Het magazine Installatiejournaal publiceerde over de visie en ervaringen van directeur René van der Boon over cybersecurity. Hij sprak hierover tijdens een drietal landelijke bijeenkomsten georganiseerd door de samenwerkende organisaties van Techniek Nederland, KNX Nederland en de Nederlandse branchevereniging voor Gebouw Automatisering.
Cybersecurity is een onderwerp dat een groeiende rol speelt bij het ontwerpen en onderhouden van slimme automatiseringssystemen. Belangrijk om de risico’s goed in te schatten en daar zorgvuldig mee om te gaan.
De inhoud van het complete artikel lees je hieronder:
Cyber security: op zoek naar balans
Hacks kunnen onschuldig zijn, denk daarbij aan Ikea hacks waar mensen op creatieve wijze de Zweedse meubelen een nieuwe functie geven. Als het gaat om cyber security is het meestal minder onschuldig. Ze maken pijnlijk duidelijk dat er veel gaten in de veiligheid van installaties zitten. Om te voorkomen dat het een keer goed mis gaat, is het nodig om aandacht aan cyber security te geven.
Techniek Nederland organiseerde samen met een aantal partners voorlichtingen. Sprekers van verschillende organisaties schenen hun licht op de materie. René van der Boon, directeur van Leertouwer vertelde over zijn ervaringen.
Licht-, kracht en schel-installaties
Van der Boon begint met een hypothetische vraag aan de zaal: ‘Waarom hebben we in Nederland dijken: omdat we bang zijn voor water, of omdat we comfortabel willen leven, met droge voeten?’ Om vervolgens zelf te antwoorden: ‘Ik denk dat laatste. Deze metafoor kun je doortrekken naar cyber security. Zijn we elkaar aan het bezighouden met regeltjes om aan bijvoorbeeld de AVG te voldoen? Of zijn we bewust bezig om risico’s op het gebied van informatiebeveiliging te beperken voor onze eigen bedrijfscontinuïteit?
Leertouwer is systeemintegrator op het gebied van elektrotechniek, klimaatinstallaties en ICT. Het woord systeemintegrator maakt duidelijk wat we doen, namelijk systemen aan elkaar knopen. We maken verbindingen tussen processen, informatie en technologie. Dat alles met elkaar samenhangt, brengt per definitie risico’s met zich mee. In de afgelopen jaren zijn elektrotechniek en werktuigbouwkunde steeds meer in elkaar verweven geraakt, en dat zal in de toekomst alleen maar toenemen. Toen de heer Leertouwer 90 jaar geleden met zijn bedrijf begon, adverteerde hij met de aanleg van ‘Licht-, kracht- en schel-installaties’. Aanleg van lichtpunten en deurbellen was in die tijd een echte verbetering van het comfort. Nu 90 jaar later doen we dat nog steeds, we brengen comfort door techniek.’
Cirkel van invloed
Installaties worden steeds complexer en zijn bijna altijd onderdeel van een netwerk of verbonden met het internet. Dit brengt veiligheidsrisico’s met zich mee die je wilt inschatten en waar je maatregelen op wilt treffen. “Dat kun je als installateur alleen doen op de onderdelen waar je zelf invloed op kunt uitoefenen. Het is dus erg belangrijk om je ook bewust te zijn van onderdelen in de installatie waar je geen invloed op hebt. Vaak leveren die wel veiligheidsrisico’s voor je totale installatie op, dus hierover communiceren we met klanten en adviseren en informeren hen.”
Virtuele collega
‘We zijn allemaal mensen, en dat maakt dit ook zo’n lastig onderwerp’, gaat Van der Boon verder. ‘We kunnen systemen met drie firewalls beveiligen, maar het komt vaak genoeg voor dat een klant of de medewerkers bij een klant zich daar helemaal niet bewust van zijn. Veiligheid heeft alles te maken met gedrag, en gedrag is juist heel moeilijk te veranderen. Om dat intern goed tussen de oren te krijgen introduceerden wij een virtuele collega: Ben Veilig. Hij schrijft blogs over cyber security, geeft tips en houdt in de gaten of pc’s afgesloten zijn. Als iemand een situatie ziet waar we mogelijk een risico lopen op het gebied van informatiebeveiliging, dan kan hij Ben hierover informeren. Achter Bens mailadres zit een 24/7 response team dat direct een risico-inschatting maakt en actie onderneemt als dat nodig is.’ Omdat Ben niet belerend is en met humor werkt, heeft het ons erg geholpen om het gedrag van mensen positief te beïnvloeden.
Security software
Naast het creëren van security awareness onder medewerkers ondersteunt Leertouwer hen ook met speciaal ontwikkelde software die veel risico’s voorkomt. ‘Een onderdeel van deze software is ons monitoring operations centre waarmee we allerlei IP apparatuur zoals bijvoorbeeld routers en firewalls monitoren. Daarnaast levert de software allerlei slimme functies die gericht zijn op het veilig beheren van ‘assets’ -onderdelen in een technische installatie. Denk hierbij aan zaken als configuratiebeheer en wachtwoordbeheer.” licht Van der Boon toe. ‘Daar hebben we een alarmeringsflow achter gehangen die de dienstdoende monteur waarschuwt als er iets aan de hand is, ook ’s nachts. Elk asset heeft een gebruikersnaam en een – gecodeerd opgeslagen – wachtwoord en elke keer als een medewerker een wachtwoord van een klant opvraagt, wordt onder andere geregistreerd waar en hoe laat dat gebeurde. Het systeem genereert wachtwoorden, die hoeven medewerkers dus niet zelf te bedenken of te onthouden. Daarmee zijn ze ook altijd uniek. Ook dat is een kwestie van veiligheid.
Bewustwording creëren
We hebben diverse informatiebeveiligingscertificaten maar toch moet je scherp blijven. Dat geldt ook voor onze medewerkers, dus daarom heb ik twee jaar geleden een phishing-test laten uitvoeren. Het liep tegen kerst en het ging om het uitzoeken van een kerstcadeautje. Alle medewerkers kregen een mail met een link. Door hun systeem inlog op een speciale pagina op de Leertouwer website in te voeren, kwamen ze bij een keuzepagina. Van de 20 testpersonen gaven 19 hun gegevens weg. Eigenlijk was het prachtig: loyale medewerkers die helemaal te goeder trouw zijn en geloven in onze goede bedoelingen. Maar vanuit het oogpunt van cyber security: foute boel. Zowel de website als het mailadres waren fake en de gegevens belandden bij de ethical hacker. Enorm leerzaam want hackers zijn steeds beter in social engineering: het psychologische spel om mensen te bespelen waardoor ze niet goed opletten. Dit was een leerzaam moment en heeft ons allemaal weer helemaal op scherp gezet.’
Zoek naar de balans
Het gedrag van mensen is dus een risico; zowel van medewerkers maar ook dat van de klanten. Van der Boon: ‘Klanten die geen duidelijk beveiligingsbeleid hebben en ons zomaar wachtwoorden geven, dat kan niet. De poort van een netwerk open zetten zodat wij op afstand onderhouden kunnen doen, maar elke cybercrimineel met ons mee kan liften, dat willen we ook niet. Het is misschien handig, maar het vraagt om problemen. Ik wil in het systeem van een klant kunnen als we eraan moeten werken, en verder niet. Breng dus ook aan je klanten over dat ze voorzichtig moeten zijn. En spreek af wie wat doet, en op welk moment. Het is een illusie om te denken dat je je veiligheid helemaal voor 100% geregeld kunt hebben. Wat we vandaag bedenken is morgen achterhaald. Maar we kunnen ons wel inspannen om het zo goed mogelijk voor elkaar te hebben. Dat doen we door risico’s te inventariseren en te beoordelen, en vervolgens door maatregelen te nemen. Teveel of verkeerde maatregelen hebben vaak een averecht effect: mensen gaan dan omwegen zoeken waar meestal nog veel meer risico’s aan verbonden zijn. Houd het beheersbaar en zoek naar de balans: werkcomfort en veiligheid.’