‘Het CBS hanteert sinds jaar en dag zeer strenge eisen op het gebied van informatiebeveiliging. Daarnaast beïnvloeden allerlei ontwikkelingen in de maatschappij het denken bij het CBS over informatiebeveiliging. De statistiekmakers zijn continu op zoek naar hoe het nóg beter kan. Dat is essentieel voor hun werk. Ik werk nu ruim 3 jaar bij het Security Service Center-team van het CBS en heb in het verleden veel ervaring op IT-gebied opgedaan, onder andere bij DSM, KPN en APG. Ons Security Service Center is een organisatieonderdeel dat zoveel mogelijk faciliteert op het gebied van informatiebeveiliging. Informatiebeveiliging is een hot topic bij het CBS. Het is onze taak het CBS en zijn medewerkers hierbij op allerlei manieren te ondersteunen.’
Awareness campagnes
‘Het Security Service Center voert continue scans uit om kwetsbaarheden op beveiligingsgebied op te sporen. Ook worden op regelmatige basis onderzoeken gedaan om te kijken of bijvoorbeeld de website, applicaties en infrastructurele diensten nog aan alle IT-eisen voldoen. Samen met onze externe securitypartner worden deze onderzoeken uitgevoerd. Zij helpen ons ook om de CBS-medewerkers voortdurend scherp en alert te houden op IT-gebied. Zo organiseren we phishing campagnes en houden we security enquêtes om extra bewustwording te creëren. Deze awareness campagnes worden periodiek herhaald. Het Security Service Center heeft een adviserende functie en biedt specifieke ondersteuning aan op het gebied van IT-beveiliging, bijvoorbeeld aan de statistische afdelingen binnen het CBS. Deze adviezen worden gevraagd maar ook ongevraagd gegeven en hebben betrekking op alle facetten van informatiebeveiliging. Dat is niet alleen IT-beveiliging, maar ook fysieke beveiliging.’
Belang van informatiebeveiliging
‘Mijn collega’s en ik zijn ook betrokken op het moment dat het CBS externe audits laat uitvoeren inzake informatiebeveiliging. Dit is een jaarlijks terugkomend fenomeen waarbij het Security Service Center verantwoordelijk is voor het beheer en onderhouden van het Information Security Management Systeem. Maar dat is slechts een deel van onze werkzaamheden. Het belangrijkste deel betreft het geven van security advies. Het gaat hier om diverse projecten zoals de implementatie van Managed Endpoint Detection & Response tooling, veilig data uitwisselen vanaf en naar het CBS, Kubernetes, Cloud Foundry, SIEM, etc. De veelzijdigheid van diensten die het CBS uitvoert, maakt ons werk divers en leerzaam. Het Security Service Center bestaat pas 2,5 jaar. Het is dus nog een ‘jong organisatieonderdeel’ dat de komende jaren flink zal groeien.’
Cyberaanvallen
‘Net als vele andere nationale en internationale organisaties heeft ook het CBS te maken met bedreigingen. Zo hebben ook wij te maken gehad met de Log4j kwetsbaarheid in december 2021. Via diverse communicatiekanalen kwamen bij ons signalen binnen dat een ernstige kwetsbaarheid was gevonden in Apache log4j. Deze module werd door veel softwareleveranciers gebruikt, waardoor de impact erg groot was. We moesten besluiten nemen die veel invloed op de organisatie hadden. Denk hierbij aan het afsluiten van specifieke diensten van het internet. Om dit probleem op te lossen, is er intensief samengewerkt tussen allerlei afdelingen van het CBS. Met de inzet van iedereen hebben we die klus in korte tijd tot een goed einde gebracht.’
