Hightechbedrijf ASML is een van de aanjagers van de CISO Circle of Trust, een samenwerkingsverband van tien Nederlandse multinationals, opgezet vanuit de behoefte om meer kennis te vergaren en best practices te delen rondom cyberveiligheid. Met Aernout Reijmer, Chief Information Security Officer (CISO) bij ASML, bespreken we het belang en de manier van samenwerken binnen dit initiatief. ‘’Randvoorwaarde is wel dat er sprake is van wederzijds vertrouwen en dat er wordt samengewerkt zonder commercieel belang. Dankzij de Circle of Trust konden we bij een incident zoals Log4J op tijd schakelen en grote schade voorkomen.’’
Reijmer is sinds 2015 binnen ASML verantwoordelijk voor de veiligheid in de breedste zin van het woord. Hij heeft het budget specifiek gericht op cybersecurity in 7 jaar tijd zien vertienvoudigen. Dit veranderde zijn rol als CISO aanzienlijk: van inhoudelijk naar steeds meer strategisch en orkestrerend. Vanuit deze rol zag Reijmer het belang van samenwerken om het gehele ecosysteem van ASML veilig te houden. Niet alleen intern, maar ook extern: met relevante overheidsinstanties, zoals het NCSC, maar ook met private partijen in binnen- en buitenland.
Daarom richtte hij samen met de CISO’s van negen Nederlandse multinationals en instanties hij de CISO Circle of Trust op. Deze coalitie moet leiden tot het verhogen van de cyberweerbaarheid van de losse organisaties en van het gehele netwerk, juist doordat ze gevoelige informatie delen: ‘’We zijn onderdeel van de CISO Circle of Trust, maar ook van een Circle of Trust binnen Brainport Eindhoven en een wereldwijd equivalent. Ik moedig andere organisaties aan om ook in dit soort netwerken te stappen. Op die manier brengen we Metcalfe’s Law op onze eigen manier en in ons voordeel in praktijk. Die wet houdt in dat de waarde van een netwerk kwadratisch toeneemt met elke extra schakel die wordt toegevoegd. We bouwen dus een netwerk van netwerken, waardoor de waarde (oftewel de cyberweerbaarheid) van het koepelnetwerk vele malen groter is dan de cyberweerbaarheid van de losse organisaties die zijn aangesloten. Cybercriminelen hebben dat al eerder en heel goed begrepen via hun activiteiten op het darkweb. Zo worden bijvoorbeeld gevoelige data en informatie over kwetsbare infrastructuren gedeeld via een netwerk vergelijkbaar met marktplaats. Vraag en aanbod maken daar de dienst uit, zonder dat de gebruikers last hebben van wet- en regelgeving.’’
CISO maakt ruimte voor de experts
“Gevoelige informatie delen werkt uiteindelijk ook in je eigen voordeel, want het motiveert anderen in het netwerk om jouw voorbeeld te volgen. Onze partners weten dat en een verplichting tot delen is niet nodig. Wel is het voor hen belangrijk dat de herkomst van de informatie niet af te leiden is uit de data. Maar dat is geen probleem: ook geanonimiseerde data is van toegevoegde waarde voor de cyberveiligheid.’’
‘’Bij ASML geven we de ruimte aan de zogenaamde subject matter experts. Dit zijn de experts die veel meer dan ik gespecialiseerd zijn en daardoor beter bepaalde afwegingen kunnen maken. Deze werkwijze zie ik ook bij de andere organisaties. Zo voorkomen we dat de CISO een bottleneck vormt waardoor er vertraging in het proces ontstaat. Het vertrouwen in de experts betaalt zich uit in efficiënt gemaakte en kwalitatieve voorstellen, waar wij als CISO’s alleen nog maar “een go” op hoeven te geven. Zowel de details als het grotere plaatje klopt dan en sluiten goed op elkaar aan.’’
Een concreet voorbeeld zijn de experts op gebied van Cyber Defense en Supply Chain Security: zij participeren in de diverse werkgroepen waarin experts van de andere CISO Circle of Trust bedrijven en NCSC deelnemen. In deze vertrouwelijke omgeving wordt proactief praktische kennis en ervaring met elkaar en met de overheid gedeeld.
Op tijd opgeschaald dankzij Circle of Trust
Een situatie waar de Circle of Trust zijn waarde direct bewees, was de Log4j-crisis die in december 2021 losbarstte. Doordat er onderling snel informatie werd gedeeld over de heftigheid en de potentiële risico’s van de Log4j-kwetsbaarheid, was het voor alle CISO’s duidelijk dat er opgeschaald moest worden. ‘’Dankzij de constante peer reviews die we met elkaar deelden, beseften we direct dat de opschaling terecht was en dat we onze mensen dus niet voor niks in de kerstperiode in de actiestand zetten. En het is ook belangrijk voor bedrijven om goed geïnformeerd zulke keuzes te maken. Je wil niet achteraf in je hemd staan omdat je onnodig alle alarmbellen hebt laten afgaan.’’
Ondanks corona en de drukke agenda’s spraken de CISO’s en experts van verschillende organisaties elkaar regelmatig. ‘’Hierdoor kennen en begrijpen we elkaars business en uitdagingen. We spraken al snel de wens uit om Cyber Threat Intel te delen met elkaar en het NCSC. Dat bleek makkelijker gezegd dan gedaan. Om een OKTT status (zie kader) te verkrijgen was het nodig dat de CISO Circle of Trust een stichting werd: een interessante uitdaging voor 10 multinationals, om tot een gezamenlijk Legal Framework te komen. Maar het is wel gelukt. Ondertussen zijn we bezig met een concrete OKTT-aanvraag, we hopen een effective Cyber Threat Intel sharing begin januari 2023 operationeel te hebben.’’
Tijdens een crisis, zoals Log4j, krijgen bedrijven uit hun eigen bronnen veel signalen en meldingen dat er iets aan de hand was. Deze informatie werd onderling en met NCSC gedeeld en geverifieerd, waarna snel maatregelen werden genomen. ‘’Helaas constateerden we tegelijkertijd dat het MKB veelal niet zo snel en effectief bediend wordt, waardoor MKB-bedrijven relatief vaker slachtoffer zijn. De integratie van het NCSC en DTC, die ook samenwerken in het Landelijk Dekkend Stelsel (LDS) heeft onder andere tot doel dit probleem op te lossen. Waar mogelijk helpen we bij de realisatie hiervan.’’
Intensieve samenwerking met NCSC
Volgens Reijmer speelde het NCSC een belangrijke rol bij de oprichting van de CISO Circle of Trust. Hierbij gingen zowel het NCSC als de betrokken organisaties resultaatgericht te werk. De tien betrokken bedrijven waren volwassen, groot en hadden ervaren business- en securitymanagers: ‘’Het was een bewuste keuze om te werken met een beperkt aantal organisaties. Hierdoor voorkom je dat je verstrikt raakt in lange discussie over de basisafspraken: de wet van de verminderende toevoegende waarde.’’
Er waren meer bedrijven en organisaties die zich graag wilden aansluiten bij CISO Circle of Trust. Maar vanwege de genoemde slagvaardigheid hebben we besloten om een eerste basis te leggen met een beperkte club van tien: ‘’Nu de fundamenten liggen voor een goede onderlinge werkwijze én we een fijne relatie met het NCSC hebben, zijn we klaar om in 2023 flink uit te breiden met enkele tientallen Nederlandse organisaties.’’ Reijmer benadrukt dat ook in deze fase de rol van de CISO’s vooral procesmatig is en dat de uiteindelijke invulling ligt bij de subject matter experts.
Het traject heeft uiteindelijk toch nog bijna twee jaar geduurd. Dit had alles te maken met de wettelijke beperkingen waar het NCSC mee te maken heeft, waardoor ze beperkt informatie mogen uit wisselen met het organisaties. De organisaties hebben om die reden in 2021 een brief gestuurd naar het ministerie van Justitie & Veiligheid en het ministerie van Economische Zaken & Klimaat. Die ging over het belang van deze informatie-uitwisseling, maar was niet bedoeld als wijzende vinger: “We wilden de nadruk leggen op een constructieve samenwerking, maar ze tegelijkertijd wel echt overtuigen. Belangrijk voor het succes van de Circle of Trust dat dit gelukt is.’’
Vanuit het bedrijfsleven wordt de overheid gezien als de ideale verbinder en facilitator. In dit geval is het NCSC volgens Reijmer de perfecte partij om groepen bij elkaar te brengen en mee te denken over hoe het proces en de samenwerking zo goed mogelijk kan worden ingericht. Wat dat betreft lijkt zijn rol als CISO op die van de faciliterende overheid: ‘’Het is voor mij net als voor het NCSC, belangrijk om het grote plaatje te zien. De invulling daarvan ligt bij de experts.’’
Het ultieme vergezicht: ‘’Een netwerk van verschillende Circles of Trust onder de bezielende leiding van het NCSC. Een dergelijk orgaan moet zo vanzelfsprekend worden als de politie of de brandweer. Want een ding is zeker: het belang van cyberweerbaarheid wordt steeds groter en samenwerking is essentieel om dit te bereiken.’’ Daarom benadrukt Reijmer nog eens het belang van het LDS: ‘’We dragen hier graag ons steentje aan bij. Betere samenwerking met diverse bedrijven en regionale DTC doelgroeporganisaties verspreid over het hele land vergroten de cyberweerbaarheid van Nederland. Wat ons betreft kan dat niet snel genoeg gaan.’’