De bijdrage van Logius aan de informatiebeveiliging van haar afnemers - Logius Roadshow oktober 2022
- Download in MP4 HD formaat MP4 HD | 872.1 MB
*Muziek speelt*
Titel in beeld: Remote Roadshow oktober 2022
Titel in beeld: De bijdrage van Logius aan de informatiebeveiliging van haar afnemers
En als we dan die diepte induiken, dan gaat het uiteraard over veiligheid.
Want zoals aangekondigd, dat is het centrale thema van deze Roadshow.
En gaat het dus over informatiebeveiliging en die relatie met veiligheid.
Theo van Diepen is Chief Information Security Officer.
Oftewel de CISO van Logius. Dag Theo. -Dank je wel. Dag, Maarten.
Ja, fijn dat je er bent. We gaan het over veiligheid hebben. Jij ademt veiligheid.
Dat zou moeten, ja. Dat is een soort passie.
Op heel veel congressen gaat het over veiligheid.
En uiteindelijk zegt iedereen: Bij de Starbucks start ik ook m'n computer op.
En dan ga ik even op het wifi-netwerk. Jij zou dat nooit doen.
Nou, dat hangt ervan af. Dat kan een bewuste afweging zijn.
Maar ik denk ook dat je niet moet vermengen in wat je zelf doet.
Dat kan een bewuste afweging zijn en de taak die wij als Logius hebben..
We mogen niet een afweging maken voor 17 miljoen burgers.
Dus ik zit af en toe met een pet op, wat doe ik zelf...
en wat moeten we met onze voorzieningen voor Nederland doen?
Dat begrijp ik, maar ik hoop...
dat degene die aan veiligheid werkt voor Logius zelf ook veilig is?
Ik denk dat het bij deze loodgieter thuis niet lekt.
Dat bedoel ik. =-dat denk ik.
Wat doet de CISO dan? De Chief Information Security Officer?
Thuis zit alles op orde. Eigenlijk is het is heel saai om dat te vertellen...
maar ik stel kaders en ik adviseer en ik toets.
Dat klinkt natuurlijk allemaal wat hoog over en het gaat heel erg om processen.
Maar eigenlijk organiseer ik informatiebeveiliging binnen Logius.
Dat doe ik niet alleen. Ik ben geen superspecialist...
die bij Digipoort, DigiD en bij Diginetwerk en bij alle Digi-diensten die wij doen...
binnenkomt en kijkt of het allemaal veilig is en er allemaal hackers op afstuurt.
Maar we zijn een behoorlijke organisatie met veel dienstverlening.
Binnen die dienstverlening maken wij gebruik van IB-specialisten.
Dat is een soort netwerk waarmee ik in contact sta.
Dus eigenlijk stuur ik dat inhoudelijk aan. Dat moet binnen de kaders gebeuren.
En dat is eigenlijk mijn job en daarnaast heb ik...
ongelofelijk veel contact met heel veel partijen binnen en buiten Logius.
Maar het boeiende is, je houdt ook toezicht.
Ja, dat is wel een rol. =-Dus je kijkt ook...
naar de diensten die Logius aanbiedt en je vraagt je af: Is dat nou veilig?
Maar tegelijkertijd heb je daar zelf de kaders voor gesteld.
Ik vind dat ingewikkeld in mijn hoofd. De slager die zijn eigen vlees keurt.
Ja, zo lijkt het. Maar het zit net iets anders in elkaar.
Dat hoop ik te kunnen uitleggen. =-dat lukt je vast.
We werken eigenlijk met een soort model waarin de operatie...
bepaalde maatregelen neemt binnen die dienstverlening.
Dus we gaan het straks onder andere over tweefactorauthenticatie hebben.
Dat is een maatregel binnen die dienst en die maakt dat dan mogelijk.
Ik stel een kader en dat zegt: Ik vind dat voor toegang, voor een beheerder...
voor een bepaalde applicatie of een bepaalde dienst van ons...
die moet altijd met tweefactor inloggen. Dat is een kader dat ik stel.
En wat ik dan vervolgens doe, is toetsen of dat wel waar is.
Maar om te toetsen of mijn kaders wel kloppen, is er ook nog een derde lijn.
En die kent iedereen wel als de Auditdienst Rijk, de ADR.
We hebben ook nog een Rekenkamer die allerlei onderzoeken doet.
Dus daar heb ik ook mee te maken. En ik probeer ook...
Ik had het in het begin al over die petten.
De adviserende rol bij mij is omdat ik ook wel over de inhoud ga...
maar ik probeer het dus geen ivoren toren te laten zijn.
Maar ik probeer vanuit mijn tweedelijnsrol de eerste lijn daarin te ondersteunen.
Even eerlijk, tussen jou en mij, wat vind je het leukst?
Gewoon die inhoudstijger zijn of toch een beetje...
die organisatie proberen te helpen, meer op afstand?
Het is leuk dat je dat vraagt, want ik leef echt op de inhoud.
En ik ken ook echt wel CISO's in het hele CISO netwerk, die leven niet op de inhoud.
Die vinden de inhoud interessant, want daar draait het om, vind ik natuurlijk...
maar die leven echt op die organisatie omdraaien.
Wat ik mooi vind, is dat je op basis van die inhoud...
toch de organisatie ook een beetje kunt kneden, een beetje dingen kunt meegeven.
Laten we daar eens naar kijken. Je komt met een advies bij het directieteam.
Dan moet er dus strenger worden ingegrepen als het gaat over beveiliging.
Ik roep maar wat, er moeten nieuwe kaders komen.
Dat lijkt me complex en het kost altijd heel veel geld.
Dus jouw boodschap is meestal: extra mensen erbij.
Nou, dat kan een boodschap zijn. Maar die boodschap bestaat...
Ja, ik kom altijd met een grote glimlach heel veel slecht nieuws brengen.
Dat lijkt zo, maar dat is niet helemaal zo...
want volgens mij hebben wij als Logius met zoveel afnemers en zoveel mensen...
jij en ik, die ook als burger onze dienstverlening gebruiken gewoon een taak.
Dus dat biedt ook gewoon kansen.
Dus ik denk ook dat, even als voorbeeld, DigiD is een hele bekende.
Die wil ik niet steeds als voorbeeld gebruiken, want we zijn meer dan DigiD.
Hoewel DigiD het op een verjaardagsfeestje altijd goed doet, in bekendheid.
Maar als wij het hebben over DigiD, dan is dat een inlogmiddel...
voor meer dan 3000 organisaties op dit moment.
Ik denk echt dat je beter één goed middel kunt gebruiken dat je goed beveiligt...
dan dat je op 3000 plekken allerlei losse inlogmodules...
En is het dan ook jouw rol en taak om...
laten we zeggen, de bedreigingen van buitenaf goed te monitoren?
En de organisatie daar goed op voor te bereiden?
Of dat nou nieuwe trends zijn in ransomware of in DDoS-aanvallen of op allerlei....
De oorlog in de Oekraïne en de spanning met Rusland is ook een cyberoorlog.
Dat lezen we niet in de krant, maar we weten achter de schermen dat het gebeurt.
Is dat ook waar jij je dan mee bezighoudt?
Het is in ieder geval een onderwerp waar ik me ook druk over maak.
Ik kan dat niet in m'n eentje doen.
Dus een onderdeel, Geert gaf net al even aan bij de intro...
dat we ook een Security Operations Center hebben zitten.
Dat zijn de partijen die eigenlijk dagelijks...
naar die dreigingen kijken die op ons afkomen.
Ik vervul zelf de rol met het Nationaal Cyber Security Center, het NCSC...
dat is het Computer Emergency Response Team voor Nederland, het CERT.
En zij houden vitale organisaties en Rijksoverheid...
wij vallen eigenlijk onder beide punten...
die houden zij op de hoogte van onder andere de oorlog in Oekraïne...
en wat dat voor ons kan betekenen. Daar kunnen wij op acteren...
om alvast preventieve maatregelen te nemen.
En is dat nou sinds het uitbreken van de oorlog geïntensiveerd?
Nou, als je kijkt naar de oorlog, en ik ben geen oorlogsexpert...
maar als je kijkt naar de adviezen...
dan zie je wel dat er dingen zijn waargenomen en worden waargenomen.
Maar het accent van de oorlog richt zich op dit moment...
nog steeds niet helemaal op cyber en datgene...
althans, het cyberdeel richt zich ook niet per se op bijvoorbeeld Nederland.
Dus er zijn wel actoren om rekening mee te houden...
maar die zijn niet per se anders dan voor de oorlog.
Dus er is een verscherpt toezicht, maar misschien nog niet...
Ja, volgens mij zijn degenen die aan het oorlog voeren zijn...
op dit moment nog drukker met elkaar bezig dan dat ze denken:
We gaan nu naar de Digipoort. =-Het gevoel van de buitenkant.
Dat het echt bijna een soort klassieke eerste wereld grondoorlog is geworden.
Inclusief ongetrainde soldaten.
Ja, even terug naar Logius en veiligheid.
Om dus de dienstverlening van Logius veiliger te maken...
voer je bijvoorbeeld assessments uit. Wat zijn dat dan?
Ja, de assessments, die komen ook uit de DigiD-hoek.
Naar aanleiding van Lektober. Dat was in 2011. Het lijkt al heel lang geleden.
Dat is het ook eigenlijk wel, 11 jaar geleden zijn we daarmee gestart.
En eigenlijk zeggen we met de aansluitvoorwaarden van DigiD...
komen we straks ook nog wel even op terug, denk ik...
daarmee zeggen we: Om van DigiD gebruik te kunnen maken...
moet je aantonen dat je als organisatie zelf ook een bepaald niveau hebt.
Wij verzamelen dan die assessments.
Dus je moet dat als organisatie zelf laten uitvoeren.
Die organisatie laat dat door een, dat heet een Registered EDP Auditor uitvoeren.
Die zet daar z'n handtekening onder, dat is een soort kwaliteitskeurmerk.
Wij ontvangen dat en als je daar niet aan voldoet...
dan heb je een bepaalde tijd om daar wel aan te voldoen.
Maar je zou daarmee dus ook afgesloten kunnen worden van DigiD.
Als je niet voldoet, mag je niet meer meedoen.
Dat is een beetje het idee, ja. Maar dat wil je natuurlijk wel voorkomen.
Het moet ook toegankelijk zijn.
Moet Logius nou een snelle en wendbare organisatie zijn...
om die informatiebeveiliging goed te kunnen uitvoeren?
Of zeg je: Het is ook niet zo erg als, de manier waarop we werken...
is soms ook wel een beetje een groot schip wat langzaam draait.
Ja, dit is een lastige vraag. Wij zijn snel en wendbaar.
We hebben een nieuwe werkwijze. We werken volgens de SAFE methodiek, Agile.
Dat kennen heel veel afnemers ook wel van ons.
We hebben de afgelopen twee dagen een PI-event, een planningevent...
Ik probeer de afko's te vermijden.
Doe je best, aub. -Ja, precies. Will do.
Maar het idee met die planningevents...
is om heel snel te kunnen doorontwikkelen. Ik denk dat dat heel goed is.
We hebben ook de mogelijkheid om snel te kunnen doorontwikkelen.
Tegelijkertijd zie je ook dat Logius een stuk groter aan het worden is.
En dat betekent ook dat sommige dingen niet altijd als vanzelf gaan.
En we zijn niet alleen maar dienstverlening aan het doorontwikkelen.
We zijn soms ook gehouden aan bepaalde contracten.
Dan moeten we iets nieuws bouwen en daar staat...
bijvoorbeeld een infrastructuur, daar draait heel veel op en 't kost tijd...
om dat op een niet alleen veilige manier, maar gewoon ook qua beschikbaarheid...
om dat door te migreren, dus...
om op jouw vraag terug te komen, ik neig wel naar het eerste...
maar in de praktijk zie je wel, we blijven helaas soms ook wel een beetje overheid.
Ja, maar de doelstelling is ook, en daar zit jouw werk heel erg in...
om toch een behoorlijk wendbare organisatie te zijn...
die, laten we zeggen ook risicomanagement meeneemt.
Dat betekent dat je de dienstverlening voor ons Nederlanders ook niet...
achter de meest veilige muur kunt zetten, want dan is het onwerkbaar.
En veiligheid is altijd een afweging tussen...
het wel doen, maar het werkbaar houden en het zo veilig mogelijk maken.
Dat zou mijn tekst kunnen zijn, ja. -Ja, ik probeer een beetje mee te denken...
en het allemaal een beetje te begrijpen, ook voor u.
Als we geen verkeersdoden willen, dan moeten we niet meer in de auto stappen.
Maar dan komen we ook nergens. -Nee, ik kom uit de netwerkhoek.
En we zeiden voor de gein: het veiligste netwerk...
is er één waarop je geen gebruikers aansluit. Zo is het wel.
Dus als je kijkt naar de dienstverlening, dan gaat het om een risicoafweging.
En de echte hardcore informatiebeveiliger...
wil het liefst alles dichtzetten, want anders is het niet veilig.
Maar wat zijn dan de risico's voor Logius zelf?
Als je kijkt naar Logius, dan is een heel groot risico...
gewoon echt een grote dreiging waar we met enige regelmaat mee te maken hebben...
dat zijn DDoS-aanvallen en ik wilde de afkortingen vermijden.
Maar die kennen we. =-Heel veel mails tegelijk naar één website.
Ja, het zijn meer dan mailtjes, dat zit heel ingewikkeld.
Dat kennen we een beetje uit de bankentijd van een jaar of vijf, zes geleden.
Maar die tool wordt nog steeds gebruikt?
We kennen het in Nederland vanaf 2013 serieus, dat begon ook met de banken.
En je moet me afremmen, want met dit onderwerp kan ik al 1,5 uur vullen.
Ik bewaak de klok, dat komt wel goed. =-Maar daar kennen we het.
We hebben in 2018, dat is een mooie verschuiving, gezien...
toen kwamen de banken, maar ook DigiD kwam wederom aan bod.
In die tussentijd is het niet weggeweest.
Wat er in de tussentijd wel is gebeurd, is dat er in 2013 werd gekeken:
Zijn er maatregelen getroffen? Nee, dan gaan we je aanvallen.
We hebben maatregelen getroffen. Vanaf 2018 is het een kat-en-muisspel geworden.
Er zijn serieuze maatregelen getroffen...
maar op het moment dat een maatregel niet helemaal lekker werkt...
of bijgesteld moet worden, zie je gelijk, als je daar iets op doet...
dat de aanvaller gelijk een andere aanval...
Dus je ziet een reactie tussen de aanvaller en de verdediger.
En andere vormen van een aanval? Dus phishing mails proberen toch...
individuele medewerkers te hacken om binnen te komen bij Logius?
Phishing mails, dat is ook wel interessant.
Phishing heb je op verschillende niveaus eigenlijk.
Dus je zou kunnen zeggen, ik wil bij Logius binnenkomen.
Je kan natuurlijk naar het pand en kijken of je jezelf naar binnen kan praten.
Maar je kunt ook proberen beheeraccounts te gaan phishen.
Dus dan gaat het echt om mensen. Wat je ook heel veel ziet...
is dat DigiD, dat is een hele sterke merknaam in Nederland...
en dat dan DigiD als merknaam wordt gebruikt om...
ook die gaf je bij de intro al even aan, om mensen geld afhandig te maken bij banken.
En we halen echt letterlijk honderden sites uit de lucht...
waarbij die DigiD als merknaam wordt gebruikt.
En de overheid of Logius heeft de macht om die sites uit de lucht te halen.
Ja, het klinkt als een machtsmiddel, maar wij kunnen dat inderdaad aangeven.
Dan moet de provider hem offline halen. Ja, dat is hoe het werkt.
En hoe snel gaat dat dan? =-Dagen.
Dat kan heel snel en soms duurt het wat langer en dat heeft ermee te maken...
Wij willen geen valide sites uit de lucht halen...
dus er vindt altijd even wat hoor en wederhoor plaats.
Maar ja, zo gaat dat inderdaad. =-Dank je wel. Ik leer bij.
Ik ben blij dat je de digitale kant van onze samenleving probeert te beschermen.
Laten we er maar induiken met alle verhalen die de collega's willen delen.
We beginnen met het Diginetwerk. Jij blijft lekker zitten.
Ik blijf zitten. -Je weet hoe 't werkt bij een sidekick.
Je mag er altijd dwars doorheen. -Ik doe m'n best.