Digitale veiligheid. Iedere gemeente moet ermee aan de slag. Maar het staat nog niet altijd hoog op de agenda. Nalatigheid brengt echter kostbare risico’s met zich mee en kan er voor zorgen dat je als gemeente slachtoffer wordt van ransomware of het lekken van persoonsgegevens. Om gemeenten te helpen zich hiertegen te bewapenen zoekt Centric de samenwerking op met betrouwbare partners.
Waarom is digitale veiligheid nog niet bij alle gemeenten een prioriteit? Derek Hillenaar en Jan Willem Nooter, respectievelijk security consultant en business development manager bij Centric, vertellen in de sessie ‘Bewustwording van digitale veiligheid’ hoe informatiebeveiliging kampt met een imagoprobleem. “Het imago is stoffig en wordt vaak als lastig gezien”, legt Hillenaar uit. “Moeten we weer een wachtwoord aanpassen? De risico’s zijn niet integraal in beeld, en ook de basis is niet op orde voor informatiebeveiliging. Onze prioriteiten zijn dan ook om cyber awareness op de agenda te krijgen bij gemeenten en om de menselijke schakel te versterken. Spreek elkaar erop aan.”
Omdat Centric zelf geen passend cybersecurityportfolio heeft voor de lokale overheidsmarkt heeft ze de samenwerking opgezocht met een aantal betrouwbare partners. “We hebben gekeken of we het zelf moesten ontwikkelen? Dat duurt lang en is duur. Daarom zochten we naar partners met een goede reputatie”, vertelt Nooter.
Cyber Awareness
Om Cyber Awareness te bevorderen werkt Centric samen met ARDA. Dit bedrijf heeft een uniek programma ontwikkeld om mensen bewust te maken van de gevaren van cybercrime en van hun eigen gedrag. Daarbij zet ze ‘storytelling’ en ‘gamification’ in, vertelt Henri Koppen, CTO van ARDA. “We willen dat mensen meedoen zonder ze keihard te verplichten. Daarom bieden we ze bijvoorbeeld aan om hun privé mobiel te beschermen, vanuit de filosofie dat als mensen zelf hun telefoon beter beschermen ze dat gedrag ook meenemen naar het werk.” De grootste uitdaging is om ervoor te zorgen dat iedereen meedoet, aldus Koppen. “We proberen alle weerstand weg te nemen. We doen het bijvoorbeeld elke week een kwartiertje of half uurtje. Uiteindelijk moet het natuurlijk wel worden verplicht. Als je niet wil meedoen met goede beveiliging ben je immers een risico voor de hele organisatie.”
In het programma kunnen medewerkers badges verdienen in de verschillende modules door het juiste gedrag te vertonen. Dat kan bijvoorbeeld gaan om regelmatig je wachtwoord vernieuwen of een 2-factor authenticatie instellen. “Door de badges zie je dat mensen heel competitief worden”, vertelt Koppen. Het programma bestaat uit verschillende modules, waar digitaal veiligheidsbewustzijn centraal staat. Van de Woo (Wet open overheid), Baseline Informatiebeveiliging Overheid (BIO) tot de NIS2-richtlijn.
Een van de succesfactoren is een Netflix-achtige serie, genaamd Steinitz, waarin medewerkers worden meegenomen in een spannend verhaal, waarin ze vragen moeten beantwoorden over het juiste gedrag. Wat moet je bijvoorbeeld doen als je wordt gehackt en ransomware wordt gevraagd? Ook werkt ARDA met verschillende e-learning modules op basis van film. Die laten echtgebeurde cases zien, zoals de hack in Hof van Twente in 2020.
Incident response
Maar wat nu als het te laat is, en je hebt te maken met een hack? Met betrekking tot Managed Detection & Response (MDR) en Forensics heeft Centric daarom de samenwerking gezocht met NFIR (Nederlandse IT Forensics Incident Response). “NFIR beschikt over een passend dienstenportfolio dat voldoet aan de gestelde eisen, en heeft een uitstekende reputatie”, licht Nooter toe. “Ook is er sprake van een cultural fit tussen Centric en NFIR. Door deze samenwerking aan te gaan kan Centric haar klanten een volledig dienstenpakket aanbieden op het gebied van Security Monitoring, Forensics en Incident Response, inclusief pentesten en consultancy diensten.
NFIR bestaat nu vijf jaar en werkt met 60 experts op het gebied van cybersecurity. “Het is een utopie dat je als overheidsorganisatie niet gehackt kan worden”, vertelt Dennis Slier, een van die experts. “We willen organisaties ondersteunen om zo weerbaar mogelijk te zijn tegen de gevaren en risico’s van de digitale wereld. Ook willen we de impact van een Security Incident verkleinen.” Naast goede system frameworks biedt NFIR preventieve diensten, zoals pentesten, social engineering, security monitoring, en reactieve diensten zoals incident response, digitaal forensisch onderzoek en retainer contracten. Met een retainer contract verzekert een gemeente zich ervan dat NFIR bij een cyberincident binnen drie uur op de stoep staat om het op te lossen, of binnen een half uur op afstand. Daarnaast helpt NFIR bij onderhandelingen met cybercriminelen en met digitaal forensisch onderzoek.
Dankzij de samenwerking met deze betrouwbare partners is Centric ook op het gebied van security een relevante gesprekspartner voor lokale overheden, besluit Nooter.