Streefland, sinds 2008 actief in de security-sector, is als ‘customer CISO’ van Solvinity verantwoordelijk voor de veiligheid van de klant-omgevingen. Op de vraag waarom er een aparte CISO voor klanten nodig is, heeft hij een duidelijk antwoord. “We hebben een aantal klanten – denk aan enkele ministeries (met onder andere de DigiD-applicatie) en Translink (OV Chipkaart) – die behoorlijk belangrijk zijn voor de BV Nederland. Hun klantomgevingen moeten dus absoluut veilig zijn. Mijn rol is het inrichten en beheren van deze klantomgevingen op security-gebied, want dat moet gewoon goed geregeld zijn.”
Maar, benadrukt Streefland: security is iets dat elke organisatie aangaat, niet alleen grote partijen. En dat wordt helaas nog lang niet altijd zo gezien. “De cybersecurity-sector is een hele interessante maar soms ook frustrerende sector. Problemen die ik tien jaar geleden al aankaartte, worden nog altijd op dezelfde manier niet opgelost.”
Te veel bedrijven hebben zelfs hun basis hygiëne nog niet op orde, of gaan pas aan de slag als het spreekwoordelijk kalf verdronken is, zo merkt Streefland. Wel is het bemoedigend dat er een groeiende groep organisaties – zoals ministeries en financiële organisaties – die cloud-omgevingen bij ons laten draaien – die de urgentie wel ziet. Zij nemen maatregelen, investeren serieus in cybersecurity en -weerbaarheid.
“Het helpt dat NIS 2 er aan komt. Het is geen oplossing natuurlijk, maar het geeft wel extra stimulans, het laat je nadenken over wat er nodig is. Alleen: je moet natuurlijk niet cyberveilig willen zijn om compliant te zijn, bang voor boetes van toezichthouder RDI als het fout gaat. Je moet cyberveilig willen zijn omdat dit beter is voor je organisatie. Dan komt compliance vanzelf wel.”
NIS2 moet dus geen stok zijn, maar een wortel. Bovendien geeft het houvast. Streefland adviseert organisaties om de 15 punten uit artikel 21 van de richtlijn als kapstok te gebruiken: ga die stap voor stap door om te zien wat je geregeld hebt en wat nog beter kan. “De Belgen lopen wat dat betreft voor op ons. Zij hebben NIS2 al omgezet in Cyber Fundamentals: een ladder met 4 treden waar je aan moet voldoen, van basis via belangrijk tot essentieel. Als je daaraan voldoet, weet je waar je minimaal staat met je cyberweerbaarheid. Die kant moeten we ook echt uit met Nederland.”
Toch begrijpt Streefland wel dat veel organisaties nog altijd worstelen met een goede cybersecurity. De wereld is in sneltempo aan het digitaliseren, het vormt een fundament onder steeds meer processen. Die complexiteit maakt het lastig om te bepalen waar je het eerst mee bezig moet gaan, waar je in moet investeren. En soms hebben organisaties gewoon blinde vlekken.
Een goed voorbeeld is een gebied zoals OT (operational technology), die steeds meer convergeert met IT. Dat is voor een flink deel nog onontgonnen terrein als het gaat om security. Nog altijd gaat zo’n 90 procent van het security-budget naar IT, schetst Streefland, terwijl OT vaak verantwoordelijk is voor het overgrote deel van de bedrijfsinkomsten. Voorbeelden zijn de maakindustrie en de energiesector.
Veel organisaties hebben volgens Streefland geen idee hoe belangrijk beveiliging is van hun OT-infrastructuur, een vitaal onderdeel van veel kritieke infrastructuren : zoals het energienetwerk, bruggen, stoplichten en fabrieksapparatuur. Een koelingsapparaat dat op afstand wordt aangestuurd, hangt ook in een netwerk. Maar de beveiliging ervan is niet hetzelfde als bijvoorbeeld die van het kantoornetwerk en de devices zoals een laptop die daar in hangen. En dat maakt de complexiteit van security steeds groter.
Streefland: “Ik heb onlangs op CyberSec een presentatie hierover gegeven, met als insteek dat de kritieke infrastructuur van Nederland steeds meer een doelwit is van cybercriminelen en statelijke actoren zoals Rusland. Uiteindelijk maakt het niet uit wie de aanvaller is, je moet gewoon je beveiliging op orde hebben. IT én OT.”
Beveiliging op orde begint met een goed beeld van de apparaten die in je netwerk hangen. “Dit is de basis. En hier gaat het vaak al mis: ik spreek vaak met CIO’s en CISO’s die geen duidelijk of geen volledig beeld hebben van het aanvalsoppervlak van hun organisatie. Ik zal je zeggen: hier maak ik me best zorgen over.”
Het eerste dat Streefland dan ook doet wanneer een organisatie bij Solvinity een cloud-omgeving wil creëren, is helpen om een beeld te krijgen van hoe de organisatie in elkaar zit, wat de assets zijn. Zonder dat inzicht kun je een organisatie namelijk niet beveiligen. “Eerst kijk ik naar wat ik heb, dan naar mijn risico’s, dan naar hoe ik ze een voor een kan oplossen.”
Helaas, zo stelt Streefland, werd toen hij begon vaak nog gekeken naar punt-oplossingen voor problemen en is dat nu niet anders. Of men gaat naar de cloud toe en denkt dat de cloud-aanbieder de security wel zal regelen. Kortom, bedrijven stoeien nog te vaak met een gebrek aan strategie en visie op security: eerst de business, dan pas security. Terwijl het moet zijn: beheers je risico’s, zodat de business ook zijn business kan doen.
“Cybersecurity is net als IT een belangrijk enabler voor business. Als je dat niet secure by design inricht, ben je vooral brandjes aan het blussen en gestrest aan het rondrennen als CISO omdat je niet ‘in control’ bent.”
Gelukkig, herhaalt Streefland, ziet hij steeds meer organisaties die niet pas aan security doen wanneer ze al gehackt zijn, of omdat ze compliant moeten zijn, maar omdat ze herkennen dat het een belangrijke business-enabler is. “Die laatste categorie groeit en dat stemt me hoopvol. Maar het moet echt vanuit de RvB komen, de directie. Want security is een belangrijke investering die je serieus moet nemen en waar je je aan moet committeren voor de lange termijn.”
Zelfs dan kun je nog gehackt worden, weet Streefland. Het is hem zelf als CISO ook overkomen. “Maar ik had een goed verhaal, mijn organisatie wist wat er moest gebeuren. Dat was voor mijn CFO toen reden om niet te kijken naar de schuldvraag, maar naar wat ik nodig had om onze roadmap op security-gebied te versnellen.”
Ook samenwerking is belangrijk, meent Streefland. Je kunt ontzettend veel van elkaar leren. “Hackers werken samen en leren van elkaar. Dat moeten wij ook doen. Als cybersecurity-sector, maar ook als CISO, die verantwoordelijk is voor de IT-security en de fabrieksmanager, die verantwoordelijk is voor het OT-stuk. Stel één iemand aan die overall voor cybersecurity verantwoordelijk is.”
Daarom is het ook positief dat versnippering op security-gebied af en toe minder wordt, stelt Streefland: denk aan de integratie van het DTC voor het MKB en het NCSC voor bedrijven in kritieke sectoren. “Aan de andere kant zie je ook telkens weer nieuwe initiatieven opkomen, waardoor de versnippering toeneemt. Kortom: we hebben nog een lange weg af te leggen. Laten we dat in ieder geval samen doen.”