hoe moeten we beginnen? Is er een stappenplan en een checklist woningcorporaties?
Het NCSC (Nationaal cybersecurity centrum) is een overheidsorgaan - in samenwerking met de private sector - die naast de rol van toezichthouder o.a. adviezen geeft aan het bedrijfsleven betreffende cybersecurity en informatiebeveiliging. Zij hebben op hun website een aantal basismaatregelen gepubliceerd die organisaties een stap in de goede richting kunnen sturen. Het inhuren van een gespecialiseerde partij met betrekking tot cybersecurity/informatiebeveiligingsbeleid is echter zeker aan te raden. Een ervaren consultant kan je helpen een nulmeting uit te voeren op securityrisico's en de volwassenheid van de security in de organisatie. Zo kun je samen met deze partner voor je organisatie de meest gepaste richting bepalen [noot & disclaimer: één van de auteurs is eigenaar van een cybersecurity bedrijf]
Is de organisatie bestand tegen een cyberaanval?
Het antwoord op deze vraag is zeer waarschijnlijk: nee. Maar is uw organisatie goed voorbereid op een cyberaanval? Deze vraag is meer relevant. Het hebben van een Bedrijfscontinuïteitsplan (BCP) met bijbehorende Disaster Recovery Plannen (DRP) is een eerste stap. Nog belangrijker is dat deze plannen worden doorleefd en geoefend zodat in geval van een calamiteit tijdig en adequaat wordt gehandeld. Zomaar een systeem uitschakelen of de internetverbinding verbreken kan meer schade opleveren dan dat het goed doet.
Bent u al betrokken geweest bij zo’n cyberoefening?
Indien het antwoord ‘ja’ is, is uw organisatie al goed op weg om voorbereid te zijn op het onverwachte dat ooit een keer komen gaat. Wanneer er nog niet is geoefend, weet u wat u als bestuurder te doen staat: om een cyberoefening vragen.
Een cyberoefening geeft inzicht in wat al goed is ingeregeld en wat er beter kan of ontbreekt. Het geeft een beeld van de werking van de crisisorganisatie in een andere context dan brand of pandemie.
Tot slot
Mede doordat de bestuurder uiteindelijk eindverantwoordelijk is voor de cybersecurity, maar ook omdat cybersecurity risico’s' betreft voor de continuïteit van de bedrijfsvoering, is het ontegenzeggelijk ook de zaak van de RvC. De bestuurder bevragen welke maatregelen getroffen zijn in de organisatie om de cyberrisico’s te managen is zeer op zijn plaats. Is er een draaiboek opgesteld wat de te doen bij een aanval? Is het voor de hele informatieverwerkingswaardeketen duidelijk welke maatregelen van tevoren getroffen moeten worden en wat te doen bij calamiteit? Wat is de rol van de RvC in geval van calamiteit? Is er een communicatie draaiboek? Het is belangrijk om je te realiseren dat cybersecurity een essentieel onderdeel is van de Digitalisering/Digitale Transformatie activiteiten van de woningcorporatie. De VTW-werkgroep IT en digitalisering is bezig met dit onderwerp en komt binnenkort met meer handvaten op het gebied van cybersecurity.
Meer informatie:
‘Digitalisering en digitale transformatie vaak nog ongrijpbaar’ - interview met Boban Vukicevic, lid VTW-werkgroep over uitkomsten enquête digitalisering onder leden [VTW Nieuwsbrief, 8 april 2022]
Handreiking Toezicht op IT en Digitalisering [VTW, 2020]