Het belang van goede informatiebeveiliging
DICTU verandert, maar de wereld verandert nog sneller
Bijna alles wat we doen, is geworteld in de digitale wereld. In deze cyberspace ligt de wereld aan onze voeten. Tegelijkertijd is het een snoepwinkel voor cybercriminelen en adverteerders die jouw data willen kopen en liggen gegevenslekken op de loer. Hoe kan de overheid onze veiligheid in cyberspace garanderen? Hoe reguleer je een globaal netwerk dat grenzen overschrijdt en waarvan niemand de baas is?
Verheijden is verantwoordelijk voor het controleren, sturen en adviseren van de directie op het gebied van Informatie Beveiliging (IB). Verheijden: ‘Hans de Vries, directeur Nationaal Cyber Security Centrum, stelde dat IB qua controls net zo belangrijk is geworden als financial controls. Heb je de financiën niet goed op orde, dan kun je in één keer instorten. Dat is met informatiebeveiliging net zo.’
Nieuwe kloof business en ICT
Verheijden vertelt dat er vroeger een kloof bestond tussen de business en de ICT. Tegenwoordig zijn ICT-producten geïntegreerd in het dagelijks werk. Wel is er een nieuwe kloof ontstaan. Iedereen doet zijn werk met apps, websites, het internet en complexe verbindingen. Verheijden: ‘Deze zijn erg toegankelijk, schaalbaar en makkelijk in gebruik, maar voor gebruikers en ICT’ers qua technologie zeer complex. We moeten beheer, ontwikkeling en ook beveiliging van informatie meer automatiseren. DICTU moet ervoor zorgen dat iedereen die onze diensten gebruikt op een veilige manier toegang krijgt tot alle technologieën en daarbij betrokken data. De enige manier om deze nieuwe kloof te dichten is goede informatiebeveiliging. Het gaat daarbij om drie dingen: data, identiteiten en toegang. AIs dat vooraf niet goed beveiligd is, kun je net zo goed met bedrijf, inspectie, uitvoering van wetgeving, of subsidiestroom stoppen.’
Zero trust-principe
Volgens Verheijden moet je met alle recente cyberattacks bedenken hoe je informatiebeveiliging kunt verbeteren. ‘Voor ons was onder meer de hack op het Amerikaanse softwarebedrijf SolarWinds het kantelpunt. Door deze hack was het opeens mogelijk om wereldwijd overheidsinstanties en grote bedrijven te bespioneren. Willen we alle technologieën blijven gebruiken die ons helpen ons werk binnen DICTU en in samenwerkingsverbanden met leveranciers, klanten, burgers en bedrijven te doen? Dan moeten we goed de risico’s in kaart brengen die we in die ketens lopen. Bedenk van tevoren wat je doet met je data, de mensen met wie je samenwerkt en met de toegang daarnaartoe.’ Verheijden benadrukt dat het “zero trust”- principe meenemen in je denkgedrag belangrijk is. ‘Dit betekent dat je ervan uitgaat dat je al gehackt bent, en dus je data bij de bron moet beschermen op basis van identiteit en toegang. Je vertrouwt het systeem waarin je werkt niet, en beveiligt je belangrijkste goed: de data.’
By design, by desire and by default
Het Projectencluster Informatiebeveiliging van DICTU (zie laatste paragraaf voor meer info) zette de afgelopen drie jaar grote stappen in het veiliger maken van het ICT-landschap en maakte inhaalslagen. Aan de andere kant gebruiken de ministeries van EZK en LNV steeds meer door partners geleverde public cloud-oplossingen. Dit is qua techniek en informatiebeveiliging nieuw voor DICTU én zijn klanten en zorgt voor nieuwe uitdagingen. ‘Als EZK en LNV betrouwbare ministeries willen blijven, moet DICTU met zijn klanten hand in hand lopen over de brug van informatiebeveiliging.’ ‘We kenden al “veiligheid by design”. Dan bouw je veiligheid in bij het ontwerp van wat je gaat doen. Secure Software Development is een manier om security by design te doen. Het is ook de werkwijze waarop DICTU momenteel dingen doet. We kennen nu ook “veiligheid by desire”. Daarbij nemen we de veiligheidswens van de klant al mee in het ontwerp van het IT-product. In de toekomst gaan we steeds meer werken naar “veiligheid by default”. In dat geval is IB randvoorwaarde om je werk goed te doen’, aldus Verheijden.
Volgens hem kunnen we functionaliteit niet laten voorlopen op IB. ‘Willen we een succes- volle Rijksoverheid zijn, dan moeten we inzien dat IB en functionaliteit hand in hand lopen. Bill Gates wist dat al in 2002 en handelde daarnaar. Hierdoor is Microsoft nu een van de betrouw baarste ICT-leveranciers ter wereld. Als EZK en LNV betrouwbare ministeries willen blijven, moet DICTU met zijn klanten hand in hand lopen over de brug van informatiebeveiliging. Ook moeten we dan veiligheid van data, identiteiten en toegang vooropstellen.’
Investeren in kennis
Het constant in kennis investeren is een uitdaging. Verheijden: ‘De cloud biedt bijvoor- beeld veel beschermingsmogelijkheden. Maar als je niet weet hoe je dit moet doen, kom je niet ver. Als je snapt hoe dingen werken, schat je risico’s beter in en pas je IB daarop aan. IB draait namelijk om: beschikbaarheid (werkt het?); om integriteit (weet je zeker dat de data die je krijgt ook klopt?). En om vertrouwelijkheid (is gevoelige data alleen beschikbaar voor degene voor wie het bedoeld is?). De pilot rond Office 365 die we met de Directie Bedrijfsvoering EZK en LNV doen, is een goed voorbeeld van leren en uitproberen. Om daarna de risico’s te verminderen, voordat je functionaliteit beschikbaar stelt aan de gebruikers.’ Over het algemeen gaat het volgens Verheijden vrij goed met DICTU zelf. ‘DICTU gebruikt en voldoet aan de ISO27001-norm voor IB. Dit biedt een model voor het vaststellen, realiseren, bijhouden en continu verbeteren van ons managementsysteem voor IB. We laten een externe partij controle uitvoeren op de manier waarop wij IB toepassen. Dat zorgt ervoor dat we constant moeten verbeteren.’
Directie Bedrijfsvoering en CIO-offices Als chief security officer (CSO) werkt Verheijden nauw samen met de chief information security officer (CISO) van de ministeries van EZK en LNV. Samen borgen zij op technisch en bestuurlijk niveau de IB. Op basis daarvan schatten ze ook de bedreigingen en risico’s voor het hele departement in. ‘Ik werk bijvoorbeeld nauw samen met de CISO. We werken ook samen met alle klanten en onderdelen van EZK en LNV. We hebben een IB-platform opgericht dat regelmatig samenkomt. Daar delen we visie en kennis met alle organisaties waarvan EZK en LNV eigenaar zijn. We zorgen ervoor dat alle neuzen dezelfde kant op staan. Kortom, samen houden we elkaar scherp.’
DICTU Securitydag
Binnen de DICTU organisatie werken teams hard aan het veilig houden van het ICT landschap van DICTU en zijn klanten. Ieder team vanuit zijn eigen expertise en om kennis en ervaring nog meer met elkaar te delen heeft DICTU zijn een Securitydag georganiseerd. Een dag om collega’s te ontmoeten en te leren van elkaar en van de spreker van de dag, Menno van Doorn, directeur van het Verkenningsinstituut Nieuwe Technologie (VINT) van IT- dienstverlener Sogeti en schrijver van het boek Echt nep, een boek over de metaverse, AI en Deep fake. In de ochtend lichtte Sjoerd Verheijden, CISO van DICTU, de plannen en de nieuwe visie op informatiebeveiliging (IB) toe. Daarna gaf Menno van Doorn een lezing over de laatste ontwikkelingen van Deep fake en AI. Deze lezing leidde tot een bijzondere opdracht. In groepsverband is gebrainstormd over het ontwrichten van de Nederlandse samenleving door middel van de technieken die Van Doorn besprak. Echt op de stoel van de bad guys gaan zitten en zo nadenken over dit thema. De creatiefste ideeën kwamen in acht korte pitches naar voren. Tot slot was er ruimte voor een aantal presentaties, bijvoorbeeld over cyberarchitectuur of over de werkzaamheden van de afdeling van Ineke Spinder, CISO van EZK. Een inspirerende dag die er voor zorgt dat cybersecurity top of mind is én blijft. We streven ernaar om deze Securitydag twee keer per jaar te organiseren.
Projectencluster informatiebeveiliging maakt inhaalslag
Het projectencluster Informatiebeveiliging heeft de afgelopen drie jaar vanuit verschillende thema’s een belangrijke inhaalslag gemaakt op het terrein van informatiebeveiliging. Dit is gebeurd om samen met de Directie Bedrijfsvoering (DB) de digitale weerbaarheid van het EZK- en LNV-concern aanzienlijk te vergroten. Hiervoor is vooral geïnvesteerd in preventieve maatregelen. Een voorbeeld hiervan is de uitrol van applicaties, die afwijkend gedrag ontdekken, analyseren en daarop reageren. Daarnaast is geïnvesteerd in technologische en proces- verbeteringen om schade te voorkomen. Verder is samen met EZK en LNV een visie op IB vastgelegd. Ook is geïnvesteerd in kennis, bewustwording en training bij medewerkers op het gebied van informatiebeveiliging.
Veiliger software ontwikkelen
Een andere preventieve maatregel gaat over het ontwikkelen van veilige software. Bij de start van nieuwe softwareontwikkeling staat veiligheid centraal. Een team toetst of kaders en richtlijnen worden toegepast bij iedere softwareverandering en het in beheer nemen van een applicatie.Verder is geïnvesteerd in training en coaching van medewerkers. Ook is de rol van “Security Champion” geïntroduceerd om elk team op IB-vlak te laten groeien.
Identity & Access Management
De kern van veilige toegang begint bij het beheer van zogenoemde identiteiten: wie ben je? Wat mag je? Ben je echt wie je zegt te zijn? Het IB-Projectencluster heeft samen met de Directie Bedrijfsvoering verschillende van deze Identity G Acces Management-onderdelen en de IAM referentiearchitectuur verder ontwikkeld.
Cyberarchitectuur
Een divers ICT-landschap, technologische vernieuwingen, veranderingen in werken (plaats-, tijd- en apparaat-onafhankelijk) en het overnemen van cloud-technologieën vragen om een ander beveiligingsmodel: Zero Trust genaamd. Het IB-Projectencluster is vanuit cyberarchitectuur begonnen met het realiseren en invoeren van dit model.'
Meer Entry-artikelen lezen of aanmelden
Dit artikel is eerder verschenen in ons relatiemagazine Entry. Wilt u ons hele magazine lezen, boordevol met artikelen over de activiteiten van onze klanten, partners en DICTU zelf? Klik dan hier. Aanmelden voor toekomstige edities kan natuurlijk ook. U kunt op het formulier kiezen of u Entry digitaal en/of op papier wilt ontvangen.