“Cybersecurity begint met bewustwording”

Verzekeraars bieden cyberverzekeringen aan, maar kunnen ook zélf de dupe worden van een cyberaanval. Hoe voorkomen ze dat klantgegevens op straat belanden of online diensten in gevaar komen? Die vragen vormden de rode draad tijdens het Cyber Security Event, dat het Verbond eind oktober organiseerde. Deelnemers konden meedoen aan een ‘hacking challenge’ en kregen tips hoe ze met ‘ethische hackers’ kunnen omgaan.

Het Centrum Bestrijding Verzekeringscriminaliteit (CBV, onderdeel van het Verbond) organiseerde het evenement in het kader van de Alert Online campagne. Deze campagne is erop gericht consumenten, bedrijven én de overheid bewust te maken van digitale risico’s.
Dat die bewustwording hard nodig is, maakte Lies Alderlieste-de Wit (Security Officer bij Aegon) in één klap duidelijk met een plaatje van Norse, een bedrijf dat 24 uur per dag alle ICT-bedreigingen live op een wereldkaart toont. “Het lijkt wel vuurwerk, maar het is niet zo’n feest als het lijkt. Als u ziet hoeveel aanvallen er dagelijks vanuit de hele wereld op ons worden afgevuurd, dan snapt u misschien hoe belangrijk cybersecurity is.”

Insurance ISAC
Kennis delen via publiek-private samenwerking is volgens Alderlieste-de Wit essentieel in de strijd tegen cybercriminaliteit. “In veel sectoren bestonden al zogeheten Information Sharing and Analysis Centers (ISAC’s) en sinds vorig jaar hebben wij er ook één: de Insurance ISAC. Binnen dit platform wisselen verzekeraars, het Verbond, het Nationaal Cyber Security Centrum, de Nationale Politie en de AIVD kennis uit.” Bijzonder zinvol, meent ze. “Zo kregen we dit voorjaar allemaal te maken met heartbleed, een bug in OpenSSL-software, die heel wat schade in de wereld heeft aangericht. In dat soort gevallen hoef je het wiel niet altijd opnieuw uit te vinden en is het nuttig om van elkaar te horen wat je kunt doen tegen dit soort complexe kwetsbaarheden.”

Tussen hype en vrees
Dat het aanpakken van cybercriminaliteit complex is, benadrukte ook Eelco Stofbergen, manager Expertise & Advies bij het Nationaal Cyber Security Centrum (NCSC), onderdeel van de Nationaal Coördinator voor Terrorismebestrijding en Veiligheid. Die complexiteit wordt volgens hem nog eens bemoeilijkt doordat ‘we ons tussen hype en vrees bewegen’. “Zo las ik begin deze maand de kop ‘Miljoenen DigiD-gebruikers moeten wachtwoord wijzigen’ in De Telegraaf. Er ontstond meteen een hype, terwijl de praktijk heel wat genuanceerder lag, maar het kwaad was toen al geschied. Dat ‘hypen’ maakt cybercriminaliteit niet alleen beangstigend, maar ook complex. Hoe weet je nu hoe reëel een dreiging is?” Lees meer.

Responsible Disclosure
Na twee workshoprondes kwamen alle deelnemers terug in de zaal, waar Simon Greve (bedrijfshoofd Informatiebeveiliging bij SNS Reaal) inging op de toegevoegde waarde van zogeheten ‘ethische hackers’: hackers die geen slechte bedoelingen hebben, maar die wel op kwetsbaarheden in systemen van bedrijven stuiten én dat ook bekend willen maken. “Wat doe je als je met zo’n ethische hacker te maken krijgt en die hacker de publiciteit zoekt? Een paar jaar geleden hadden bedrijven geen idee, maar tegenwoordig zie je dat ze dit soort meldingen benutten en afspraken maken met de melder. Ik vind dat een goede ontwikkeling. Het is vrijwel onmogelijk om als bedrijf zelf alle kwetsbaarheden in je systeem te vinden. Als iemand anders dan iets vindt, kun je daar alleen maar je voordeel mee doen.”

Om verzekeraars te helpen bij het omgaan met ethische hackers kregen alle deelnemers na afloop een Handreiking Responsible Disclosure. “Responsible Disclosure houdt kort gezegd in dat je op een verantwoorde manier omgaat met meldingen van kwetsbaarheden in je systemen. In de handreiking hebben we daarvoor een aantal spelregels opgenomen”, besloot Greve.