Sta jij FERM?

Het samenwerkingsverband is gericht op online en offline verbindingen tussen ondernemers en organisaties in de Rotterdamse haven met als doel de digitale veiligheid te waarborgen. Niet voor niets, want de jaarlijkse kostenpost ‘cybercrime’ voor de Nederlandse economie bedraagt zo’n tien miljard euro. Eén op de vier bedrijven krijgt ermee te maken, terwijl het jaarlijks aantal gemelde datalekken oploopt naar zo’n 5.500 incidenten.

Informatiebewustzijn in de praktijk

René de Vries opende het seminar voor het oog van zo’n 180 gasten in de zaal. Naast havenmeester is hij ook Port Cyber Resilience Officer. Hij wil in zijn rol bij FERM het bewustzijn over digitale veiligheid en cybersecurity onder bedrijven in de Rotterdamse haven vergroten, maar ook praktische handvatten aanreiken: “Sommige bedrijven weten niet waar ze moeten beginnen en het seminar is daar een goed uitgangspunt voor. In een tijd dat ontwikkelingen in digitalisering in rap tempo gaan, is het van belang dat organisaties samenwerken en elkaar helpen door informatie en tips te delen. Kortom: FERM staan.”

Waarom FERM?

De Vries krijgt vaak de vraag wat het verschil is tussen cybersecurity en fysieke beveiliging. Na 11 september 2001 is ook in het Rotterdamse havengebied de controle verscherpt. De Internationale Maritieme Organisatie (IMO) heeft onder meer de ISPS-code ingevoerd, de ‘International Ship and Port Security’-code, een reeks maatregelen om de beveiliging van schepen en havenfaciliteiten te bevorderen. Het havengebied en alle ondernemingen die er deel van uitmaken zijn daarnaast potentieel doelwit van cyberaanvallen, internetfraude en andere digitale dreigingen. Een collectief platform met als inzet verbetering van informatiebewustzijn én –beveiliging is een essentieel onderdeel van het ecosysteem. FERM is bewust geen ingewikkelde afkorting, want daarvan zijn er in het digitale landschap al genoeg. Het is de Rotterdamse vertaling van ‘resilience’ oftewel weerbaarheid.

Praktijklessen uit het havengebied

Marijn van Schoote, Information Security en Risk Officer bij Havenbedrijf Rotterdam, pleit voor een veiligheidscultuur en het melden van incidenten hoort daarbij. Een fout is zo gemaakt, maar het melden ervan kan consequenties wellicht voorkomen. Zijn 5 tips:

1. Investeer in kennis.
2. Train je technische man als ethical hacker.
3. Beloon alertheid en juist handelen.
4. Laat je controleren door specialisten die je kunnen helpen om risico’s in kaart te brengen en vervolgens te vermijden.
5. En in lijn met FERM: Werk samen!

In het tweede gedeelte van het seminar is aandacht voor vier thema’s: juridische zaken, awareness, techniek en de cloud met als gastsprekers: Annet Govaert-Proos van Concordia De Keizer, Marc de Jong Luneau van NorthWave, Fred Streefland van Palo Alto Networks en Maarten Timmerman van Awareways.

Juridische zaken

Naast eigen schade van een cyberaanval kun je als bedrijf ook aansprakelijk gesteld worden voor schade aan systemen van een derde, bijvoorbeeld van een klant of een leverancier. De Autoriteit Persoonsgegevens (AP) kan hoge boetes opleggen als persoonsgegevens verloren raken of onrechtmatig worden verwerkt als organisaties niet voldoen aan de meldplicht datalekken.
Daarnaast komt er nieuwe Europese wetgeving in 2018 die nog meer eisen zal stellen aan de cybersecurity van een bedrijf en melding maakt van nog hogere boetes . Een cyberverzekering dekt deze schades en het verlies in omzet, kosten van en assistentie bij afpersing en kosten ter beperking van imagoschade. Tenslotte biedt de verzekering vooral een totaal ontzorgconcept zoals een 24/7 noodnummer en assistentie bij het opstellen en uitvoeren van een incident response plan.

Samenwerking

Wat kunnen we als potentieel doelwit doen om een hack te voorkomen? Volgens commercieel directeur Marc de Jong Luneau samenwerken met klanten en de benodigde technologie, beleidsvoering en skills om databeveiliging op een hoger plan krijgen: “De eerste verdedigingslinie is awareness. Daarnaast is het van belang de juiste kennis in huis te halen om met risico’s en dreigingen om te kunnen gaan. Ook trainingen en investeren in de juiste middelen moeten onderdeel zijn van het beleid. Maar denk eraan: We zijn zo bezig om de voordeur dicht te houden, dat we nog wel eens vergeten dat bedreigingen via de brievenbus binnenkomen.”

In de cloud

Om meer te vertellen over databeveiliging en de apparaten die we dagelijks gebruiken, schuift ook Fred Streefland aan, product marketing manager bij Palo Alto. Hoe zit het met de beveiliging van de data van je organisatie? Zijn data in de cloud veiliger dan op kantoor? “Er zijn twee soorten bedrijven”, zo leidt Streefland in. “Zij die gehackt zijn en zij die het nog niet weten.” Wat hij wil zeggen, is dat we ons vaak niet bewust zijn van welke data we waar hebben staan. “En wie is verantwoordelijk voor welke data?” Informatiebeveiliging verdient daarom een holistische benadering. Streefland is ervan overtuigd dat security geen product is, maar een proces waarbij je in alle onderdelen moet blijven investeren. Het is én awareness, én kennis en informatie, én communicatie, én beveiliging, én trainingen, én…

Awareness als sleutel

Hoe creëer je die bewustwording en gedragsverandering onder medewerkers en leidinggevenden? Maarten Timmerman, directeur van Awareways en specialist op het gebied van security awareness: “We benaderen awareness vanuit de psychologie, marketing en communicatie met als doel een verandering in gedrag én cultuur. De directie is de start. Je moet zorgen dat het belang daar geland is, want zonder directie kom je nergens. Slimmer omgaan met wachtwoorden, beveiligde devices, phishing en software-updates geldt voor alle lagen van een organisatie. En dan heb je de IT’ers, die al veel kennis hebben, maar moeten leren denken als hackers en anticiperen op realistische risico’s. Informatiebeveiliging en security awareness is meer dan alleen een technische ingreep. Juist de mens kan het verschil maken.”