CorporatieGids Magazine

DECEMBER 2022 I 11 10 I CORPORATIEGIDS MAGAZINE “De hackaanval die acht corporaties begin dit jaar trof was voor ons – en de corporaties binnen Zeeland waarmee we samenwerken – aanleiding om kritischer te kijken naar de eigen informatievoorziening,” begint Sander het gesprek. “Zo hebben we gekeken naar welke gegevens we opslaan, welke bewaartermijnen we hanteren en hebben we data verplaatst naar de public cloud. We hebben ons DMS laten scannen en opschonen zodat bijvoorbeeld burgerservice- nummers en ID-documenten zijn verwijderd. Een zelfde scan hebben we op de netwerkmappen uitgevoerd. We willen de koppeling maken naar het proces zodat gegevens die we nu verwijderen, straks niet opnieuw worden ingevoerd. Want wat je niet hebt, kan ook niet gestolen worden.” Security over de keten Als Sander kijkt naar de grootste uitdagingen omtrent security en privacy, wijst hij naar veilig zijn over de hele keten: “Ook als je zelf alles hebt dichtgetimmerd, ben je dan in staat te beoordelen hoe je leveranciers het doen? Daarbij helpt het om zelf ook technische kennis in huis te hebben. Bij een van de bedrijven waarmee we samenwerken was de digitale voordeur waardoor we zelf binnenkomen goed beveiligd, maar een ‘zij-ingang’ voor leveranciers bijvoorbeeld niet voorzien van multifactorauthenticatie. Dan moet je daarover wel het gesprek aangaan. Dat doen we zoveel mogelijk samen met de eerdergenoemde collegacorporaties in de regio, want als bij ons iets speelt zijn we vast niet uniek.” Collegacorporaties Daarmee doelt Sander op het collectief ZuidWestSamen (ZWS). Hierin bundelen zeven corporaties al meer dan tien jaar samen de krachten. “Veel corporaties binnen ZWS hebben dezelfde applicaties van dezelfde leveranciers. Soms heeft de ene ergens meer ervaring en door elkaar te helpen kunnen we elkaar sterker maken. Zo had een collegacorporatie goede ervaringen met Chaptr2 die hen ondersteunde met het informatiebeveiligingsbeleid. Onze uitgangspunten komen met die van onze collega’s overeen, waardoor we dezelfde partij hebben ingeschakeld zodat het minder tijd kostte om een vergelijkbaar beleid vorm te geven. Naast het delen van kennis is de meerwaarde soms ook in geld uit te drukken. We hebben gezamenlijk een wachtwoordmanager aangeschaft en daarmee 50 procent bespaard op de normale prijs. De implementatie doen we vervolgens ook samen, net als het ontwikkelen van het trainingsmateriaal.” Taskforce “Na de ransomware-aanval in de sector begin dit jaar, is er door ZWS een ‘taskforce informatiebeveiliging en privacy’ gevormd,” gaat Sander verder. “Daaraan hebben de zeven corporaties deelgenomen met ondersteuning van onder andere VVA. Niet alleen omdat we al veel met hen samen- werken, maar ook omdat VVA een coördinerende rol heeft vervuld bij de ransomware-aanval op de andere corporaties. Ze hebben daardoor een goed beeld van wat er moet gebeuren. VVA heeft onder andere gezorgd voor het opstellen van een roadmap en het aanhaken van forensische expertise.” Eigen sjabloon Op de vraag wat de taskforce heeft gerealiseerd, blikt Sander terug: “We zijn begonnen met het delen van kennis en ervaring van onderwerpen zoals crisis- en risicomanagement, communicatie en juridische aspecten. Vervolgens is toe- gewerkt naar een Incident Response Plan; een draaiboek over hoe je handelt bij een ransomware-aanval. Elke corporatie heeft daarmee een sjabloon dat naar eigen wensen aangepast