Informatiebeveiliging continue prioriteit voor het CBS

Cyber security
© Hollandse Hoogte / Westend61 GmbH
Door geopolitieke wijzigingen en een veranderend cyberlandschap wordt het steeds uitdagender voor overheden om de informatieveiligheid te waarborgen. Cybersecurity adviseur Dave Wurtz van het CBS vertelt hoe het statistiekbureau dit aanpakt. ‘We monitoren continu wat er precies op ons netwerk gebeurt.’
‘We zien de afgelopen jaren dat de noodzaak om ons voor te bereiden op aanvallen van buitenaf is toegenomen,’ vertelt Wurtz. ‘Het gaat dan bijvoorbeeld om DDoS-aanvallen, phishing of andere aanvallen op onze digitale middelen.’ Volgens Wurtz is het voor het CBS om allerlei redenen van wezenlijk belang dat deze dreigingen worden afgewend. ‘Een groot datalek bijvoorbeeld heeft negatieve gevolgen. Als dat er voor zorgt dat instanties ons de toegang tot bepaalde registers ontzeggen of dat mensen niet meer willen meewerken aan onze enquêtes heeft dat grote consequenties voor het CBS in het uitvoeren van zijn wettelijke taak.’

Onrust in de maatschappij

Maar er liggen ook andere gevaren op de loer. ‘Zo kan het voor vijandelijke, statelijke actoren interessant zijn om onze data van buitenaf te beïnvloeden. Op die manier zouden zij op wettelijk beleid invloed kunnen uitoefenen of onrust binnen onze maatschappij kunnen veroorzaken.’ Om dit soort scenario’s te voorkomen houden Wurtz en zijn collega’s het CBS-netwerk voortdurend in de gaten. Worden er verdachte inlogpogingen gedaan? Zijn er actuele dreigingen? Zo ja, waar zijn deze precies ontstaan? Het zijn vragen waar het Service Security Center, zoals het team heet waar Wurtz werkt, zich dagelijks mee bezighoudt.

Europese NIS2-richtlijn

‘We monitoren continu wat er precies op ons netwerk gebeurt,’ legt Wurtz uit. ‘Meldingen lopen we meteen na en we voeren vaak preventieve onderzoeken uit. Daarnaast draagt het team bij aan het versterken en vernieuwen van de digitale infrastructuur door het geven van IT-security gerelateerde adviezen aan collega’s.’ Ook veranderende en nieuwe wetgeving draagt bij aan de noodzaak om te blijven investeren in cybersecurity. Dit jaar wordt de Europese NIS2-richtlijn, regelingen vastgesteld door de Europese Unie om de veiligheid en weerbaarheid van haar lidstaten te verbeteren, uitgerold in Nederland in de vorm van de Cyberbeveiligingswet (Cbw). Om aan alle aspecten van deze wet te kunnen voldoen is het Service Security Center van het CBS in de afgelopen jaren flink uitgebreid.

Dave Wurtz is cybersecurity adviseur bij het CBS
© CBS

Zero Trust

De inrichting van de digitale infrastructuur, waarbij het Service Security Center betrokken is, berust op het Zero Trust-principe. Wurtz: ‘Vroeger ging men er vanuit dat het voldoende was om een grote, digitale muur om je netwerk en gegevens heen te bouwen. Zo lang niemand van buiten de organisatie die muur doorbrak, was er niks aan de hand.’ Maar dit idee is inmiddels achterhaald. Er zijn ook voldoende binnenmuren nodig. ‘Medewerkers kunnen nu bijvoorbeeld alleen bij de gegevens en diensten die nodig zijn voor hun eigen werk. Op die manier bouwen we een extra beveiliging in.’

Red teamingtest

Een van de onderzoeken die het Security Service Center heeft laten uitvoeren om het CBS te beschermen tegen aanvallen van buitenaf, is de zogenoemde red teamingtest. Een red teamingtest is een geavanceerde vorm van cybersecurityonderzoek waarbij op realistische wijze een cyberaanval wordt nagebootst op alle onderdelen van een organisatie: de digitale infrastructuur (hacken van systemen of applicaties), de medewerkers (aanvallen via phishing of social engineering) en bedrijfsprocessen (manipuleren of inspelen op bedrijfsprocessen met als doel het verkrijgen van bijvoorbeeld microdata). Het gaat dus om de volledige scope.

Digitale weerbaarheid

Wurtz heeft veel ervaring met dit soort testen. Bij zijn vorige werkgever, een groot consultancybureau op het gebied van cybersecurity, voerde hij red teamtesten uit voor veel andere organisaties. ‘Het doel is te achterhalen hoe effectief de bestaande beveiligingsmaatregelen zijn en om de organisatie inzicht te geven in mogelijke kwetsbaarheden. De resultaten van zo’n test vormen de basis voor gerichte verbetermaatregelen die bijdragen aan het versterken van de digitale weerbaarheid van de organisatie.’

Awareness campagnes

Wurtz waarschuwt ervoor om de nadruk te veel te leggen op de technologische aspecten van informatieveiligheid. ‘De meeste problemen ontstaan nog steeds door menselijke fouten.’ Bellen in de trein, wachtwoorden hergebruiken of inloggen op openbare wifi-netwerken. ‘Kleine dingen waar mensen niet over nadenken, maar die wel een groot risico kunnen vormen voor de veiligheid. Daarom organiseren wij doorlopend awareness campagnes om te zorgen dat CBS’ers nadenken over hun digitale gedrag.’ Bewustwording is volgens Wurtz essentieel om de veiligheid te waarborgen in deze steeds veranderende wereld. ‘Security is namelijk van iedereen.’

Relevante links