NAVO-top legt cyberrisico’s voor bedrijven bloot

Lokke: ‘Nederland is niet alleen gastheer voor de NAVO-top maar ook een van de grootste steunverleners aan Oekraïne. Er wordt daarom echt rekening gehouden met Russische spionage, sabotage en misinformatie. Dat is de realiteit waar iedereen voor klaar staat. De MIVD heeft kortgeleden gewaarschuwd dat hackers van de Russische geheime dienst actief cyberspionage gebruiken om informatie te verzamelen over onder andere de wapentransporten naar Oekraïne die via Nederland lopen. De spionage-infrastructuur die Rusland daarvoor al heeft geïnstalleerd, wordt zeker ook benut voor het verstoren van de NAVO-top.’ 

KPN bevindt zich daar als onderdeel van de kritische infrastructuur van Nederland en van oudsher telecomleverancier van defensie, politie en verschillende ministeries, middenin. Stephan: ‘De afgelopen jaren zijn we al druk bezig om onze basisprocessen ten aanzien van vulnerability management, asset- and configuration management, endpoint protection en hardening, in lijn te brengen met de toegenomen wereldwijde cyberdreiging. Daarnaast is de samenwerking tussen defensie, politie, ministeries en KPN geïntensiveerd om cybersecurity-maatregelen goed af te kunnen stemmen op de cyberdreiging die de NAVO-top met zich meebrengt. We kijken daarnaast naar fysieke sabotage mogelijkheden. Zo controleren  we of alle straatkasten goed zijn afgesloten. Dat wordt allemaal dubbel gecheckt.’ 

De extra alertheid van KPN zit ‘m volgens Stephan in weerbaarheid. ‘De NAVO-top laat eens en te meer zien dat dat belangrijk is. Dan heb ik het net zo goed over weerbaarheid van gewone mensen als jij en ik ̶ privé, fysiek en cyber ̶ als van bedrijven. Onze CISO is al een aantal jaren bezig om die weerbaarheid steeds verder te verbeteren. Een heel belangrijk aspect daarvan is gewoon zorgen dat de assets die je hebt, dus ál je assets, dat je  dat perfect op orde hebt. Dat je weet waar het staat. Dat je weet of het up-to-date is. Dat je weet welke patches erop draaien, én dat je ook tijdig patcht. Als je consistent bent in het op orde houden van je business continuity management, endpoint protectie, incident management en vulnerability management, dan is je weerbaarheid ook een stuk beter. Daar zit KPN nu echt heel strak op.’

‘Met de NAVO-top als sprekend voorbeeld, uit elk onderzoek blijkt dat cyberrisico’s steevast in de risico top 3 van elke organisatie staan’, benadrukt Lokke. ‘Ook als de organisatie niet onder NIS2 of DORA valt, zou elk bestuurder daar zijn verantwoordelijkheid moeten nemen. Als een bestuurder zegt “ik hoef niet te voldoen aan NIS2 dus ik ben off the hook”, is dat denk ik niet meer terecht. Cyberbeveiligingsrisico’s zijn een strategisch risico. Er kan niet meer worden volstaan met het delegeren van de verantwoordelijkheid aan de IT-afdeling of de functionaris voor informatiebeveiliging, en het zich beperken tot het jaarlijks goedkeuren van budgetten.’ ‘En, dat moet ook terugkomen in je governance’, vult Stephan aan. ‘Zo geeft onze CISO sowieso één keer per kwartaal een update aan de raad van bestuur en de raad van commissarissen. Dit ligt overigens behoorlijk in lijn met wat TIAS in het advanced cyber program aangeeft als verstandig. Ook de structuur en suggesties van TIAS over hoe je de board kan informeren en hoe je dit doorvertaalt naar besturing op elk niveau in je organisatie, is door KPN grotendeels overgenomen.’ 

 

‘Dat heeft ermee te maken dat cyber governance een relatief nieuw vakgebied is’, legt Lokke uit. ‘What is good cyber governance? Wat moet een board weten om iets dat relatief nieuw is, goed aan te sturen? Welke vragen moet de board aan de CISO stellen? Wat zijn de verantwoordelijkheden van de CISO en op welke onderwerpen moet worden gerapporteerd? Dat proberen we in het advanced program van TIAS met de beste experts multidisciplinair af te stemmen. En omdat deelnemers aan het programma in leidinggevende posities zitten, is het niet één iemand die wat nieuws leert, maar wordt de opgedane kennis  ̶  dat hopen we in ieder geval  ̶ doorgezet naar andere mensen in de organisatie. 

‘Het leuke is’, vervolgt Lokke, ‘dat zich onder de deelnemers veel ervaren professionals bevinden die tijdens de modules stevig bijdragen aan de discussies. Zo van “Vinden we dit inderdaad met z’n allen?” Of, “dit is misschien de regel, maar in de praktijk is dit niet realistisch en voldoen we er zo aan.” Daar leren niet alleen de deelnemers, maar ook alle experts die lesgeven, en Freddy en ik als Academic Directors van het programma, heel veel van.’

Een-op-een overnemen 

Stephan: ‘Wat het programma voor mij vooral waardevol maakt is dat aan de ene kant de academische wereld zijn kennis neerzet en aan de andere kant zeer senior mensen vertellen hoe zij dat in de praktijk wel of niet vertalen en waarom. Denk aan CISO’s van bijvoorbeeld ASML, Akzo Nobel en KPN die als co-host vertellen hoe zij cybersecurity en compliance besturen. Dat kun je gewoon een-op een overnemen. Wat ook heel concreet is, is de module vulnerability management van Michel van Eeten, hoogleraar bij de TU Delft over risk-based sturen in plaats van met een standaard ranking de vulnerability vaststellen (Common Vulnerability Scoring System (CVSS), red.). 

‘Je kan natuurlijk een vulnerability hebben die hoog scoort qua CVSS maar bijna nooit getarget wordt, en een vulnerability met een lagere CVSS die heel vaak getarget wordt. Naar aanleiding van dat college, heb ik gelijk intern bij KPN nagevraagd, hoe wij deze risk-based approach gaan oppakken. De opleiding zorgt ervoor dat ik de juiste vragen stel. Een paar weken terug zijn we dus overgegaan naar de risk-based approach voor vulnerability management. Dat betekent dat we nu een nog scherpere benadering hebben om onze kwetsbaarheden in het netwerk, aan te pakken.

‘Een ander heel concreet programmaonderdeel dat ik supergaaf vond’, vertelt Stephan verder, ‘is de cybercrisissimulatie met Fox-IT en Morrison & Foerster waarmee het programma wordt afgesloten. Waarom? Omdat je met zo'n papieren exercitie urgentie creëert, maar ook stress. Want op dat moment vergeet je even dat je met een groepje een fictieve case aanpakt. Je hebt echt stress! En het leuke is, de ellende wordt steeds groter. Na de simulatie hoor je van de verschillende groepjes hoe zij de crisis hebben opgepakt en dat vergelijk je dan met hoe je eigen groepje dat heeft gedaan. Daar leer je heel veel van. Binnen mijn business unit wil ik binnenkort voor het management, ook zo’n simulatie organiseren zodat zij zelf ook die urgentie gaan voelen.’

Lokke: ‘Het punt is  ̶  ik heb dat zelf de eerste keer in zo'n simulatie ook ervaren  ̶  dat je vooraf denkt dat je heel veel weet. Maar als het dan gebeurt, denk je toch even van mijn hemel, wat nu? Je weet het echt even niet. Dan realiseer je je ineens wat lekker zou het zijn als ik de tien eerste actiepunten op een rijtje heb en die gewoon even kan checken. Na zo’n oefening ga je dat lijstje toch even maken. Dan realiseer je je ook dat  je dit op papier altijd bij je moet hebben, want het kan zomaar zijn dat alle IT is afgesloten.  

‘In de stress van die eerste minuten is het belangrijk dat je elkaar kan vinden, dat je weet wie je moet hebben. Je ontdekt  dan in een oogopslag dat het crisisplan dat je hebt, niet nuttig is. Het is onvoldoende concreet. In de simulatie ervaar je dus dat je met al je kennis niet weet wat je moet doen. Mensen hebben gewoon een zeperd nodig om van iets wat voor niemand prioriteit heeft, een prioriteit te maken. Na het besef “we zijn niet in control” komt “we gaan dit voorkomen”.  

Praktijkgerichte samenhang tussen relevante disciplines 

‘Omdat het vakgebied relatief nieuw is’, vervolgt Lokke, ‘bestaat er nog geen boekje waarin je kunt lezen hoe je een goede CISO wordt. In ons Advanced Program Cybersecurity and Governance brengen we de allernieuwste kennis van de beste experts op relevante disciplines bij elkaar, en combineren we dit met de praktijkervaring van CISO’s van toonaangevende bedrijven in Nederland. Hierdoor ontstaat er samenhang. De deelnemers van het programma zijn tenslotte degenen die het totaaloverzicht moeten hebben.’