Computerveiligheid, ethiek en lesgeven
Vandaag is de dag van de computerveiligheid. Bij het Rijks ICT Gilde (RIG) werken tech consultants aan diverse opdrachten binnen de Rijksoverheid op het gebied van data, software, IT, security en privacy. Zo ook Eiric Vellinga, die werkzaam is in de computerveiligheid bij DUO. Computerveiligheid speelt altijd een rol in zijn werk. Hij legt uit waarom, wat hij precies doet, wat hij doet om computerveiligheid meer onder de aandacht te brengen en geeft een paar tips voor jou, om er zelf ook mee aan de slag te gaan.
Opkomst van security in IT
Eiric werkt sinds 1998 in de IT, waar hij begon met infrastructuur. Eiric: ‘Het was toen nog heel erg gericht op het operationele deel. Als je dan iets nodig had, verzon je zelf wat je ging bouwen. Je richtte de security in, op een manier waarvan je dacht dat deze goed was, zonder echt een groots plan erachter. In de systemen die we toen gebruikten, zaten bijna geen security-opties. Naarmate de tijd vorderde, kwamen er vanuit de leveranciers steeds meer mogelijkheden bij voor security. En dan ga je daarmee aan de slag. Door die toename van opties voor online beveiliging, bouw je het steeds meer in en ga je er zelf ook over nadenken. Dan groeit de awareness in de tech-wereld, maar ook erbuiten. Security wordt belangrijker, het komt in de pers, afdelingen worden opgetuigd en het wordt steeds professioneler. Toen ben ik zelf overgestapt naar de beveiligingstak. Begin 2000 was men bang voor virussen. Toen was het voor de meeste mensen en organisaties nog een ver-van-je-bed-show; gehackt worden. Je dacht “waarom ben ik interessant voor een hacker?”. Tegenwoordig denkt men daar al heel anders over, met ransomware en losgeld. De virusjes van vroeger lijken dan opeens een stuk minder griezelig.’
Loopbaan
Eiric begon zijn security-loopbaan bij een bekende zorgverzekeraar, waar hij ruim ervaring opdeed binnen het vakgebied. Toen er in het bedrijf veel veranderde, besloot hij op zoek te gaan naar een nieuwe uitdaging en kwam zo in februari 2019 bij het RIG terecht. Eiric: ‘Ik begon ooit als security officer. Toen kwam de vacature van Chief Information Security Officer (CISO) langs, heb ik gesolliciteerd en ik werd het. In die hoedanigheid ben ik ook bij het RIG begonnen, als security officer. Als iemand mij op een verjaardag vraagt wat ik doe, zeg ik dat ik ervoor zorg dat informatie bij een organisatie veilig is, blijft waar het hoort te zijn en bekeken wordt door mensen die erbij horen te kunnen, en meer niet. Momenteel ben ik via het RIG gedetacheerd bij Dienst Uitvoering Onderwijs (DUO).’
DUO
‘Wat DUO zo interessant maakt, is dat het een hele IT-gerichte organisatie is. Het is eigenlijk een IT-bedrijf dat toevallig subsidies verstrekt en geld rondpompt. Er werken alleen al op de infrastructuurafdeling 300 man. Het is echt gigantisch, echt een IT-bedrijf. En dat is interessant, een hele complexe organisatie qua IT, ze doen heel veel zelf. Er zit in een heel divers landschap van alles door elkaar te draaien: Linux, Windows, je kunt het zo gek niet verzinnen. Er is heel veel kennis aanwezig, er wordt veel geschakeld met elkaar en het is geen eenzijdig werk. Voor de rest is het een uitvoeringsinstantie en die hebben over het algemeen een redelijk duidelijk afgebakende taak en dat brengt een bepaalde sfeer met zich mee. Mensen die er zitten hebben hart voor het werk, weten waar ze het voor doen en hebben concrete taken. Daar hangt een hele prettige sfeer, vanuit gezamenlijkheid en daar functioneer ik wel op.’
Informatiebeveiliging
Binnen het informatiebeveiligingsdomein is de Baseline informatiebeveiliging Overheid (BIO) heel belangrijk. De BIO is het basisnormenkader voor informatiebeveiliging binnen alle overheidslagen (Rijk, gemeenten, provincies en waterschappen). Dit kader bevat regels voor de informatiebeveiliging, zoals het hebben van goede wachtwoorden. Hoe dit in de praktijk precies werkt, staat niet in de BIO en daar moet je binnen jouw organisatie dus concrete invulling en specifiekere richtlijnen aan geven. Verder staat er in dit kader dat je je eraan moet houden, aan moet kunnen tonen dat je je eraan houdt, en dat wanneer iets niet werkt, je het aanpast. Als security officer ben je voornamelijk bezig met de controle. Houdt een organisatie zich aan de BIO en kun je dat als organisatie ook aantonen? Mijn eigen taak op dit moment is om de organisatie zo in te richten dat ze zich ook daadwerkelijk aan de BIO kunnen houden. Dus om terug te komen op het wachtwoordenvoorbeeld; je moet als organisatie goede wachtwoorden hebben. Ik vertaal dat dan naar iets concreets: elke drie maanden wisselen van wachtwoord, een lengte van zoveel tekens, moeilijke tekens gebruiken, et cetera. Dat doe ik niet alleen voor Windows, maar voor alle systemen. Daarnaast geef ik uitleg hoe een organisatie dit kan aantonen. Ik vertaal dus de hoog-over-kaders van de BIO naar een praktisch en uitvoerbaar niveau. In sommige gevallen is dat niet zo moeilijk, maar er zijn ook legio voorbeelden waar je heel nauwkeurig en specifiek de richtlijnen tot in de kleinste details moet uitwerken, zodat het goed bruikbaar en begrijpelijk is voor de mensen die ermee moeten werken.’
Voor de klas
Naast zijn werk voor het Rijks ICT Gilde is Eiric ook werkzaam als docent cyber security op de Novi Hogeschool. Hij neemt studenten die ethisch hacker of pentester willen worden mee in de basis van informatiebeveiliging. Eiric: ‘Ik geef uitleg over informatiebeveiliging, de kaders en het vertalen daarvan, risicomanagement en diens werking, leg uit welke bedreigingen er kunnen zijn en ook een stukje social engineering. Het is echt voor mensen die kennismaken met de IT. Dit stuk theorie is belangrijk om te krijgen, voordat ze beginnen met hacken. Ik probeer altijd een verbinding te leggen tussen de theorie en het werk dat ze in de toekomst willen gaan doen. Het is belangrijk om te bespreken dat het werk niet altijd is wat je ervan verwacht. Je gaat kwetsbaarheden zoeken en vinden. Maar niet alle kwetsbaarheden kunnen worden opgelost. Soms kies je ervoor als organisatie om dit te accepteren En dat is voor die hackers heel moeilijk, want die zeggen hoe kan dat nou? Je laat daar een groot gat. Het duiden daarvan en het koppelen aan de dagelijkse praktijk en wat een organisatie nodig heeft, dat is iets wat zij niet doen, en wat wel gebeurt. Soms vind je iets ernstigs, en kan een organisatie het niet meteen oplossen, maar pas over twee jaar.’
Ethiek en hacken
Ethiek en hacken gaan hand in hand vindt Eiric: ‘Je mag aanbellen bij iemand en kijken of ze opendoen en je mag aan de deur voelen. En als je aan de deur voelt en hij is open, mag je hem wel opendoen. Dan ben je nog steeds niet strafbaar. Maar als je het huis ingaat en rond gaat zoeken, wordt het al een beetje spannend. En als je dan ook nog spullen meeneemt, dan ben je in overtreding. Zo werkt hacken ook. Je mag kijken of je kwetsbaarheden ziet, je mag ook kijken hoe open iets staat. Dat mag nog net. Maar als je spullen stuk gaat maken, of ontvreemden of doorsturen, dan ben je in overtreding. Laat staan natuurlijk als je met kwade bedoelingen ransomware gebruikt op de kwetsbaarheden. Je ziet op veel websites de zogeheten “responsible disclosure meldingen”: als je kwetsbaarheden op onze site ziet, meld het ons, dan krijg je een T-shirt of geld of een koffiemok bijvoorbeeld.’
Procesverbetering
Eiric: ‘Het leukste aan mijn werk is het proces verbeteren. Ervoor zorgen dat zo’n organisatie veiliger is dan ze waren. Hier hoort een stuk bewustzijn, een stukje bewustwording, maar ook heel veel techniek bij. Zorg ervoor dat je de zaken goed voor elkaar hebt, dat je niet te veel gaten hebt in je netwerk en dat je veilig bent voor die hackers. En als je dan een keer zo’n kwetsbaarheid hebt, dat je dat op een goede manier oplost. Je brengt de informatiebeveiliging en security van een organisatie écht naar een hoger niveau. Het is een soort kaartenhuis dat je bouwt, wat aan alle kanten moet kloppen, een basis moet hebben die stevig is, zodat je verder kunt bouwen.’
Een grote stap vooruit in de informatiebeveiliging
Met de komst van de BIO is een grote stap gemaakt in de informatiebeveiliging. Eiric: ‘Het feit dat de Nederlandse overheid zegt dat je moet voldoen aan de BIO is al heel wat. Als je daaraan voldoet, heb je het echt best wel aardig op orde. Ik zeg weleens “als je achterna gezeten wordt door een leeuw, dan hoef je niet vooraan te rennen, je moet gewoon harder rennen dan degene achter je.” Wat ik daarmee bedoel is dat je dus niet per se de allerbeste hoeft te zijn, je moet gewoon je basis op orde hebben. En dat wordt steeds duidelijker voor iedereen die met computers werkt. Daar ligt nadruk op, daar wordt meer op gestuurd vanuit de Rekenkamer, vanuit de ADR. Dat die daar meer op gaan letten, helpt gewoon. Dat tezamen met in het nieuws, die ransomware-horrorverhalen. Dan heb je wel een bepaalde angst en daardoor raken organisaties toch wel gemotiveerder om informatiebeveiliging aan te pakken.’
Hybride werken en computerveiligheid
Het hybride werken is eenieder bekend inmiddels, maar ook voor security kan dit gevolgen hebben. Eiric: ‘Het ligt eraan hoe een organisatie zijn diensten aanbiedt. Er zijn heel veel mogelijkheden om dit veilig te doen. Maar denk eens aan het gebruik van een printer thuis. Ik kan niet zien of iemand zijn printjes meteen haalt of dat anderen ze ook kunnen bekijken. Nu zal het thuis allemaal wel meevallen, maar wat als iemand werkt in een koffiezaakje of een flexplek in een kantoor elders. Het is zo gebeurd, als je even je laptop open laat staan en hem niet afsluit, of je token met cijfertjes open laat liggen. Daar houd ik wel rekening mee als ik de richtlijnen schrijf, maar ik heb natuurlijk geen invloed op de uitvoering daarvan als er niet op kantoor wordt gewerkt. Als ik bijvoorbeeld instel dat elk scherm na 20 seconden op slot gaat, dan hang je binnen no-time aan de telefoon bij mij. Computerveiligheid is dus altijd een balans tussen gebruiksgemak, functionaliteit en beveiliging.’
Tips voor eigen online veiligheid
‘Als ik een paar tips moet geven, is de allereerste: sla geen updates over. Gewoon meteen updaten, niet uitstellen’, zegt Eiric stellig. ‘Als je een nieuwe versie van Webex krijgt, of Word, of Windows, klik het niet weg, voer het meteen uit. Het zijn juist deze updates die ervoor zorgen dat je software de laatste versie gebruikt, dus ook qua veiligheidsvoorzieningen. Een andere tip is om een wachtwoordmanager te gebruiken. Die maakt sterke wachtwoorden aan, zodat je niet overal dezelfde wachtwoorden hoeft te gebruiken. En bovendien reist het wachtwoord dan altijd met je mee. Een laatste noot: ga niet altijd uit van hoe jij iets gebruikt, maar hoe iets gebruikt kan worden. Jij hebt misschien geen slechte bedoelingen, waardoor je een simpel wachtwoord gebruikt, want je ziet daar geen gevaar in. Maar wat als een ander de boel oplicht met jouw Marktplaats-account, omdat je daar een wachtwoord van likmevestje hebt, hoe bewijs je dan dat jij het niet bent? Je bent geneigd om normatief te denken en dat is juist wat een hacker een goede hacker maakt; die denkt “hoe kan ik profiteren, hoe kan ik iets stuk maken, wat is er niet goed?”. Kortom, omdenken dus. En updaten. Echt doen!’