Sander Goudswaard (Beveland Wonen): Kans op een datalek zoveel mogelijk reduceren
“De hackaanval die acht corporaties begin dit jaar trof was voor ons – en de corporaties binnen Zeeland waarmee we samenwerken – aanleiding om kritischer te kijken naar de eigen informatievoorziening,” begint Sander het gesprek. “Zo hebben we gekeken naar welke gegevens we opslaan, welke bewaartermijnen we hanteren en hebben we data verplaatst naar de public cloud. We hebben ons DMS laten scannen en opschonen zodat bijvoorbeeld burgerservicenummers en ID-documenten zijn verwijderd. Een zelfde scan hebben we op de netwerkmappen uitgevoerd. We willen de koppeling maken naar het proces zodat gegevens die we nu verwijderen, straks niet opnieuw worden ingevoerd. Want wat je niet hebt, kan ook niet gestolen worden.”
Security over de keten
Als Sander kijkt naar de grootste uitdagingen omtrent security en privacy, wijst hij naar veilig zijn over de hele keten: “Ook als je zelf alles hebt dichtgetimmerd, ben je dan in staat te beoordelen hoe je leveranciers het doen? Daarbij helpt het om zelf ook technische kennis in huis te hebben. Bij een van de bedrijven waarmee we samenwerken was de digitale voordeur waardoor we zelf binnenkomen goed beveiligd, maar een ‘zij-ingang’ voor leveranciers bijvoorbeeld niet voorzien van multifactorauthenticatie. Dan moet je daarover wel het gesprek aangaan. Dat doen we zoveel mogelijk samen met de eerdergenoemde collegacorporaties in de regio, want als bij ons iets speelt zijn we vast niet uniek.”
Collegacorporaties
Daarmee doelt Sander op het collectief ZuidWestSamen (ZWS). Hierin bundelen zeven corporaties al meer dan tien jaar samen de krachten. “Veel corporaties binnen ZWS hebben dezelfde applicaties van dezelfde leveranciers. Soms heeft de ene ergens meer ervaring en door elkaar te helpen kunnen we elkaar sterker maken. Zo had een collegacorporatie goede ervaringen met Chaptr2 die hen ondersteunde met het informatiebeveiligingsbeleid. Onze uitgangspunten komen met die van onze collega’s overeen, waardoor we dezelfde partij hebben ingeschakeld zodat het minder tijd kostte om een vergelijkbaar beleid vorm te geven. Naast het delen van kennis is de meerwaarde soms ook in geld uit te drukken. We hebben gezamenlijk een wachtwoordmanager aangeschaft en daarmee 50 procent bespaard op de normale prijs. De implementatie doen we vervolgens ook samen, net als het ontwikkelen van het trainingsmateriaal.”
Taskforce
“Na de ransomware-aanval in de sector begin dit jaar, is er door ZWS een ‘taskforce informatiebeveiliging en privacy’ gevormd,” gaat Sander verder. “Daaraan hebben de zeven corporaties deelgenomen met ondersteuning van onder andere VVA. Niet alleen omdat we al veel met hen samenwerken, maar ook omdat VVA een coördinerende rol heeft vervuld bij de ransomware-aanval op de andere corporaties. Ze hebben daardoor een goed beeld van wat er moet gebeuren. VVA heeft onder andere gezorgd voor het opstellen van een roadmap en het aanhaken van forensische expertise.”
Eigen sjabloon
Op de vraag wat de taskforce heeft gerealiseerd, blikt Sander terug: “We zijn begonnen met het delen van kennis en ervaring van onderwerpen zoals crisis- en risicomanagement, communicatie en juridische aspecten. Vervolgens is toegewerkt naar een Incident Response Plan; een draaiboek over hoe je handelt bij een ransomware-aanval. Elke corporatie heeft daarmee een sjabloon dat naar eigen wensen aangepast kan worden. Alleen met het sjabloon ben je er nog niet, maar moet je de juiste mensen koppelen zodat iedereen weet wat er moet gebeuren. De draaiboeken en contactlijsten bewaar je vervolgens offline en oefen je ook een keer zodat je sneller in actie kunt komen zodra het nodig is.”
Vrijwillig en positief
Ondanks de samenwerking zijn alle ZWS-corporaties toch nét iets anders. “Kleine corporaties hebben bijvoorbeeld niet alle kennis in huis en kunnen profijt hebben van samenwerking met grote corporaties die misschien wat meer slagkracht hebben. Omgekeerd vullen we elkaar ook goed aan. De een is beter op het proces, de ander op de inhoud. Daarom zijn de kleine verschillen die er zijn misschien wel fijn. Binnen ZWS houden we de samenwerking zo simpel mogelijk. We maken zo min mogelijk formele afspraken en werken niet op alles tegelijk met iedereen samen maar alleen op de onderdelen waar organisaties voordeel zien, anderen kunnen dan eventueel later aansluiten. Daarmee heb je op ieder onderwerp altijd partijen vrijwillig en op een positieve manier aan tafel. Dat is in mijn ogen een sleutel tot samenwerkingssucces.”
Focus
Binnen ZWS ligt de focus op zowel de harde als zachte kant van security en privacy, legt Sander uit: “Beide zijn even belangrijk. We zijn binnen de taskforce aan de slag gegaan met het NIST-framework. Dat gaat uit van de onderwerpen Identify, Protect, Detect, Respond en Recover. Aan de hand daarvan komen onderwerpen aan bod, zoals technische thema’s als dataveiligheid, monitoring en beschermingsmaatregelen. Maar met techniek alleen kun je niet alles oplossen. Daarom komen ‘menselijke’ zaken zoals security awareness, herstelplannen, communicatie, governance en risico-inventarisatie en -strategie ook aan bod.”
Vertrouwen op veilige data
Informatiebeveiliging en privacy zijn duidelijk benoemd in het integrale risicomanagementbeleid van Beveland Wonen. “Daarmee staat het bovenaan onze prioriteitenlijst. We besteden veel aandacht aan het ‘security aware’ maken van onze medewerkers. Daarnaast zijn we binnen CorpoNet bezig om een ISAC – Information Sharing and Analysis Centre – te starten om de sector te helpen met het uitwisselen van kennis over informatiebeveiliging. Zowel intern zoals dreigingsinformatie van overheidsdiensten als van andere bronnen, zoals kwetsbaarheden in software. Het kan nu soms weken tot maanden duren voordat een oplossing daadwerkelijk wordt toegepast en hiermee kunnen we een bijdrage leveren aan de veiligheid van alle corporaties.”
Niet uitsluiten, wel reduceren
“De afhankelijkheid van corporaties zoals Beveland Wonen van IT-middelen en big tech zal alleen maar toenemen,” schetst Sander afsluitend een beeld voor de komende jaren. “Dat maakt ons steeds kwetsbaarder. De dreiging van inbreuken op informatiebeveiliging wordt tegelijkertijd ook groter. We krijgen meer en meer te maken met strenge wet- en regelgeving op dit gebied. Ransomwaregroepen investeren fors in de ontwikkeling van hun technieken, dit vraagt van ons ook een grote investering om ze buiten de deur te houden, zowel financieel als in personeel. In mijn optiek ben je daarom nooit klaar met informatiebeveiliging en privacy. Het is een continu proces om steeds een stapje beter te worden. Wat daarvoor essentieel is? Sowieso het vertrouwen van de organisatie en het bestuur dat de maatregelen die we treffen noodzakelijk zijn. Je kunt het gevaar immers niet volledig uitsluiten, maar door het zo goed mogelijk in beeld te hebben wel reduceren.”
Bron: CorporatieGids Magazine, Foto: Marty Kooman