Auxilium biedt sinds 2015 een PE cursus aan over de risico’s van cybercriminaliteit, de financiële gevolgen voor de organisatie en de juridische aspecten zoals de nieuwe wetgeving rondom datalekken. Deze workshop wordt verzorgd door CYCO Cybercrime Cover. Onlangs heeft Auxilium door CYCO ook een Cyber Risico Analyse (CRA) met een technische review laten uitvoeren. Wat is hier uit gekomen? John Weerdenburg, mede-eigenaar van Auxilium vertelt...

John Weerderburg

Wat is de belangrijkste reden geweest om een Cyber Risico Analyse te laten uitvoeren?

“Om cyberrisico’s en de veel besproken datalekken niet alleen vanuit de theorie, maar juist vanuit de praktijk te benaderen. Om mijn klanten beter, met concrete voorbeelden, te kunnen informeren. Ik vond het wenselijk een spiegel voor te krijgen hoe wij met onze systemen omgaan in het aspect van ICT security en de recente aanpassingen in de Privacywetgeving.”

Wat was de verwachting van de Cyber Risico Analyse?

“Om eerlijk te zijn was die weinig concreet. Ik laat zoiets graag over mij heen komen. Een van de eerste vragen tijdens de analyse was welk rapportcijfer ik mijn organisatie zou geven op het gebied van ICT beveiliging. Mijn antwoord daarop was een 4. In het algemeen zou ik mijn verwachting willen omschrijven als: “Kan ik zelf helder krijgen waar de schoen wringt.”

Is die verwachting ingevuld?

"Ja, ik weet nu waar de schoen wringt. De analyse heeft voor mij duidelijk gemaakt dat het vertrouwen in de veiligheid van onze ICT wat ik had, niet was gerechtvaardigd. Ik merk dat ik in besprekingen met mijn klanten nu op mijn manier kan vertellen wat de risico’s zijn en wat de nieuwe meldplicht datalekken voor organisaties inhoudt. Ik vind het fijn dat er een derde partij met expertise naar onze organisatie heeft gekeken en de risico’s en kwetsbaarheden helder in beeld heeft gebracht. Vaak hoor ik nu als reactie van mijn klanten dat zij daar ook wat aan zouden moeten doen.”

Wat heeft CYCO precies gedaan?

“CYCO heeft een onderzoek gedaan naar de specifieke cyberrisico’s en kwetsbaarheden binnen Auxilium. Zij zijn gestart met een nulmeting. Deze nulmeting heeft mij inzicht gegeven in de volwassenheid van de huidige maatregelen en of deze nog voldoen. Denk hierbij niet alleen aan de technische maatregelen, maar juist ook het inzicht in de organisatorische maatregelen en het bewustzijn en gedrag van medewerkers. Een onderdeel van de analyse was bijvoorbeeld dat een aantal medewerkers uitgebreid werd geïnterviewd. De uitkomsten van deze interviews worden in de cyberanalyse verwerkt. Hiermee heb ik een goed beeld gekregen of er al een goed beleid was en of de juiste protocollen waren opgesteld. En vooral belangrijk of dit beleid ook aansluit op de werkvloer; is het bekend bij iedereen en wordt er naar gehandeld? Is iedereen zich bewust van de vertrouwelijke data en gaat hier iedereen mee om zoals wij dat zouden moeten doen. Daarnaast is er een technische scan uitgevoerd. De uitkomsten zijn duidelijk in kwetsbaarheden uitgelegd; daar ben ik behoorlijk van geschrokken. Ik heb ook handvatten aangereikt gekregen om veel meer een gelijkwaardige gesprekspartner te zijn met mijn externe IT partner. CYCO heeft aanbevelingen gedaan voor betere afspraken met mijn IT partner en kritische punten geanalyseerd in de technische infrastructuur. We zijn wakker geschud.”

Was er vooraf een duidelijk beeld van de cyberrisico’s binnen Auxilium?

“Nee, absoluut onvoldoende. Hoewel ik mij terdege bewust was dat het veiligheidsniveau onvoldoende zou zijn - ik had immers een rapportcijfer 4 gegeven - toch kon ik mij geen voorstelling maken van alle door CYCO geanalyseerde specifieke kwetsbaarheden.” Had je een duidelijk beeld van jouw persoonlijke verantwoordelijkheid? “Jawel, maar mijn nuchterheid zegt dat je het niet groter moet maken dan het is. Mijn levenshouding is: 'het glas is halfvol'. Ik kijk minder naar bedreigingen. Ik let graag op de integriteit van mensen en blijf graag bij mijn kernwaarden. Ik besef dat juist daar een risico zit voor dit onderwerp. Belangrijk is dat ik nu, zonder mijn kernwaarden aan te tasten, weet hoe ik mijn verantwoordelijkheid op dit lastige gebied wil en kan nemen.”

Wat is het meeste opgevallen tijdens de uitvoering van de Cyber Risico Analyse?

“De groei van mijn bewustwording door de vragen in de interviews. Opvallend was dat ook de medewerkers dit uitgebreid met elkaar deelden. Dit heeft een duidelijk effect op het begin van de gewenste bewustwording.”

Wat waren de meest opvallende uitkomsten van de Cyber Risico Analyse?

“Dan begin ik met een grappige anekdote. Een van de aanbevelingen uit het rapport van CYCO was - onder het hoofdstuk fysieke beveiliging - om de hoofdingang tijdens een niet bemande receptie af te sluiten. Ik werd buiten gesloten door mijn medewerkers toen ik net voor lunchtijd naar de toilet was. Ik moest het algemene nummer bellen met mijn mobiel en sprak mijn verbazing uit waarom bij terugkomst opeens de deur was afgesloten. Als antwoord kreeg ik natuurlijk te horen dat ik dat recent zelf als protocol had voorgesteld… Als bestuurder hecht ik veel belang aan een goede cultuur en prettige werksfeer. Ik heb gemerkt dat veel aanbevelingen kunnen worden geïmplementeerd en dat CYCO daarbij een goede begeleiding biedt zonder de werksfeer te veel aan te tasten. Daarnaast zou ik nog de aanbeveling van de 'clean desk policy' willen noemen. Dit was ook voor mij confronterend, ik moet daar ook in verbeteren om hierin een goed voorbeeld in te geven. En ik kan je zeggen: een clean desk policy is niet alleen een leeg bureau.”

Wat waren de belangrijkste uitkomsten uit de technische review?

“Een paar zaken die mij opvielen; dingen die ik echt niet wist. De externe IT verantwoordelijke kreeg een aantal aanbevelingen die ze eigenlijk zelf actief hadden behoren te doen. Blijkbaar waren de afspraken met de IT dienstverlener niet helder! In eerste instantie reageerde mijn IT dienstverlener dat de aanbevelingen uit de cyberanalyse vooral van organisatorische aard zouden zijn. Hij schrok echter toen uit de technische analyse bijvoorbeeld bleek dat er nogal wat poorten open stonden. Ik realiseerde mij hoe belangrijk het is een derde partij een technische review te laten doen. Als bestuurder heb ik daar te weinig verstand van en kan ik zo’n IT partij onvoldoende sturing geven.”

Wat heeft het meest verrast?

"Ik ben het meest verrast door een aantal uitkomsten in de rapportage van CYCO die ik helemaal niet had verwacht. Zoals bijvoorbeeld de opmerking dat een ethisch hacker van CYCO via social media een wachtwoord hadden weten te achterhalen! Als ik dat aan mijn klanten vertel dan knikken mensen instemmend. Maar ook het voorbeeld hiervoor heeft mij enorm verrast. Je gaat er eigenlijk te makkelijk vanuit dat je professionele IT dienstverlener ook het aspect veiligheid volledig beheerst. Achteraf realiseer ik mij dat de afspraken met de IT dienstverlener zich primair richtten op de inrichting van gebruikersgemak waarbij bescherming van data onvoldoende aandacht kreeg.”

Wat heeft de Cyber Risico Analyse binnen Auxilium teweeg gebracht?

“Bewustwording van de digitale kwetsbaarheden. Op welke manier de organisatie kan voldoen aan de nieuwe privacywetgeving. En of de IT-verantwoordelijke – zowel intern als extern – de juiste opdracht heeft om de risico’s voldoende beheersbaar te houden. Er werden te makkelijk aannames gedaan. Met relatief eenvoudige maatregelen kun je grote stappen maken. De externe systeembeheerder is nu ook een stuk scherper."

Is een Cyber Risico Analyse een aanbeveling voor anderen?

“De analyse heeft bewustwording van de cyberrisico’s bij iedereen binnen de organisatie gecreëerd. De analyse heeft mij als eindverantwoordelijke handvatten gegeven waarmee ik direct verbeteringen heb kunnen doorvoeren. Als bestuurder krijg je een duidelijk totaal beeld hoe de risico’s beheersbaar kunnen worden gemaakt. Het is een blackbox die open gaat en de analyse creëert minder afhankelijkheid van mijn externe systeembeheerder. Ik denk dat accountantskantoren die een Cyber Risico Analyse doen er op vooruit gaan en dat ook zij handvatten krijgen om de risico's te bespreken met hun relaties.”