Cybersecurity: een kwestie van gezond verstand en discipline

Jeroen Smit 2020
Als je het over cybersecurity hebt, zijn begrippen als malware, phishing, ransomware en hacks doorgaans het eerste waar je aan denkt. Op zich logisch, want daarover lees en hoor je ook het meest. Veel minder aandacht gaat uit naar andere, minstens zo belangrijke zaken die ook nauw samenhangen met cybersecurity. VVP sprak met Jeroen Smit, Chief Technology Officer bij de Nationale Hypotheekbond, over de vele alledaagse risico’s en wat we zelf kunnen doen aan beveiliging van data. Vaak heel simpel, maar het vraagt het wel om discipline.

Smit: “Om met de deur in huis te vallen, het gaat bij cybersecurity globaal over de volgende zaken: beveiliging, wachtwoorden, updates, back-ups, systeemkeuze, providerkeuze, databeveiliging en welke impact het heeft als data op straat komen te liggen of geblokkeerd worden door kwaadwillende cybercriminelen.”

Wat Smit wil zeggen, dit zijn zaken waar je zelf veel aan kunt doen. Daarbij komen nog zaken als falende apparatuur, of gedrag van collega’s dat de organisatie schaadt. “Denk aan de medewerker die het klantenbestand per ongeluk wist, terwijl er geen back-up van is, of de bekende USB-stick die in de trein blijft liggen. Ook daar is het nodige tegen te doen, mits je goede afspraken maakt en je je er vervolgens ook aan houdt. Zonder discipline is er schijnveiligheid.”

Een simpel voorbeeld toont aan hoe snel het verkeerd kan gaan. Veel ondernemers maken regelmatig een back-up, maar als deze back-up vervolgens in een kluis op kantoor wordt bewaard loop je nog steeds het risico dat bij brand alle data verloren gaan. Of de backup die in de auto ligt en wordt gestolen, dat levert mogelijk een groot datalek op. “Allemaal zaken waar je grondig over moet nadenken en vervolgens consequent moet uitvoeren. Ik zou er sowieso voor kiezen om alle data realtime in de cloud te bewaren. Dan heb je daar geen omkijken naar. Het gekke is dat iedereen dat wel weet, maar niet iedereen dat ook doet.” En dat terwijl volgens Smit de grote clouddiensten zeer betaalbaar en ongelofelijk veilig zijn, zeker als je er een kiest die onder EU-regelgeving valt.

Voordeur consequent op slot

Hoewel veel van de risico’s van binnenuit komen, wil Smit de risico’s van buiten zeker niet bagatelliseren: “Die zijn er zeker en op bepaalde gebieden zijn de aanvallen geautomatiseerd. Je hoort regelmatig van ondernemers dat ze zijn getroffen door ransomware of phishing mails. Dat zijn geen gerichte aanvallen zoals waar grote ondernemingen mee te maken kunnen krijgen, maar veelal programma’s die op het web zoeken naar lekken in jouw beveiliging. Zie het als iemand die even kijkt of je voordeur op slot zit, en dan naar de vol gende deur gaat. Consequent de voordeur op slot doen is de oplossing. Veel ellende is dus al eenvoudig te voorkomen als je je beveiliging maar op orde brengt en ook houdt.”

‘Zonder discipline is er schijnveiligheid’

Dan de risico’s van binnenuit, welke onderscheid je? Smit: “De ISO-standaard met betrekking tot beveiliging kent drie aandachtsgebieden: beschikbaarheid, integriteit en vertrouwelijkheid. De eerste, beschikbaarheid, gaat over de vraag: kan ik bij mijn data komen, heb ik nog toegang? Denk aan uitval van systemen, brand of ook ransomware. De tweede, integriteit, gaat over de vraag hoe je voorkomt dat de data niet corrupt raken, of ten onrechte worden aangepast. Dat heeft te maken met de software, maar ook met de rechten die je collega’s toekent om de data te benaderen of te bewerken. En dan rest vertrouwelijkheid, zijn mijn data veilig en liggen ze niet op straat? Wie is bevoegd ze in te zien?

Dat risico zit een klein hoekje, bijvoorbeeld een gerichte mailing aan klanten over de aanpak van hypotheken die onder water staan die wordt verzonden via de cc en niet via de bcc. Dat mag niet gebeuren, je geeft niet alleen prijs wie je klanten zijn, maar lekt ook informatie over de financiële situatie van deze klanten. Daar kun je een hoop gedoe mee krijgen!”

Fysiek gescheiden

De drie hoofdgroepen zijn duidelijk, beschikbaarheid, integriteit en vertrouwelijkheid. Wat kunnen we volgens Smit doen om ons op deze vlakken te beveiligen? “Qua beschikbaarheid: zorg dat je goede back-ups hebt, het liefst op fysiek gescheiden locaties, zodat je altijd bij je data kunt. Bijvoorbeeld via een standaard cloudoplossing. Dan is het vaak veel beter geregeld dan je het zelf zou kunnen organiseren.

“Bij integriteit gaat het erom dat je data kloppen en niet ten onrechte vervuild raken door er verkeerde gegevens aan toe te voegen of onterechte mutaties. Beschrijf heel goed wie welke rechten heeft om ze in te zien, te muteren, verplaatsen en welke controles daarop plaatsvinden. De onervaren stagiair kan zomaar twee bestanden verkeerd koppelen. Ook hier zijn recente back-ups van belang voor als het toch misgaat. Dan zijn de juiste gegevens terug te zetten.

“Ook op het gebied van vertrouwelijkheid is er veel zelf te doen. Gebruik voor alle systemen en programma’s verschillende wachtwoorden, laat de wachtwoorden niet rondslingeren, schrijf ze niet allemaal in een notitieboekje dat in je lade ligt, plak ze niet op de computer. Dat is hetzelfde als een touwtje uit je voordeur.

Ook kun je instellen dat je meerdere malen per dag moet inloggen of dat je computer automatisch blokkeert als je een bepaalde tijd niet actief bent. Beveilig USB-sticks en laptops goed met wachtwoorden. Je kunt ook per medewerker de toegangsrechten tot systemen vastleggen. Allemaal zaken om te zorgen dat je data vertrouwelijk blijven. Zorg er ook voor dat je systemen altijd up-to-date zijn, de besturingssystemen van je computers maar ook van de zakelijke mobiele telefoons, zo ben je verzekerd van de laatste beveiligingen. Dus klik die update waarschuwing niet weg en stel automatisch updaten in waar mogelijk. Maak gebruik van tweestapsverificatie. Het zijn allemaal kleine stappen die samen veel opleveren. Ontwikkel hier goed beleid voor en zorg dat het wordt nageleefd, het draait immers om de discipline dat beleid ook echt uit te voeren, anders is het een papieren tijger. Spreek je collega’s daar ook op aan en leg ze het belang ervan uit. Of haal gewoon eens een grap uit bij een collega die zijn scherm niet vergrendeld heeft, dat blijft vaak beter hangen!”

De ontwikkelingen gaan snel en je kunt bijna onmogelijk alle relevante informatie bijhouden. Het is volgens Smit daarom raadzaam om als organisatie tijd te reserveren om hiermee bezig te zijn. Smit: “De vraag is natuurlijk, wil je als adviseur met je klanten of met je systemen bezig zijn? Ik denk het eerste, maar het laatste is ook van groot belang. Heb je er zelf te weinig tijd of kennis voor kijk dan naar een partij die je kan ontzorgen. Houd iedereen scherp en zorg dat de aandacht niet verslapt. Wees alert en gedisciplineerd. Dat voorkomt veel ellende.”

Reactie toevoegen

 
Meer over
Jeroen Oversteegen brengt een ode aan de adviseur

Jeroen Oversteegen brengt een ode aan de adviseur

"Aan de start van weer een nieuw jaar breek ik graag een lans voor het onafhankelijk intermediair. Energiek en volhardend zetten deze mannen en vrouwen zich in voor...

Onderzoek Nationale Hypotheekbond: ING beste geldverstrekker

Onderzoek Nationale Hypotheekbond: ING beste geldverstrekker

ING is door financieel adviseurs uitgeroepen tot de beste Nederlandse geldverstrekker van 2021, zo blijkt uit het jaarlijkse onderzoek van de Nationale Hypotheekbond...

Laatste oproep: doe mee met het onderzoek Actief Klantbeheer

Laatste oproep: doe mee met het onderzoek Actief Klantbeheer

Doet u mee met het onafhankelijk onderzoek naar Actief Klantbeheer onder adviseurs? Het kost u slechts een paar minuten van uw tijd en u bewijst de financiële...

Verbond gaat tanden zetten in klimaat, cyber en letselschade

Verbond gaat tanden zetten in klimaat, cyber en letselschade

“We ambiëren nog nadrukkelijker een actieve maatschappelijke voortrekkersrol en zullen onze tanden zetten in de thema’s klimaat, cyberveiligheid...

Tanden zetten in thema’s klimaat, cyber en letselschade

Tanden zetten in thema’s klimaat, cyber en letselschade

In een Tour d’Horizon met Verbondsdirecteur Richard Weurding bespreekt VVP in VVP 6 de belangrijkste uitdagingen voor de financiële sector. Wat er nu...

Branche-initiatief Actief Klantbeheer positief over AFM-principes

Branche-initiatief Actief Klantbeheer positief over AFM-principes

De negen partijen verenigd in het branche-initiatief Actief Klantbeheer zijn positief over de AFM-principesdoorlopende ondersteuning van klanten en zien de principes...

Perfect Day voorziet meer cyberaanvallen via ketenpartners

Perfect Day voorziet meer cyberaanvallen via ketenpartners

Phishing e-mails worden nog lastiger te onderscheiden en meer cyberaanvallen via ketenpartners. Dat zijn enkele van de trends die Perfect Day ziet op cybervlak....

Waar blijft de Bitcoin-polis?!

Waar blijft de Bitcoin-polis?!

(Uit Katern Cyber in VVP 5-2021) Cryptogeld rukt op. Maar waar blijft de Bitcoin-polis?! Of is zo’n verzekering misschien helemaal niet zo’n goed idee?...

Adviesalerts! Cyber

Adviesalerts! Cyber

(Uit Katern Cyber in VVP 5-2021) Welke ontwikkelingen zijn er bij cyberrisicomanagement en cyberverzekering? VVP praat u bij middels een aantal adviesalerts! Het...

Serie Actief Klantbeheer, deel 11: mensen helpen, juist ook in slechte tijden

Serie Actief Klantbeheer, deel 11: mensen helpen, juist ook in slechte tijden

Er komen tal van wijzigingen af op huiseigenaren die gevolgen kunnen hebben voor de betaalbaarheid van de hypotheek. "Het is dan ook van belang om klanten op tijd...