Als woningcorporatie wil je het criminelen zo moeilijk mogelijk maken om bij je binnen te komen. En als dat wel lukt, ervoor zorgen dat ze zo min mogelijk informatie kunnen buitmaken en je als organisatie snel weer aan de slag kunt. Woonzorg Nederland heeft daarom als een van de eerste corporaties in Nederland een ISO-certificeringstraject ondergaan en behaald. Manager I&A Peter de Regt legt in gesprek met CorporatieGids Magazine de redenen om met de certificering aan de slag te gaan uit en licht toe wat het de organisatie tot dusver heeft opgeleverd.
De hack van acht corporaties begin 2022 was voor de sector een eyeopener wat betreft het gevaar van cybercriminaliteit. Ook voor Woonzorg Nederland, begint Peter het gesprek: “Na de hack kregen we intern de vraag ‘in hoeverre lopen wij eigenlijk gevaar’? We doen natuurlijk al veel wat betreft informatiebeveiliging, denk aan het meermaals uitvoeren van pentesten, 24/7 monitoring van ons netwerk en een sterke focus op awareness. De keuze om daarnaast ook voor een ISO27001-certificering te gaan, is wat ons betreft een goede, extra stap in de ambitie om het criminelen zo moeilijk mogelijk te maken en Woonzorg Nederland veilig te houden.”
Steeds meer phishinggevaar
Computervredebreuk – oftewel het hacken of kraken van systemen – is volgens Peter de belangrijkste uitdaging als het gaat om informatiebeveiliging en privacy. “En de manieren waarop dit plaatsvindt verandert continu. Wat wij momenteel veel meemaken zijn phishingaanvallen. Bijvoorbeeld e-mails uit naam van onze bestuurder met het verzoek om een bedrag over te maken met een link, die niet door onze bestuurder zijn verstuurd. Ook imitatieberichten van bijvoorbeeld DHL komen langs met een link waarmee we een pakket kunnen traceren. Wanneer je vervolgens op deze link klikt, raakt je systeem geïnfecteerd.”
Kerst en Microsoft-releases
De frequentie waarin hackpogingen plaatsvinden verschilt per periode. “Bepaalde perioden – zoals tijdens de kerstdagen – brengen pieken met zich mee. Daarnaast houden criminelen ook het releaseschema van Microsoft in de gaten. Microsoft komt iedere maand op dezelfde tijd met een nieuwe patch. De meeste bedrijven die hiermee werken wachten een aantal dagen na het uitkomen van de patch met installatie en hackers weten dat. Die proberen in die periode toe te slaan, bijvoorbeeld met een phishingmail over de nieuwe patch.”
Volledig veilig een utopie
Jezelf voorbereiden op de hackpogingen vraagt vanuit technisch oogpunt verschillende maatregelen. Peter: “Denk aan het nemen van beschermingsmaatregelen binnen je systemen, uitvoeren van pentesten, restore testen, het opstellen van een calamiteitenplan en een Business Continuity Plan. Hiermee kunnen we – in het geval dát er wat gebeurt en onze systemen worden gegijzeld – snel terugvallen op een back-up waardoor het werk kan doorgaan. Echte honderd procent veiligheid bestaat niet, maar op deze manier benaderen we dit zoveel mogelijk. Omdat we daarnaast zijn aangesloten op SOCSIEM monitoren we continu wat er gebeurt binnen ons netwerk. Blijken er vreemde dingen te gebeuren, kunnen we daar direct op acteren.”
Onderscheidend door ISMS
Het onderscheidende onderdeel van de ISO-certificering is volgens Peter het Information Security Management Systeem (ISMS). “Het ISMS is geen softwaretool, maar betekent meer een continu verbeterproces. Dit zorgt voor een nieuwe werkwijze waarbij we vanuit een systematische aanpak met informatiebeveiliging aan de slag gaan. Dit borgt helderheid over beveiligingsdoelen, geeft inzicht in risico’s en hoe je deze aanpakt, verbetert de betrokkenheid van het management en stelt ons in staat efficiënt een PDCA-cyclus toe te passen om continu te verbeteren.”
Sterkere beveiliging
Een van de grote voordelen van deze werkwijze is dat je inzicht krijgt in de zwakke onderdelen van je organisatie. “Bij ons was dat bijvoorbeeld wachtwoordbeheer. Iedere medewerker gebruikt wachtwoorden om in systemen te komen. Maar je wilt niet dat ze jarenlang dezelfde code gebruiken, daar wordt je organisatie niet veiliger van. Medewerkers moeten daarom nu periodiek een nieuw wachtwoord instellen. Daarbij zijn de eisen wat betreft lengte en complexiteit van wachtwoorden verhoogt. Verder is two factor authentication verplicht voor alle gebruikers. Door deze stappen is de toegangsbeveiliging duidelijk verbeterd.”
Pubquiz
Iets waar Woonzorg Nederland volgens de resultaten juist erg hoog scoorde, was op het gebied van cyberbewustzijn. Een bewuste stap volgens Peter: “Dit is een thema waar we intern erg de nadruk op leggen. De aanpak is niet moeilijk: je moet het onderwerp continu terug laten komen op de agenda. Dat doet wij bijvoorbeeld middels lunchsessies waar we het hebben over informatiebeveiliging, het houden van ‘pubquizzen’ over hoe je de organisatie veilig houdt en het meenemen van het onderwerp bij de onboarding van nieuwe medewerkers. Ook is het belangrijk dat je het maken van meldingen bevordert en beloont. Wanneer collega’s een melding maken van een potentieel incident, ga hier serieus mee om en laat zien dat het melden niet voor niets is. Daarmee zorg je voor een cultuur waar je zeker weet dat een melding wordt gemaakt als er écht een probleem is.”
Expertise
Bij het certificeringsproject heeft Woonzorg Nederland samengewerkt met Audittrail. Peter hierover: “Audittrail is een gerenommeerde partij die zijn sporen binnen de corporatiesector heeft verdiend. Ze hebben veel ervaring met het doen van audits en het begeleiden van bedrijven richting een ISO-certificering, en vanuit die expertise hebben ze een grote rol gespeeld in het opzetten van ons ISMS.”
Prioriteiten
Op de vraag of een ISO-certificering verplicht zou moeten zijn voor andere corporaties, zegt Peter: “Dat ligt erg aan de prioriteiten die de corporatie heeft gesteld rond informatiebeveiliging. Het is een vrij intensief traject om gecertificeerd te worden en corporaties dienen voor zichzelf te bepalen of dit voor hen de juiste stap is. Voor ons heeft het opgeleverd dat we beter inzicht hebben waar we onszelf moeten verbeteren en we kunnen makkelijker prioriteiten stellen en indien nodig tijdige maatregelen – zoals extra monitoring – inzetten.”
AI bij cybercriminaliteit
Hiermee bereidt Woonzorg Nederland zich voor op de toekomst waar informatiebeveiliging zich continu zal ontwikkelen, sluit Peter af: “We maken zelf dreigingsanalyses en maken gebruik van de kennis en adviezen van gespecialiseerde leveranciers om ons hierop voor te bereiden. Iets waarvan wij verwachten dat het de komende jaren steeds groter zal worden, is de inzet van AI bij cybercriminaliteit. Dit komt zowel uit de hoek van criminele organisaties die handelen vanuit financieel motief als statelijke actoren. Beiden kunnen toeslaan op onderdelen in de keten waarvan wij gebruikmaken.”
“Daarom liggen de accenten op de kwaliteit van leveranciers in de keten én op het verder verbeteren van toegangsbeveiliging en het monitoren van verkeer binnen ons netwerk. Ook staat het verbeteren van ons herstelvermogen hoog op de agenda. Zoals gezegd is honderd procent veiligheid niet het einddoel, maar het continu verbeteren en passend maken van de beveiliging aan de organisatie. Met ons ISMS werken we hier dagelijks aan.”
Bron: CorporatieGids Magazine, Foto: Heidi Borgart
Zoals ieder jaar was het een voorrecht om CorporatiePlein te mogen organiseren. En de 2024-editie, de veertiende van het…
www.corporatieplein.nlCorporatieGids Magazine - November 2024 Inhoud Ferry van der Pal (Wonen Wateringen): Fusie leidt tot betere bijdrage aan de volkshuisvestelijke opgave…
Zoek en vind leveranciers en adviesbureaus die IT-diensten en oplossingen aanbieden aan woningcorporaties.