Tijdens de woningcorporatiebeurs CorporatiePlein ’22, die donderdag 22 september plaatsvond in de Expo Houten, heeft Claranet een Security Scan gedaan bij een aantal woningcorporaties en de resultaten zijn bemoedigend. Security consultant Dries Paulussen: “We zien een zekere mate van security volwassenheid bij de corporaties, maar waakzaamheid blijft geboden. De criminelen zitten niet stil en het blijft een continue strijd om ze buiten te houden”.
Claranet Security Scorecard
Claranet heeft op basis van het NIST Cybersecurity Framework een eigen Security Scan ontwikkeld, waarbij een beeld over de volwassenheid van de Cyber Security wordt gevormd aan de hand van de antwoorden op een aantal vragen. Het NIST Cybersecurity Framework is een algemeen geaccepteerde leidraad, gebaseerd op bestaande normen, richtlijnen en praktijken om organisaties te helpen hun cyberbeveiliging beter te beheren en het risico te verlagen. Het Framework is georganiseerd volgens vijf belangrijke functies - identificeren, beschermen, detecteren, reageren en herstellen.
De security scan bestaat uit 17 vragen en deze hebben direct of indirect een relatie tot één van de beschreven functies in het NIST Cybersecurity Framework. Door elke vraag te voorzien van een weging (voortkomend uit ervaringen in de praktijk en de gevraagde effort bij de invulling ervan) kunnen we na het invullen van deze vragen een score bepalen. Deze score wordt dan geplot op de scorecard. De scorecard omschrijft het niveau waarop de ondernemer zich bevindt. Het niveau wordt omschreven in bewoordingen die te begrijpen zijn voor mensen zonder IT-achtergrond. Het niveau van de deelnemer kan dan als uitgangspunt genomen worden voor verdere diepgang en uiteindelijk leiden tot concrete acties.
Woningcorporaties hebben een zekere basisbeveiliging
“We hebben gezien dat er bij alle corporaties een zekere mate van basisbeveiliging aanwezig is” legt Dries Paulussen uit, “met de 17 vragen kun je in totaal 41 punten scoren; hoe zwaarder je maatregel, hoe meer punten je krijgt. We zien dat de score loopt van 15 tot 35, in onze classificatie loopt dat van ‘gevorderd’ tot ‘semi-pro’. Dat is goed nieuws. Het overgrote deel van de corporaties weet dat men onder vuur ligt en ze zijn ook echt bezig met de broodnodige bescherming van de medewerkers én huurders. Zo is het overgrote deel, maar liefst 90%, bezig met het trainen van de security awareness en hebben alle geteste corporaties een vorm van een patchbeleid voor hun IT-systemen en devices. Dat zijn hele makkelijke stappen waarmee je direct een eerste hindernis opwerpt voor de cybercriminelen.”
Werk aan de winkel
Het is echter niet alleen rozengeur en maneschijn; er zijn ook maatregelen waarin corporaties achterlopen op andere branches. Geen enkele corporatie is bezig met het continu testen van de IT-omgeving en slechts 39% van de organisaties gebruikt pentesten om de omgeving regelmatig te testen. Dries Paulussen: “we snappen goed dat dit ondergeschoven maatregelen zijn, het idee leeft dat pentesten en continue security testen horen bij organisaties die vaak en veel updates hebben op hun IT-omgeving mét webwinkel of applicatie. Maar ook corporaties kunnen veel baat hebben bij dergelijke testen. We hebben het over informatie van een groep huurders waarbij ook echt gevoelige en extreem persoonlijke informatie wordt opgeslagen in de systemen. Je moet er niet aan denken om dat kwijt te raken, laat staan dat het op straat komt te liggen. Dit soort testen zorgen ervoor dat lekken en mogelijke open deuren direct kunnen worden gedicht, erg belangrijk dus.”
Security vs. IT
“We zien in enkele punten ook een enorme verdeeldheid. Op de vraag ‘wordt data versleuteld’ is er een complete split in antwoorden, de helft doet het wel, de andere helft niet. Dit is ook iets wat wij wel kunnen signaleren, maar niet persé kunnen oplossen. Wij zijn security expert, maar ook IT-leverancier. Het is echter niet ons doel om de IT-partner van de corporaties te vervangen. We kunnen deze dienstverlening overnemen maar we weten ook dat veel corporaties tevreden zijn over hun huidige IT-partner. Daar gaan we niet aan tornen. Wij zijn in staat om onafhankelijk op het gebied van security te opereren. Wij zullen kritisch zijn op de IT-partner, maar dat zijn we ook als we dat zelf zijn! Wij worden juist vaak gebruikt als derde partij om de bestaande partner te controleren. Dat is dan ook ons advies aan alle organisaties, of het nu een corporatie is of niet, challenge jouw bestaande IT-partner en hou hem scherp op dit gebied. Het is echt van het grootste belang!”
Vervolgstappen
“De komende tijd gaan we met de geteste woningcorporaties aan de slag om te kijken waar we ze kunnen helpen om meer te beschermen,” legt Dries Paulussen uit. “Dat kan uiteenlopen van het plotten van de corporatie ten opzichte van de nu gemaakte benchmark, maar we zijn inmiddels al in gesprek met een aantal corporaties om een breder security-advies te geven. Deze oefening moet je ook echt zien als een snapshot van de huidige situatie waarmee je kunt kijken wat de eerstvolgende stappen zijn om de criminelen te slim af te zijn. Bij deze wil ik corporaties die deze test nog niet hebben gedaan, uitnodigen om contact met ons op te nemen om deze Security Scorecard met ons in te vullen om te zien hoe volwassen zij zijn in hun security.”