Een suite in het Datahotel: fantastische externe faciliteiten, maar hoe zit het intern met uw cyberrisico?

Riskforum.nl is te gast bij een cursus cyberrisico, georganiseerd door Insurance Managers in een van de suites van het Datahotel TCN in Groningen. Het is indrukwekkend om te zien wat er wordt gedaan om uw data extern te beschermen, maar hoe zit intern bij u in de organisatie? Bent u zich bewust van de risico’s met betrekking tot uw informatie van waarde?

Nadat we door de eerste en tweede toegangsbeveiliging zijn binnengekomen legitimeren we ons aan de balie en krijgen we een bezoekerspas. Het is een groot hotel met ruimte gangen en suites. Het hotel heeft een industriële look en de technische voorzieningen zijn bovengemiddeld geborgd. Zo is de kans dat je in dit hotel zonder stroom en internetverbinding komt te zitten wel heel erg klein geworden. Ook een constante koele temperatuur is in dit hotel gegarandeerd.

Anders dan het begrip hotel doet vermoeden is het redelijk ongewoon dat er gasten in het hotel worden toegelaten. In dit hotel verblijven geen VIP’s maar is uw VID (of te wel Very Important Data) ondergebracht. De naam datahotel is erg goed gekozen. TCN faciliteert een optimale ruimte die aan alle vereiste condities voldoet, de klanten die de suites huren, zijn verantwoordelijk voor de veiligheid van de intrinsieke data die digitaal in speciale kasten zijn opgeslagen.

Een rondleiding door het gebouw toont ons wat er allemaal is gedaan en wat er ook voortdurend wordt gemonitord om voor een optimale omgeving voor de data te zorgen. Het is een indrukwekkend groot gebouw met dito installaties. Wat we ons nooit gerealiseerd hadden is dat misschien wel 80% van de ruimte en inrichting gericht is op het zorgen voor de juiste condities en dat het veel kleinere, resterende deel van de ruimte wordt ingenomen door de data waar het uiteindelijk allemaal om draait.

Stroom en een bij voorkeur constante koele en droge lucht zijn misschien wel de belangrijkste basisvoorwaarden om data goed op te kunnen slaan. Daar is in het Datahotel van TCN dan ook goed over nagedacht. Ter illustratie geven we een globale omschrijving van hoe het er met betrekking tot stroom in het hotel aan toegaat:Er zijn drie verschillende stroom toevoeren naar het Hotel, de kabels liggen bewust op heel verschillende plaatsen de totale capaciteit is maar liefst 10 megawatt. Binnen staan er grote hoeveelheden USP’s die een korte stroomuitval kunnen opvangen. Dreigt het langer te duren of is stabiliteit in het netwerk een half uur na de stroomuitval nog niet gegarandeerd, dan zijn er ook 4 grote dieselgeneratoren met extra sets accu’s die het werk kunnen overnemen. Op het terrein is een dieselvoorraad aanwezig voor 24 uur. Mocht er meer nodig zijn dan is er een overeenkomst met een brandstof leverancier. Maandelijks worden de dieselgeneratoren getest en 1x per jaar gaat ook de totale stroomtoevoer bewust helemaal plat. In het hotel zijn de verschillende suites allemaal in vakken verdeeld. Iedere kast (met data) is geschakeld op twee verschillende stroom netwerken, bovendien worden deze maar 50% belast, zodat bij stroomuitval op een van de netwerken onmiddellijk kan worden overgeschakeld naar het andere netwerk (zie foto).

Datakasten TCN

Hoe zit het met de risico awareness bij u intern in de organisatie?
Extern is het wel voor elkaar: TCN heeft een hoge mate van risico awareness en heeft hiervoor ook de benodigde en passende maatregelen getroffen. Voor TCN is het ‘core business’, maar hoe zit het bij de feitelijke eigenaar van de data? Hoe is het binnen uw organisatie gesteld met het risicobewustzijn van cyberrisico’s? Met het stellen van de vraag is vaak ook al het antwoord gegeven. De mate van risicobewustzijn en de vertaalslag ervan naar risicobewust handelen laat bij veel organisaties nog te wensen over.

Naast de rondleiding door het Datahotel wordt een prominent deel van de middag ingevuld door Jeroen Sprangers van Rein Advocaten & Adviseurs. Naast zijn andere werkzaamheden heeft hij zich gespecialiseerd in de juridische kwesties rondom informatiebeveiliging. Hij begint zijn betoog met een film. We zien een bedrijf waar buiten op het terrein een stand staat met een bedrijf dat naast informatie over hun activiteiten ook gratis USB sticks uitdeelt. Een van de mensen van het management neemt zo’n USB stick van een leuke dame aan. Vervolgens gebruikt deze manager de geheugenstick en zo heeft ‘your worst nightmare’ toegang gekregen tot de systemen van de internationaal opererende organisatie. Door een fake-uitnodiging voor een leuk personeelsfeest is vervolgens de relatie met een veel grotere groep medewerkers gelegd. De criminele organisatie die de USB sticks uitdeelde heeft nu toegang tot het hart van het bedrijf.

Over de top? Het doet een beetje Amerikaans aan en wellicht staat het ‘global effect’ ook wat verder van u af, maar de geschetste situatie is erg realistisch en kan ook binnen een kleinere, nationaal opererende organisatie zomaar realiteit worden. Hoe kan het dan dat informatiebeveiliging bedrijfsbreed nog zo weinig aandacht krijgt?

De basis ligt in de risicoperceptie van management en medewerkers. Jeroen Sprangers somt een paar voorbeelden op van uitspraken van bedrijven: ‘We hebben goede firewalls’, ‘het bedrijfseconomische risico valt wel mee’, ‘we zijn geen doelwit’, ‘we hebben geen webshop, dus ook geen last’. Maar is dit wel zo?

Cyberschade is veel groter dan brandschade en toch is het minder zichtbaar. Misschien zit daar wel het probleem, veel mensen kunnen zich er slecht een voorstelling van maken. Met betrekking tot het brandrisico houden veel bedrijven minimaal één keer per jaar een (ontruimings)oefening met het cyberrisico doen we dat niet.

De juridische spelregels veranderen door de cloud
Het cyberrisico lijkt veel minder tastbaar. Er zijn ook veel aspecten aan verbonden waar de gemiddelde bestuurder/ manager weinig van afweet. Jeroen Sprangers wijst ons bijvoorbeeld op de (veranderende) juridische consequenties. Met de ‘cloud’ veranderen de juridische spelregels. Afhankelijk van waar de data staan, geldt namelijk niet alleen het Nederlands recht. Wat bedrijven zich niet realiseren is dat – door alle tussenschakels – hun waardevolle data via allerlei achterdeuren bijvoorbeeld in de VS terecht kan komen en daarmee onder de Patriot Act (tegenwoordig de Freedom Act) vallen. De bevoegdheden van de Amerikaanse overheid om aan uw data te komen gaan veel verder dan de Nederlandse. Is dit gewenst?

Een ander punt van aandacht is de mogelijke verschuiving van productaansprakelijkheid naar dienstenaansprakelijkheid. Dit zit juridisch anders in elkaar en vraagt om aanpassingen in overeenkomsten en voorwaarden. Er worden bovendien veel eenzijdige wijzigingen doorgevoerd, vaak niet in het voordeel van uw eigen organisatie. Hoe vaak klikt u niet – zonder te lezen – op: ‘ik ga akkoord met de voorwaarden’? Ook doen zich nieuwe vraagstukken voor met betrekking tot het intellectueel eigendom als u zaken op het internet zet: ‘wat wordt van wie?’, hier zijn de meningen sterk over verdeeld.

Bestuurdersaansprakelijkheid als informatiebeveiliging te wensen over laat
Wat van cruciaal belang is, is dat het bestuur van een organisatie kaders stelt en informatiebeveiliging goed organiseert.

Een mogelijke oorzaak waardoor veel organisaties te weinig aan cyberrisico’s doen ligt in het machteloze gevoel dat ontstaat als duidelijk wordt wat voor zeer geavanceerde technieken criminele organisaties gebruiken. Naast de moeilijk detecteerbare schadelijke software zijn ook de geraffineerdheid en de tijd die hackers nemen voordat ze daadwerkelijk toeslaan (‘we hebben alle tijd, want we zijn immers al binnen’) sterk complicerende factoren. ‘Je kunt het gewoon niet voorkomen’ is het algemene geluid. Dat klopt, maar ‘je hoeft ook niet de voordeur open te zetten’ geeft Sprangers aan. De wet is er duidelijk over:

U bent als organisatie en ook als bestuurder in privé aansprakelijk als u geen kaders hebt gesteld voor informatiebeveiliging en als u niet voldoet aan de ‘minimale eisen’.

In aan dit onderwerp gerelateerde artikelen schreef riskforum.nl al over het belang dat de aandacht voor informatiebeveiliging veel breder wordt getrokken dan de afdeling ‘automatisering’. Iedere medewerker is verantwoordelijk voor het zorgvuldig omgaan met waardevolle data. In essentie gaat het dus vooral om gedrag met betrekking tot informatiebeveiliging.

Praktische tips
Tijdens de lezing van Jeroen Sprangers van Rein advocaten & adviseurs en de panel discussie met  Fred van Dellen en Kim Boonstra van Insurance Managers en Fokko Drenth van Axians komen verschillende praktische tips naar voren.

  • Stel algemene kaders op en niet alleen maar een technisch kader.
  • Breng in kaart hoe kwetsbaar u bent bij verlies van data, uitval van software en/of hardware.
  • Stuur informatiebeveiliging niet alleen vanuit ICT aan, maar betrek alle medewerkers erbij, laat ze zelf nadenken en oplossingen aandragen.
  • Denk na over de omgang met en het beheer van wachtwoorden. Wijzig bijvoorbeeld standaard (default) passwords onmiddellijk of schaf ze af (zoals welkom01, admin, 0000), maak gebruik van autorisatie en protocollen voor het gebruik van toegangspassen en sleutels.
  • Denk na over hoe u de toegang afsluit en waar u dat doet.
  • Zorg voor een protocol in geval van data-diefstal en denk aan de meldplicht [1. Per 1 januari 2016 wordt een toevoeging aan de Wet bescherming persoonsgegevens van kracht, namelijk de meldplicht bij datalekken en een wijziging van de bestuurlijke boete. Dit wetsvoorstel voegt aan de Wet bescherming persoonsgegevens (Wbp) een meldplicht voor inbreuken op beveiligingsmaatregelen voor persoonsgegevens toe. Met de meldplicht datalekken wil de regering de gevolgen van een datalek voor de betrokkenen zoveel mogelijk beperken en hiermee een bijdrage leveren aan het behoud en herstel van vertrouwen in de omgang met persoonsgegevens. Met deze wet moet de verantwoordelijke bij een datalek, waarbij kans is op verlies of onrechtmatige verwerking van persoonsgegevens, niet alleen een melding doen bij de toezichthouder, het College Bescherming Persoonsgegevens (CBP), maar ook de betrokkene informeren. Deze meldplicht geldt voor alle verantwoordelijken voor de verwerking van persoonsgegevens, zowel in de private als publieke sector. Als er geen melding wordt gemaakt van een datalek kan dit bestraft worden met een bestuurlijk boete van het CBP van maximaal €810.000 of, indien hoger, 10% van de omzet.] per 1 januari 2016 inzake datalekken.
  • Organiseer dat alle ‘devices’ op afstand geleegd kunnen worden.
  • Gebruik alleen eigen geheugendragers die de informatie eenvoudig kunnen versleutelen.
  • Denk na over de afvoer van oude gegevensdragers (PC’s, laptops, geheugensticks e.d.). Ook van geformatteerde schijven is het mogelijk om oude data terug te halen. Denk ook aan oude print, fax en kopieerapparaten met een harde schijf.
  • De verantwoordelijkheid ligt bij iedere medewerker, zorg voor een aanjager zodat het onderwerp steeds op de agenda blijft.
  • Maak een protocol van gebruik van onbeveiligde netwerken en cloud faciliteiten op privé devices. Laat bijvoorbeeld software installeren of het netwerk veilig is en zet privé cloud faciliteiten standaard uit.
  • Verbiedt het zakelijk gebruik van Drop Box.
  • Maak een calamiteitenplan waarin staat wie de risico’s vaststelt, wie afsluit, wie gegevens terug haalt, wie de pers te woord staat en wie een aansprakelijkheidsprocedure instelt.
  • Ga er met andere woorden vanuit dat het een keer fout kan gaan en wees voorbereid.
  • Stel een ICT BHVer aan.
  • Denk aan leesbare back-ups en apparatuur om de back-up terug te plaatsen.
  • Kijk naar de eigenschappen van e-mail en open geen berichten als je de afzender niet kent.
  • Zorg dat u ook buiten ICT om oefent, investeer in het risicobewust maken van medewerkers.
  • Sluit contracten aan op je risicoprofiel.

Als u alle tips leest zijn het geen dure of ingewikkelde maatregelen. Het moet echter wel georganiseerd en gefaciliteerd worden. ‘Gebruik uw gezond verstand’ was een van de laatste tips en zet cybersecurity op de agenda van het (risicomanagement)overleg dan blijft er aandacht voor dit belangrijke onderwerp.

Lizanne Vroom

20 jaar zelfstandig risicomanagement adviseur voor profit en non-profit organisaties. Kerndocent en programma manager voor diverse risicomanagementopleidingen. Auteur van "Risicomanagement vanuit het Dynamisch Business Model', 'Ik durf het risico wel aan', 'Liefde komt niet van één k(l)ant'. Oprichter en eindredactie van Riskforum.nl