Kan de CISO er nog wat bij hebben?

Dimitri van Zantvliet, Chief Information Security (CISO) van NS staat samen met Mandy Andress, CISO van Elastic, AG Connect te woord in de vroege uren van het Elastic{ON}-evenement op 30 oktober in de Beurs van Berlage. Het gesprek gaat over de uitdagingen waar CISO’s vandaag de dag voor staan en hoe ze ermee omgaan. Veel organisaties zitten volgens Van Zantvliet aan het maximum van wat ze aan cybersecurity kunnen absorberen. “Het werkveld van de CISO is een helix van activiteiten, en er komt alleen maar meer bij. Vergeleken met tien jaar geleden is ook de verantwoordelijkheid van CISO’s alleen maar groter geworden.”

OT, IT en AI: een helix van complexiteit

In zijn eigen praktijk bij de Nederlandse Spoorwegen heeft Van Zantvliet te maken met drie technische domeinen: OT, IT en AI. Allereerst de oude OT, waar de soms zestig jaar oude treinen exemplarisch voor zijn. Er is ook de IT, waar de Wet van Moore geldt en het applicatielandschap elke zes jaar aangepast moet worden. Daar is het AI-landschap bijgekomen, met agents en generatieve AI, die elke drie maanden in kracht verdubbelt. CISO’s moeten dat als dirigenten orkestreren, zegt Van Zantvliet.

“De hoeveelheid cybercrime neemt enorm toe, zowel de attack surface als het threat landscape groeit. Volgens een recent rapport van Recorded Future stuurt de Russische staat nu gericht APT-aanvallen aan. Het vinden van gekwalificeerd personeel blijft een uitdaging. Dan is er nog de compliance pressure, waar de NS als kritieke infrastructuur ook mee te maken heeft. Wij moeten aan een tiental Europese wetten voldoen zoals NIS I en II, DORA, CER, CRA, CSA en de AI Act. Klanten vragen om ISO 27001-certificering. Organisaties zitten over het algemeen zo’n beetje aan het maximum van wat we aankunnen.”

Spanning tussen veilig en compliant

Mandy Andress van Elastic zegt dat de spanning tussen wat CISO’s moeten doen om compliant te zijn enerzijds, en wat er moet gebeuren om veilig te zijn, steeds groter wordt. “Het evenwicht daarin bewaren wordt steeds moeilijker. Heel vaak zijn er beperkingen in budget, middelen en scope. Wij proberen AI zo goed mogelijk te gebruiken om onze organisaties te beschermen tegen criminelen die ook AI inzetten. Maar wij hebben te maken met de AI Act en andere regelgeving, waar criminelen geen last van hebben. De regelgeving vertraagt ons, terwijl de andere kant heel snel vooruit gaat. Die balanceeract wordt elk jaar moeilijker vol te houden.”

Compliance fog

Van Zantvliet: “Veel Europese regels zijn directives die door de Europese landen omgezet moeten worden in lokale wet- en regelgeving. Die wetten kunnen onderling van elkaar afwijken. Een bedrijf dat in Europa actief is, kan met 27 uitvoeringsvarianten van dezelfde directive te maken krijgen. Dat noemen wij compliance fog, gebrek aan helderheid en eenduidigheid van regelgeving. Dat kan innovatie heel erg hinderen.”

Van Zantvliet en Andress zijn beide overtuigd van het belang van cybersecuritywetgeving en compliance, daarover geen twijfel. Andress: “Regulering helpt ons in het definiëren van doelen, het focussen van aandacht en het besteden van middelen. Het helpt bij het vinden van afstemming tussen het doel van een regeling en de realiteit van de wereld op dat moment. Want we moeten een manier vinden om die veel strakker op elkaar af te stemmen.”

Die alignment, de afstemming van de doelen van de organisatie - de business en de medewerkers - met de technologie-omgeving en de externe factoren, is voor Andress het belangrijkste probleem, dat als eerste moet worden opgelost. “Om de juiste investeringsbeslissingen te nemen moeten CISO’s veel meer betrokken raken bij de business om de informatie en datapunten naar voren te brengen die een senior business executive nodig heeft. Om zo echt een zinvol gesprek te hebben over waar we naartoe gaan vanuit een cyberbeveiligingsperspectief. Niet alleen in de eigen organisatie, ook industriële sectoren en bedrijven onderling moeten meer informatie delen over wat we zien en wat er aan de hand is, en collectief samenwerken om onszelf optimaal te beschermen.”

Cyberhygiëne niet op orde

“85 procent van de cyberaanvallen vindt nog steeds plaats omdat in de organisaties die het slachtoffer zijn de basis, de cyberhygiëne, niet op orde is,” zegt Van Zantvliet. “Dus als we geen regelgeving hebben om naleving van bepaalde basisnormen op het gebied van cyberbeveiliging verplicht te stellen, zal het niet gebeuren. Veel CISO’s krijgen door regelgeving als NIS II de wind in de zeilen in de dialoog met de Raad van Bestuur om financiering en tractie te krijgen. Ik ben blij met die wetten. Het is onze taak om ze te vertalen en ervoor te zorgen dat je een intern controle framework hebt waarin je die wetten kunt laten landen, zodat je niet voor elke wet iets nieuws hoeft te verzinnen. Dan wordt de wereld een beetje veerkrachtiger.”

Binnen NS bestaan tien veiligheidsdomeinen en cybersecurity is daar als laatste aan toegevoegd. Het beveiligings- en veiligheidsbewustzijn van NS-medewerkers is volgens Van Zantvliet sterk ontwikkeld. “De bekende veiligheidsmechanismen moeten ook in de organisatie worden gebracht op het vlak van cybersecurity. Daar hebben we geen 200 jaar de tijd voor.” Toch, zegt hij, zou die focus op awareness aangaande cybersecurity niet nodig moeten zijn. “IT-afdelingen over het algemeen moeten hun werk beter doen en voorkomen dat er überhaupt phishing e-mails binnen komen. We hebben zoveel automatisering, we investeren miljoenen in allerlei systemen, voor E3 en E5-licenties, in de SIEM’s en SOC’s die we hebben, en toch komen die aanvallen nog steeds binnen. Dat moet gewoon beter.”

“We dachten met z’n allen dat we e-mail security onder controle hadden,” zegt Andress. “Er werd enkele jaren maar weinig in geïnvesteerd. Nu zien we een heropleving van de focus op e-mailbeveiliging, omdat AI wordt gebruikt door kwaadwillenden en ze in staat stelt om zeer geavanceerde, op maat gemaakte, realistische berichten te maken, waarbij het veel moeilijker wordt om te bepalen of het een phishing-bericht is.”

Ecosysteem niet vergiftigen

Volgens Van Zantvliet is het in feite een verantwoordelijkheid van het hele ecosysteem. “Wanneer je kijkt op internet.nl zie je een lijst van organisaties die hun e-mail-instellingen goed geregeld hebben en de organisaties die dat niet doen. Je kunt gewoon zien welke bedrijven e-mail op de goede manier gebruiken. Bedrijven die geen gebruik maken van SPF (Sender Policy Framework), DKIM (Domain Keys Identified Mail) en DMARC (Domain-based Authentication, Reporting, and Conformance) vergiftigen het hele ecosysteem. Als Nederlandse samenleving zijn we onwetend en we zeggen niet tegen die organisaties dat ze dat moeten doen. Waarom stellen we dat niet verplicht en delen we geen boetes uit aan organisaties die hierin tekort schieten?”

Andress hamert nog maar eens op het belang van het fundament op orde hebben. “Een deel van wat er nu gebeurt, is vergelijkbaar met de dagen van Google hacking. Toen werd Google Search gebruikt om patronen en kwetsbaarheden te vinden. AI breidt die kennisbank nu uit en je kunt informatie over potentieel kwetsbare systemen vinden die kan helpen bij het aansturen of uitvoeren van een aanval. Dat gezegd hebbende, komen de meeste aanvallen nog steeds in de meest basale vorm van gewoon inloggen met gevonden credentials. We kunnen heel veel praten over AI, de complexiteit en hackers, maar we moeten terug naar het fundament, de hygiëne en de basis goed doen. Want als je dat niet doet, kunnen kwaadwillenden gewoon ongezien door de voordeur binnenlopen.”

Van Zantvliet is medeoprichter en voorzitter van het CISO Platform Nederland en in die hoedanigheid soms politiek actief, ook in Europa. Zo stuurde het CISO Platform een open brief naar de fractievoorzitters in de Tweede Kamer met onder meer een dringend verzoek om in het volgende kabinet een volwaardige minister van Digitale Zaken te benoemen. Met het mandaat en de middelen om regie te voeren op cybersecurity, digitale en technologische soevereiniteit, AI, datagebruik en strategische innovatie. Van Zantvliet: “We lopen in Nederland op een aantal vlakken achter. NIS2 en de daaraan gerelateerde Critical Entities Resilience Directive zijn in Nederland bijvoorbeeld nog steeds niet geïmplementeerd. De Nederlandse regering heeft echt een minister voor Digitale Zaken nodig.”