Een uniek rondetafelgesprek over veilig digitaal werken en cybersecurity in de bouwwereld. Deelnemers aan dit gesprek zijn Martien van den Bouwhuijsen, eigenaar van bouwbedrijf Van den Bouwhuijsen, Dennis Mollet van brancheorganisatie Bouwend Nederland, en Patrick en Wouter van DongIT, die een cybersecurityscan hebben uitgevoerd bij het bedrijf van Martien. Cybersecurityredacteur Jan Meijroos voelt de heren aan de tand…
Samen Digitaal Veilig kent duizenden leden afkomstig uit meer dan 83 branches. Onlangs werd Martien lid van het platform waar samenwerkende brancheorganisaties bedrijven helpen met informatie over – en tooling voor digitale veiligheid. Martien is daarmee het 100e lid van Bouwend Nederland (dat op zichzelf ruim 4000 leden kent) dat zich aansloot bij Samen Digitaal Veilig.
Martien, kun jij jezelf kort introduceren?
Martien: ‘Ik heb een bouwbedrijf met iets meer dan vijftig mensen in dienst. Wij zijn al een tijdje lid van Bouwend Nederland en inmiddels ook lid van Samen Digitaal Veilig. We merkten dat er steeds meer druk komt om digitaal te werken. Ook onze opdrachtgevers verwachten dat. Daarom hebben we besloten ons aan te sluiten bij het platform Samen Digitaal Veilig. Dat platform helpt ons om ervoor te zorgen dat onze medewerkers beter met digitale processen om kunnen gaan.’
Dennis, waarom is de samenwerking tussen Bouwend Nederland en Samen Digitaal Veilig zo belangrijk?
Dennis: ‘Het gaat erom dat we de bewustwording rond digitale veiligheid vergroten binnen onze branche. We lezen bijna dagelijks over cyberaanvallen en datalekken, en onze leden kunnen niet achterblijven. Samen Digitaal Veilig helpt ons om bedrijven, zoals van Martien, te ondersteunen en hen tools en kennis te bieden om digitaal weerbaarder te worden.’
(Martien van den Bouwhuijsen)
Wouter en Patrick, jullie hebben een pentest bij het bedrijf van Martien gedaan. Wat hebben jullie ontdekt?
Wouter: ‘We hebben inderdaad één van de systemen waar Martien mee werkt getest. Wat interessant is, is dat zo’n test niet alleen het bedrijf zelf ten goede komt, maar ook andere organisaties die hetzelfde systeem gebruiken. We hebben wel een aantal zaken gevonden die niet helemaal op orde waren. Dus er is ruimte voor verbetering.’
Patrick: ‘Het belangrijkste in deze is dat bedrijven zoals dat van Martien afspraken maken met hun leveranciers om te zorgen dat systemen veilig zijn. Het platform Samen Digitaal Veilig speelt hierin een grote rol, omdat het bedrijven helpt die bewustwording te creëren en stappen te ondernemen om hun digitale veiligheid te verbeteren.’
Dennis, hoe zorgen jullie ervoor dat (bouw)bedrijven in de keten, inclusief kleinere spelers, digitaal veilig blijven?
Dennis: ‘Onze grote leden hebben vaak de capaciteit om te sturen op risico’s. Zij kunnen kleinere mkb-bedrijven, of zelfs zzp’ers, ondersteunen. Het probleem is dat als één schakel in de keten uitvalt of via die route een aanval plaatsvindt, alle bedrijfsprocessen stil komen te liggen. Daarom zijn grotere bedrijven bereid om kennis en tools te delen om de hele keten veiliger te maken.’
Hoe ga je om met leden die denken: “Cybersecurity is belangrijk, maar ik heb nu andere prioriteiten”?
Dennis: ‘Dat is heel herkenbaar. Bedrijven hebben het druk met allerlei andere zaken, zoals wet- en regelgeving, stikstof-eisen en veranderende wensen van opdrachtgevers. Maar helaas hebben we ook leden gehad die slachtoffer zijn geworden van cyberaanvallen en dat heeft de bewustwording wel vergroot. We proberen via campagnes en verhalen van slachtoffers anderen te waarschuwen. Maar het blijft een lastig onderwerp, omdat het volgens velen niet direct bijdraagt aan de groei van een bedrijf. Het voelt meer als een preventieve maatregel en dat is niet altijd even populair.’
Wouter: ‘Dit is iets wat we overal zien. Cybersecurity krijgt pas echt urgentie als het misgaat. Daarom is het delen van verhalen van bedrijven die slachtoffer zijn geworden, zo belangrijk. Maar wat vaak vergeten wordt, is dat als je cybersecurity goed aanpakt, je uiteindelijk efficiënter kunt werken en je concurrentie positie kunt verbeteren. Je IT-processen op orde hebben bespaart op de lange termijn geld. Dat is een boodschap die we duidelijker moeten overbrengen. Het is dus niet alleen een kostenpost, maar ook een investering die op de lange termijn voordelen oplevert.’
Voorkom problemen door nu te investeren in goede digitale veiligheid en op de lange termijn pluk je daar de vruchten van?
Wouter: ‘Precies. Het gaat erom dat bedrijven begrijpen dat goede digitale veiligheid niet alleen draait om problemen voorkomen, maar ook om efficiënter werken. En dat besef moet doordringen, anders blijft cybersecurity iets waar bedrijven pas naar kijken als het te laat is, met schadelijke gevolgen van dien.’
(Wouter en Patrick van DongIT)
Martien, ik heb begrepen dat jij binnenkort van ondersteunende IT-partner wisselt. Waarom?
Martien: ‘Klopt. Ik ga weer terug naar mijn oude leverancier. De kosten bij mijn huidige partij explodeerden, vooral het aantal uren ondersteuning dat we nodig hadden. Mijn oude IT-partner had alles dichtgetimmerd en was heel streng maar daar had ik nooit een systeemuitval. Bij de nieuwe partij was dat anders. Dat heeft me ook aan het denken gezet over veiligheid. Je vertrouwt erop dat het goed geregeld is, maar als je niet zeker bent, raak je angstig. En dan hoor je verhalen van collega’s die gehackt zijn en wekenlang niet konden werken, of van een woningbouwvereniging hier in de buurt die werd gehackt en een maand plat lag.’
‘Als ik een maand lang geen facturen kan versturen of betalingen kan doen, dan heeft mijn bedrijf een groot probleem. Bouwbedrijven trekken dat financieel niet. Grote organisaties zoals woningbouwverenigingen kunnen zich dat misschien permitteren, maar voor mkb-bedrijven is dat catastrofaal.’
Dus eigenlijk best fijn, zo’n strenge IT-partner?
Martien (lachend): ‘Ja. Die is heel direct. Zo wil men niet meer met servers bij ons op locatie werken. Alles gaat nu naar de cloud bij Microsoft. En daar bestaat geen discussie over.’
Wouter: ‘Dat klinkt als goed advies. Het is belangrijk dat je de juiste balans vindt tussen veiligheid en werkbaarheid. Verhuizen naar de cloud klinkt misschien makkelijk, maar het moet wel goed geregeld zijn. Er zijn nog steeds veiligheidsrisico’s in de cloud, dus je moet zorgen dat alles goed gemonitord en beheerd wordt.’
Martien: ‘Mijn oude leverancier is heel fanatiek met veiligheid, wat op zich goed is. Maar ze hebben bijvoorbeeld weinig oog voor kleine problemen zoals een printer die het even niet doet, terwijl dat voor de eindgebruiker vaak het grootste probleem van de dag is.’
Jij gebruikt digitale systemen in je onderneming. Hoe belangrijk zijn deze voor de bedrijfsvoering?
Martien: ‘Heel belangrijk, ik kan niet zonder. En dat geldt niet alleen voor ons. Dergelijke systemen worden door veel aannemers gebruikt en de software zie je soms ook weer terug in andere sectoren, zoals de thuiszorg. Het is dus belangrijk dat dergelijke systemen veilig zijn, omdat er veel gevoelige informatie wordt verwerkt.’
Wouter: ‘Juist systemen waar veel organisaties van afhankelijk zijn, vormen een interessant doelwit voor hackers. Het uitbuiten van een enkele kwetsbaarheid kan een enorme impact hebben op alle gebruikers van dat systeem. Vaak beginnen ze bij kleinere bedrijven om onder de radar te blijven, maar zodra ze binnen zijn, kan alles als een kaartenhuis instorten. Daarom is het cruciaal om de hele keten te beveiligen, van de kleinste bedrijven tot de grotere organisaties.’
Patrick en Wouter; jullie hebben zogezegd een scan gedaan bij Martien. De conclusie is dat het allemaal redelijk goed in elkaar zit, maar er waren toch ook wat kwetsbaarheden te vinden?
Patrick: ‘Dat klopt. Kijk, je vindt altijd wel iets, dat is vrijwel onvermijdelijk. Het is niet zo dat de “voordeur” wagenwijd openstond, maar er zaten wel enkele kwetsbaarheden in die er niet zouden moeten zijn, zeker als er goed wordt gelet op beveiliging.’
Hoe gaan jullie te werk?
Patrick: ‘Binnen de beschikbare onderzoekstijd proberen we zo veel mogelijk beveiligingsrisico’s in kaart te brengen. We adviseren klanten om vooraf informatie met ons te delen, zoals inloggegevens of zelfs de broncode, zodat we sneller en efficiënter kunnen testen. Dit wordt een ‘grey box’ of ‘white box’-test genoemd. Een hacker die van buitenaf zonder die informatie werkt, op een ‘black-box’ manier, zou dezelfde kwetsbaarheden kunnen ontdekken, maar dat zou meer tijd kosten. We volgen vastgestelde standaarden en richtlijnen, zoals die van het NCSC, om ervoor te zorgen dat de beveiliging grondig wordt beoordeeld.’
Hoe lang duurde het voordat jullie kwetsbaarheden vonden?
Patrick: ‘Dat verschilt enorm per test. Soms vinden we ernstige kwetsbaarheden al binnen 15 minuten. In dit geval hebben we drie dagen handmatig getest binnen een testperiode van een week. Omdat we vanaf het begin inloggegevens hadden, konden we efficiënter te werk gaan en sneller resultaat boeken dan een hacker die die informatie niet heeft.’
Martien, wat heeft het platform Samen Digitaal Veilig enerzijds en de informatie van de pentest anderzijds jullie tot nu toe opgeleverd?
Martien: ‘In ieder geval letten onze medewerkers meer op. Ze sturen mij bijvoorbeeld een bericht als ze iets verdachts zien, zoals een gek mailtje. Dat hebben ze geleerd via het Samen Digitaal Veilig platform. Het is ook zo dat ze tegenwoordig de computers uitzetten na werktijd, in plaats van alleen een screensaver aan te laten. Er zijn dus kleine stappen gezet en dat draagt allemaal bij aan een betere cyberveiligheid. Wat betreft de kwetsbaarheden die uit de pentest kwamen, deze heb ik direct gemeld aan de leverancier.’
(Dennis Mollet)
Wouter en Patrick, de nieuwe Europese cyberwet, NIS2, komt eraan. De wet gaat over ketenaansprakelijkheid en grote bedrijven moeten ook afspraken maken met hun toeleveranciers over zaken als meldplicht, zorgplicht en back-up beleid. Zien jullie kansen voor mkb’ers om deze wet aan te grijpen om hun cyberweerbaarheid te verbeteren?
Wouter: ‘Absoluut. Voor bedrijven is dit een kans om op een eenvoudige manier vragen te stellen aan hun belangrijkste leveranciers. Bijvoorbeeld: “Hoe zijn jullie voorbereid op deze wetgeving?” Het is een legitieme vraag en het dwingt leveranciers om duidelijk te maken hoe ze hun beveiliging geregeld hebben. Op die manier kunnen mkb’ers in korte tijd antwoord krijgen op cruciale vragen over hun eigen cyberveiligheid.’
Martien: ‘Maar dan moet het antwoord wel begrijpelijk zijn. Als ik een softwareleverancier vraag of iets veilig is, krijg ik vaak een technisch verhaal waar ik niets van begrijp. Dan denk ik: “Het zal wel goed zijn”.’
Wouter: ‘Dat is een goede opmerking. Wat vaak gebeurt, is dat leveranciers een softwaretool draaien, een rapport genereren en dat naar jou sturen. Jij hebt geen idee wat het betekent, maar zij zeggen: “Kijk, we zijn goed bezig.” Daarom is het belangrijk dat je werkt met een gecertificeerde partij. Zo heeft het CCV (Centrum voor Criminaliteitspreventie en Veiligheid) een keurmerk geïntroduceerd voor pentesten en beveiligingsonderzoeken. Als een partij gecertificeerd is, weet je dat het rapport voldoet aan bepaalde eisen. Zelfs als je de technische details niet begrijpt, zie je in een management summary dat er bijvoorbeeld vijf van de tien punten op rood staan. Dan weet je dat er actie nodig is.’
Dennis: ‘Dit is een heel belangrijk punt. Toen de eerste conceptteksten voor NIS2 kwamen, hebben wij als brancheorganisatie gepleit voor duidelijke eisen aan IT-leveranciers. De bouwbedrijven zijn afhankelijk van hun leveranciers en het is essentieel dat die leveranciers aan bepaalde standaarden voldoen. We kijken naar wat bedrijven minimaal moeten kunnen leveren, maar ook of ze niet te veel verkopen aan bedrijven die dat niet nodig hebben.’
‘Het NIS2 Quality Mark is een initiatief van een aantal branches onder leiding van de stichting Kwaliteitsinnovatie, dat beschikbaar is via Samen Digitaal Veilig. Deze norm borgt dat bedrijven niet onnodig op hoge kosten worden gejaagd, maar wel de juiste ondersteuning krijgen.’
Dennis, hoe zien jullie tenslotte IT en cybersecurity de komende jaren?
Dennis: ‘Het blijft een kat-en-muisspel. Je ziet dat aanvallen steeds moeilijker te herkennen zijn. Het is daarom essentieel om IT-beveiliging op de agenda te houden en je mensen hierin mee te nemen. Als branchevereniging moeten wij onze leden blijven voorzien van kennis en tools om bij te blijven. Het Samen Digitaal Veilig platform speelt hierbij een zeer belangrijke rol.