Tekst BKB
Foto BKB

In een Information Sharing and Analysis Centre – kortweg ISAC – komen organisaties en bedrijven uit dezelfde sector samen om op een vertrouwelijke manier gevoelige informatie uit te wisselen over cybersecurity. Zo kan de sector van elkaar leren en gezamenlijk optrekken bij dreigingen die de hele sector raken. Tevens is een ISAC een publiek-privaat samenwerkingsverband waar onder andere ook het NCSC bij betrokken is. Oscar Koeroo en Mauriche Kroos, die respectievelijk lid zijn van de telecom ISAC en de energie ISAC, spreken over hun ervaringen in een ISAC en welke stappen de cybersecurity-sector de komende jaren moet maken: “we moeten cybersecurity meer gaan integreren in alle fasen van een bedrijf of proces.”

Mauriche Kroos is Groep Information Security & Data Protection Officer (GISO/DPO) bij Enexis Groep en is tevens voorzitter van de energie ISAC.
Oscar Koeroo is beleidsmaker en adviseur op de cybersecurity-afdeling van KPN, ook is hij voorzitter van de telecom ISAC.

In een ISAC komen verschillende partijen uit de sector samen om informatie te delen, kun je iets vertellen over de dynamiek tijdens een ISAC-meeting?

Oscar Koeroo: De telecom ISAC is een relatief kleine ISAC. Wij zitten met vier partijen uit de sector om tafel en daar sluit ook nog een aantal mensen vanuit het NCSC bij aan. In de telecomsector hebben wij te maken met anti-concurrentie wet- en regelgeving, daar moeten we ook rekening mee houden in de ISAC. We mogen security informatie met elkaar delen, dat is prima. Maar methoden en technieken delen over hoe je bijvoorbeeld dreiging bestrijdt, dat is in strijd met deze wet- en regelgeving. Oftewel, dreiging en informatie delen: ja. Maar hoe los je de dreiging op en welke faciliteiten en capaciteiten heb je daarvoor nodig? Nee.

Mauriche Kroos: In de energie-ISAC heerst een hele andere dynamiek, leuk om te horen dat dat per ISAC verschilt. Die dynamiek manifesteert zich meer op het snijvlak van informatietechnologie (IT) en operationele technologie (OT). Dat zijn echt twee verschillende bloedgroepen. De IT’ers zijn vaak de mensen met een grote mond, terwijl de OT’ers meer bescheiden lijken over te komen. Verder bestaan er verschillende manieren waarop een ISAC ingevuld wordt. De energie-ISAC is ook vrij groot met meer dan 25 deelnemers. Dat vereist een behoorlijk effort van de voorzitter en vice-voorzitter in de begeleiding en tijdsmanagement.

‘Als je als security officer niet op een goede manier met vertrouwelijke informatie kunt omgaan dan kun je het vergeten in deze sector’

In de energie-ISAC komen wij ongeveer zes keer per jaar bijeen. Soms ligt dat aantal hoger als we met een andere sector in een gecombineerde ISAC samenkomen. Tijdens een vergadering is er altijd een gestructureerde agenda bestaande uit tenminste één inhoudelijk onderdeel over een specifiek thema met bijvoorbeeld een externe spreker. Iedere vergadering sluiten we af met een rondje rood. Dat is in feite waar je incidenten met elkaar deelt. Dat doe je op basis van vooraf gedefinieerde regels zoals bijvoorbeeld het Traffic Light Protocol, een kleurcodering waarmee wordt aangegeven in hoeverre gevoelige informatie gedeeld mag worden. Incidenten mag je niet delen buiten de ISAC. Stel ik hoor dat partij x uit de ISAC een bepaalde aanval heeft gehad op een product dat wij bij Enexis ook gebruiken, dan mag ik er binnen Enexis wat mee doen, maar ik mag verder niet delen waar mijn informatie vandaan komt. Mocht ik toch nog behoefte hebben aan meer dan kan ik alleen zelf bilateraal contact opnemen met dat bedrijf. In de ISAC is vertrouwen key en daarmee ook een randvoorwaarde. Er worden ook geen notulen of aantekeningen gemaakt bij het rondje rood. Dat mag ook niet, dan lig je eruit.

Oscar Koeroo: Ik zie veel parallellen met de telecom ISAC. Een gestructureerde agenda en meerdere keren per jaar samenkomen. Wat wij vaker willen doen is experts of andere sectoren uitnodigen om daarvan te leren. Het rondje rood vind ik altijd het leukst. Je krijgt een relatie met de anderen in de ISAC, omdat je het in een vertrouwelijke sfeer met elkaar over incidenten hebt die jou net zo goed kunnen raken. Die kennis moet je op een slimme manier tot je nemen en gebruiken in je eigen organisatie. Soms is dat lastig omdat de informatie vertrouwelijk is. Wat Mauriche zegt klopt: vertrouwen is key. Je moet elkaar echt goed kennen en ’s nachts kunnen bellen. Als ik een bericht krijg van een collega op een gek tijdstip dan moet ik erop kunnen vertrouwen dat het niet voor niks is. Als je als security officer niet op een goede manier met vertrouwelijke informatie kunt omgaan dan kun je het vergeten in deze sector.

Welke rol heeft het NCSC in de ISAC?

Mauriche Kroos: In drie jaar tijd hebben wij wat wisselingen ervaren en vier verschillende aanspreekpunten vanuit het NCSC in de ISAC gehad. Telkens zijn dat inhoudelijk sterke mensen gebleken, maar je moet wel elke keer een nieuwe relatie met elkaar opbouwen en dat kost tijd. De medewerkers van het NCSC zijn ook heel sterk aan de netwerk kant, een soort matchmakers. Dat vind ik een welkome aanvulling op de techneuten die vanuit de energiesector in de ISAC zitten. Het NCSC doet echt haar best om de ISAC te faciliteren, door bijvoorbeeld hoogwaardige dreigingsinformatie specifiek te maken voor de sector. Tegelijkertijd merken we dat ze bij het NCSC erg druk zijn. Ze groeien misschien harder dan ze aankunnen, dat zien we terug in de hoeveelheid informatie die we krijgen. Twee, drie jaar geleden was dat, naar mijn gevoel, meer.

Een windmolenpark aan Zee in Flevoland grens aan vlakke velden met onder andere sierteelt.
Foto genomen door Sander Coppens ©

Oscar Koeroo: Ook wij hebben met een wisseling te maken gehad van mensen vanuit het NCSC. Er is altijd iemand die technisch goed onderlegd is en weet wat er speelt. Maar wat Mauriche zegt, als het contact wisselt, dan moet je wel opnieuw een relatie opbouwen. De dynamiek verandert ook. Je moet uitzoeken wat je kunt verwachten van deze persoon, kun je hem of haar bijvoorbeeld ook ’s nachts bellen? Of in hoeverre kan ik deze persoon vragen om iets te regelen aan de NCSC kant, bijvoorbeeld om iets te veranderen aan de processen?

Helpt het om incidenten vaker met de buitenwereld te delen?

Oscar Koeroo: Kijk, when the cats are out of the bag, dan moet je er niet moeilijk over doen. Maar het aantal aanvalspogingen in de telecomsector is significant, zeker als je dat vergelijkt met kleinere organisaties in andere sectoren. Als grote organisatie ben je nu eenmaal vaker een doelwit. Ik denk dat als we dat allemaal zouden delen juist het idee ontstaat dat het heel slecht gaat, terwijl kleine incidenten vaak snel opgelost zijn. Het komt bijvoorbeeld best wel eens voor dat iemand malware op zijn of haar laptop heeft, dat is bij ons een klein incident.

Mauriche Kroos: Ik sluit me aan bij Oscar. Wij hebben ook veel van dat soort kleine incidenten. Moet je die allemaal gaan publiceren? Wij hebben ook een meldplicht richting de toezichthouders, alle netbeheerders hebben dat, de energieproducenten trouwens (nu) nog niet, maar zeer binnenkort waarschijnlijk wel.

Oscar Koeroo: Het moet wel zin hebben om het publiek te maken. Ik ben zeker voor meer delen, maar dat moet dan wel bijdragen aan het grotere geheel. Vanuit de praktijk, met de juiste maat, de juiste insteek en de juiste motivatie. Ik vind het voorbeeld van de gemeente Lochem en de veiligheidsregio Noord- en Oost-Gelderland bijvoorbeeld goed. Die deelden hun ervaring met een ransomware aanval. Dat is een goede casus om van te leren.

Hoe zorgen jullie voor awareness in je organisatie?

Oscar Koeroo: Bij ons is het belangrijkste dat er awareness is op boardroomniveau. Onze monteurs krijgen werk via een app. Zij hebben niet continue te maken met mail, dus we moeten zorgen dat die app goed beveiligd is. Ik heb geleerd dat je ook de managers en de CEO’s moet meenemen in cybersecurity-trainingen. Dat helpt het beste om ook die mensen bewust te maken van het belang. Je moet niet bang zijn dat je ze daarmee lastigvalt. Ook zij, juist zij, moeten zich bewust zijn van het belang van cybersecurity.

Mauriche Kroos: Bij ons is dat anders, daar spelen de risico’s zowel laag als hoog in de boom. Op C-level hebben wij bijvoorbeeld te maken met spearphishing. En onze monteurs werken wel met e-mail. Wij proberen het daarom zo breed mogelijk aan te pakken in de organisatie. Het helpt ons om de cybersecurity boodschap te verpakken in een verhaal dat gericht is op hun specifieke werksituatie.

‘Je kunt dan 112 niet bellen en dat is erg, want dan komen er mensenlevens in gevaar’

Oscar Koeroo: Je merkt ook wel dat het lastig is om mensen echt van gedrag te laten veranderen. Een van de belangrijkste doelen van een phishing campaign is bij ons dan ook niet of iemand wel of niet op een link klikt in een mail, maar of ze het contactadres weten te vinden waar ze een incident moeten melden. Zodat mensen de handelingen weten die ze moeten doen en wij het probleem bij de wortel aan kunnen pakken.

Waar liggen de belangrijkste uitdagingen voor jullie?

Oscar Koeroo: Nou, waar niet? Als maatschappij hebben wij ervoor gekozen om enorm afhankelijk te zijn van digitale middelen. En iedereen gaat er vanuit dat het altijd blijft werken. Aan de ene kant is het fijn dat we zoveel vertrouwen krijgen, maar aan de andere kant is het een enorme verantwoordelijkheid. Want als de lichtjes uitgaan, oftewel er is iets aan de hand in de energiesector, dan gaan na een tijdje onze batterijen ook uit. Als dat langer dan twee of drie uur duurt dan hebben wij wel een probleem. Een storing bij de telecomdiensten betekent bijvoorbeeld dat hulpdiensten niet meer bereikt kunnen worden. Je kunt dan 112 niet bellen en dat is erg, want dan komen er mensenlevens in gevaar. Als er een incident in de energie- of telecomsector plaatsvindt, dan zijn de gevolgen vrij direct voor de maatschappij. En daarnaast wordt de digitale infrastructuur steeds groter. Er zullen altijd mensen zijn met slechte bedoelingen die je onder druk zetten. Door de digitalisering zal die druk alleen maar toenemen.

Welke stappen zou de sector en het NCSC wat jullie betreft moeten nemen?

Mauriche Kroos: Wat ik op dit moment mis is vroegtijdige actionable informatie die niet pas achteraf komt. Vaak als we een melding krijgen van het NCSC is de melding ook al publiek te vinden, of middels andere (inter)nationale samenwerkingsverbanden of threat intelligence te verkrijgen. Op Nu.nl krijg je soms meer informatie dan het NCSC je kan geven. Het zou fijn zijn als ze sneller informatie met ons kunnen delen, zodat we ook sneller kunnen reageren. Dat is goed voor de weerbaarheid van Nederland.

Oscar Koeroo: Wij hebben inderdaad een puzzel te leggen met elkaar. We moeten op een slimme manier informatie met elkaar kunnen uitwisselen. Zodat we nog beter begrijpen welke dreigingen er op ons af komen. Ik heb wel een bredere visie hierop. We moeten cybersecurity meer gaan integreren in alle fasen van een bedrijf of proces. Al vanaf het begin bij een idee, tot de uitwerking, tot de inkoopafdeling en het runnen van het idee. Die hele lifecycle, daar moet je rekening gaan houden met cybersecurity. Als dat bij elkaar kan komen, dan kunnen we de infrastructuur veel weerbaarder maken. We moeten daar inderdaad ook meer informatie van buitenaf bij betrekken, niet alleen over dreiging. Maar over de wereld om ons heen, hoe ziet die er nu uit? En hoe ziet die wereld er over twee jaar uit? Daar heb ik dan wel meer input voor nodig van onder andere de overheid en andere instanties.