Cyberveiligheid is kostbaar mensenwerk: ‘Vertrouw niet al je mensen, maar regel het technisch’

Waar mensen werken, worden fouten gemaakt, ook bij bedrijven die zich specialiseren in technologie en veiligheid, zoals telecomaanbieder KPN. Het is de vraag hoe een organisatie daarmee omgaat. Wat gebeurt er, als een monteur zijn laptop verliest? Kan de vinder dan bij informatie komen die niet voor de buitenwereld is bestemd?

“Bedrijven zijn verplicht om voorzorgsmaatregelen te nemen”, zegt Els de Busser, gespecialiseerd in Cyber Security Governance en verbonden aan het Institute of Security and Global Affairs van de Universiteit Leiden. 

Het Nederlandse telecombedrijf heeft dat onvoldoende gedaan, ­afgaande op de laptop die een KPN-monteur bij een klant heeft laten liggen. In een test bood de computer eenvoudig toegang tot het sociale ­intranet van KPN waarop vertrouwelijke documenten staan.

Vitale infrastructuur

“De wet schrijft voor dat bedrijven de risico’s die voortkomen uit het verlies van een apparaat inperken”, zegt De Busser. Ze verwijst naar de privacywet, de Algemene Verordening Persoonsgegevens. “Daarin staat dat organisaties aan risk mitigation moeten doen. Oftewel: beperk de risico’s van dataverlies.”

De Busser: “De eerste stappen liggen ontzettend voor de hand. Beveilig het apparaat met een beginscherm-wachtwoord. Sla geen wachtwoorden op in het apparaat. Zorg voor een beveiligde verbinding en tweestapsverificatie om het bedrijfsnetwerk te beschermen, als ­iemand inlogt. Het zijn de basisvereisten”.

KPN is niet zomaar een bedrijf, het speelt een cruciale rol bij de bescherming van de vitale infrastructuur. Dat zijn diensten met een maatschappelijk belang, zoals de communicatie van hulpdiensten en het leger. Daarom is KPN ook zelf een doelwit van cyberaanvallen.

Op papier klopt het wel bij KPN. In de eigen gedragsregels staat: KPN neemt ‘gepaste voorzorgsmaatregelen tegen misbruik, verlies, diefstal of schade aan apparatuur’. En verder: ‘We zorgen ervoor dat vertrouwelijke informatie – in welke vorm dan ook – nooit wordt gedeeld met niet-geautoriseerde gebruikers’.

Maar in de praktijk kan een monteur die via een uitzendbureau voor KPN werkt op intranet bij vertrouwelijke informatie over de Navo komen. Hetzelfde geldt voor een buitenstaander die zijn laptop in handen krijgt.

Monteurs via een onderaannemer

De laptop van een KPN-monteur die een klant aan deze krant heeft overhandigd, had geen beginscherm-wachtwoord. Op de laptop staat Windows 7, een verouderd besturingssysteem dat Microsoft inmiddels niet meer ondersteunt. KPN zegt in een reactie dat alle KPN-monteurs beveiligde laptops hebben met een moderne Windows 10-omgeving. Maar het bedrijf werkt ook met monteurs die via een uitzendbureau of onderaannemer worden ingehuurd. In zo’n situatie moeten de partners van KPN ervoor zorgen dat de apparatuur aan de veiligheidseisen voldoet.

“De risico’s nemen toe naarmate een bedrijf meer met derde partijen werkt”, zegt De Busser. “Dat is een zwakke plek. Hoe meer koppelingen je hebt naar externe partners, hoe zwakker je cybersecurity wordt. Bij grote bedrijven kan het om honderden leveranciers gaan en om duizenden werknemers. Van iedereen moet je nagaan welke informatie noodzakelijk is voor de samenwerking en of aan de eisen wordt voldaan.”

KPN schrijft in een rapport over cyberveiligheid, gericht aan ­managers in het ­bedrijfsleven, over het belang van procedures en het gedrag van werknemers: ‘Het aanscherpen van uw securitybeleid betekende vroeger vaak het simpelweg toevoegen van nog meer ICT-beveiligingsoplossingen. Die aanpak volstaat niet meer. Om de toenemende stroom aan gegevens te beheren en te beveiligen, zijn processen en mensen minstens zo ­belangrijk. Zo is het cruciaal dat elke medewerker zich bewust is van ­mogelijke cyberrisico’s’.

Wat zijn de kosten als het misgaat?

Cybersecurity heeft een heel menselijke dimensie, bevestigt Els de Busser van de Universiteit Leiden. “Maar dat betekent niet alleen dat werknemers op de werkvloer op hun spullen moeten letten”, zegt ze.

“Dit gaat ook over de bestuurs­kamer. ­Leidinggevenden zullen moeten besluiten dat ze de veiligheid beter gaan organiseren. Door verouderde hardware te vervangen en veiligheidswaarborgen te introduceren en te controleren.”

Het is aannemelijk dat een bedrijf hierbij naar de kosten kijkt, zegt De Busser. “Maar wat zijn de kosten als het misgaat?”

Bedrijven moeten dan bijvoorbeeld losgeld betalen aan cybercriminelen die gegevens versleutelen. Of ze ­lopen financiële schade op doordat werknemers in geloofwaardige ­phishing-mails tuinen. Of ze krijgen boetes van de toezichthouder als de beveiliging niet op orde is. In 2018 is naar schatting twee derde van de ­Nederlandse bedrijven en instellingen getroffen door cyberaanvallen, meldt KPN in een rapport. De gemiddelde schade van een aanval ­bedroeg 300.000 euro.

Het is opmerkelijk dat het intranet, TeamKPN geheten, geen extra beveiliging heeft. KPN zegt dat bij veel andere systemen twee-factor-authenticatie wel een vereiste is. Sluit informatie op intranet zoveel mogelijk af, adviseert De Busser verder. “Beperk de toegang tot gevoelige discussiegroepen en geef vertrouwelijke documenten een extra wachtwoord. Vertrouw niet al je mensen, maar zorg voor technische waarborgen.”

Lees ook:

Een vermiste laptop toont de kwetsbaarheid van de beveiliging bij KPN

Als een KPN-monteur zijn laptop vergeet, ligt de vertrouwelijke informatie voor het oprapen.

Ransomware is toenemend gevaar voor bedrijven en organisaties

Twee dagen voor Kerst werd de Universiteit Maastricht getroffen door een cyberaanval, waarbij hackers het netwerk gijzelden met ransomware. Die kwaadaardige software geldt als een toenemend gevaar, waarschuwen experts.

Overheid heeft onvoldoende grip op digitale verdediging, zegt Wetenschappelijke Raad

De Nederlandse overheid moet wettelijk toegang kunnen krijgen tot computersystemen van bedrijven die gehackt zijn. Zo kan erger worden voorkomen, vindt de Wetenschappelijke Raad voor het Regeringsbeleid.