De mens is juist de sterkste schakel in de strijd tegen cybercriminaliteit, vindt Marc van der Linden, CEO van Stedin Groep. Sinds drie jaar zwaait hij de scepter bij het Rotterdams netwerkbedrijf en verlegde met een nieuwe strategie Stedins focus op toekomstig netbeheer. En daar past aandacht voor cyber security uitstekend bij.
Cyber security heeft bij Stedin de hoogste prioriteit. Met de toename van de dreiging hiervan nemen ook de voorzorgsmaatregelen toe. “Het is een soort wedloop”, vertelt Van der Linden. “Als netbeheerder werken we veel samen met de andere netbeheerders. Die samenwerking heeft twee doelstellingen. We willen de weerbaarheid van onze energiesystemen hoog en gelijk houden, zodat er binnen de netbeheerders geen zwakke broeders zijn. En we willen onze (schaarse) middelen niet dubbel inzetten. Het helpt niet als we onafhankelijk van elkaar wielen uitvinden of onnodige inkopen doen.”
Europese samenwerking is een noodzaak
Van der Linden benadrukt dat elektriciteitskabels niet stoppen bij de grenzen. “In onze wereld is de casus van Oekraïne infaam. Eind 2015 legde een (vermoedelijk) Russische cyberaanval enkele energiecentrales plat, waardoor West-Oekraïne zonder stroom zat. Daarom is Europese samenwerking ook een noodzaak en dat doen we in het Energy Network Cyber Security (ENCS). Hierin zitten veel Europese netbeheerders. We delen ervaringen en stippelen gezamenlijke onderzoeken uit.”
Human factor
Onlangs werd Stedin Groep opgeschrikt door een cyberaanval middels phishing e-mails waarin om inloggegevens gevraagd werd. Van der Linden: “Als er 4000 mensen bij je bedrijf werken, dan weet je dat ze wel een paar keer beet hebben. Die phishing-actie heeft er toe geleid dat wij versneld een extra controlesysteem hebben ingebouwd in ons bedrijf: een extra verificatie via je werktelefoon.”
Taboe van slachtofferrol halen
Van der Linden vindt het belangrijk dat als collega’s beseffen dat ze opgelicht zijn via zo’n phishing e-mail om het slachtoffer te ondersteunen, de schade te beperken en door te gaan met de bedrijfsvoering. “Iedereen kent het gevoel van schaamte, want iedereen is wel eens opgelicht. Het is belangrijk dat je het taboe afhaalt van de slachtofferrol. Juist dan moet je als leidinggevende schouder aan schouder staan met het slachtoffer.”
>> LEES OOK: Petra Oldengarm: Voorbij de schaamte
Medewerkers zijn de beste filters
Van der Linden gelooft niet dat mensen de zwakste schakel zijn in het systeem. “Je kunt veel afvangen door techniek, maar uiteindelijk zijn de medewerkers je beste filters. Ze zijn juist je sterkste poortwachters. In die positie moet je ze wel brengen. Want techniek alleen lost niet alles op. Je kunt allerhande tools aanreiken. Maar je moet ook weten hoe je die spullen moet gebruiken. Vergelijk het met autorijden. Die gordel en die spiegels zijn niet veilig, maar het gebruik ervan.”
Awareness creëren via e-learning
Mede hierom zijn binnen Stedin alle medewerkers door een e-learningproces geleid. “En die kennis en vaardigheden onderhouden we”, vervolgt Van der Linden. “Van nieuwe medewerkers wordt ook verlangd dat zij deze cursus volgen. Het maakt je scherper en creëert awareness. Het e-mailadres van de verzender standaard checken, niet automatisch op linkjes klikken of attachments openen. Het zijn kleine tips, maar als iedereen binnen het bedrijf het tussen de oren heeft, dan hou je een hoop ellende buiten de deur.”
Waarom niet ook een soort verkeersdiploma in het cyberdomein?
Van der Linden zou het niet gek vinden als we in Nederland nog vroeger zouden beginnen met die awareness. “Vroeger op de basisschool moest je je verkeersdiploma halen van Veilig Verkeer Nederland. Waarom doen we niet ook zoiets in het cyberdomein: dat je uiteindelijk een diploma krijgt, zodat je weet hoe je je veilig digitaal kunt rondbewegen?”
>> Meer over cyber security op onze speciale overzichtspagina
Ook de top betrekken bij cyberdreigingen
Die awareness zetten ze bij Stedin niet alleen van onderuit in, maar ook vanuit de top. “Tijdens onze halfjaarlijkse strategische sessie met onze Raad van Bestuur en alle directeuren hebben wij een volle middag besteed aan cyberdreigingen en de rol van het Stedin-bestuur daarin. We hebben de Oekraïne-hack uitvoerig gesimuleerd en stap voor stap bekeken welke acties wij al hebben genomen om dit scenario – dat zich uiteraard gradueel ontvouwde – te voorkomen. Ook hier stond de human factor centraal: hoe kunnen wij onze mensen ondersteunen?”
Sectoroverstijgend
Stedin is zich bewust van de rol en verantwoordelijkheid die zij als netbeheerder hebben om Nederland te wapenen tegen cyberaanvallen. Van der Linden: “In samenspraak met onze toezichthouder Agentschap Telecom kijken wij hoe wij het beste kunnen voldoen aan onze zorgplicht. Wij zijn wat dat betreft blij met de Wet Beveiliging Netwerk- en Informatiesystemen, die ons voldoende handvatten geeft. Deze wet voorziet in een meldplicht van incidenten en een zorgplicht, het treffen van beveiligingsmaatregelen. Zo deel je met elkaar de gevaren die bij ene sector spelen, maar bij de andere nog niet.” Van der Linden hecht waarde aan die sectoroverstijgende aanpak.
Moet je Russische en Chinese softwarebedrijven bij voorbaat uitsluiten?
Daarom heeft Stedin Groep ook zitting in de Commissie Vitale infrastructuur, een initiatief van VNO-NCW. “Deze commissie heeft als gemeenschappelijkheid vitale infrastructuur: financiën, telecom, water, grote industrieën”, vervolgt Van der Linden. “We bespreken hierin bijvoorbeeld de spanning die heerst tussen open aanbestedingen en bescherming tegen de dreiging vanuit statelijke actoren. Hoe ga je daarmee om? Moet je Russische en Chinese softwarebedrijven bij voorbaat uitsluiten? Dit is een lastig dilemma.”
Schaap met vijf poten
Binnen Stedin is men volgens Van der Linden soms te veel op zoek naar multidisciplinariteit: “Naar het schaap met de vijf poten. Iemand die verstand heeft van processen, van de techniek, inkoop, awareness, wetgeving. Maar cyber security zit in alles. Iedereen heeft een noodzakelijk puzzelstukje van de grote cyber-legpuzzel. Als je je dat realiseert, dan ben je beter af met een schaap met vier poten. Want met drie van zulke schapen krijg je de gewenste multidisciplinariteit.”
Onze cybersecurity-afdeling is de ruggengraat; onze afdelingen vormen het zenuwstelsel
“Uiteindelijk is onze maatschappij multidisciplinair opgebouwd en niet alleen door ICT’ers, maar ook vanuit bijvoorbeeld de financiële, sociale, economische en juridische sector. Waarom zou je die dan niet multidisciplinair beschermen? We hebben het samen opgebouwd; we moeten het ook samen beschermen. Daarom heb ik de verantwoordelijk van cyber security binnen onze Raad van Bestuur ook niet bij één persoon belegd. Bij ons zijn de taken onderling goed verdeeld op het cyberdomein, maar op zo’n manier dat we er allemaal mee te maken hebben en allen verantwoordelijk zijn. Onze cybersecurity-afdeling is de ruggengraat; onze afdelingen vormen het zenuwstelsel.”
Dit artikel is overgenomen uit: CSR Magazine, jaargang 5 nummer 1. Het CSR Magazine is een uitgave van de Cyber Security Raad.