Bert Hubert over de papieren werkelijkheid vs. de echte wereld

DoorMarieke Rijken
Portretfoto van Bert Hubert

Digitale weerbaarheid begint bij eerlijkheid over onze afhankelijkheden, grip op de uitvoering en de bereidheid om verantwoordelijkheid te nemen. Dat zegt Bert Hubert, ondernemer, spreker en voormalig toezichthouder bij de AIVD.

In aanloop naar zijn keynote op Cybersec NL sprak hij met ons over uitval, blinde vlekken, bestuurskamers en de rol van de CISO. Zijn analyse is scherp, maar biedt ook richting. “Ik zie hoe wankel onze IT is. En hij valt vanzelf al om.”

Systemen die uit zichzelf al omvallen

De meeste storingen in onze digitale infrastructuur worden niet veroorzaakt door aanvallers van buitenaf, maar door systemen die uit zichzelf al niet stabiel zijn. “We hebben bruggen die niet opengaan, want ja, de software doet het niet. Of we kunnen ineens een halve dag niet pinnen.” Zulke incidenten komen regelmatig voor, en maken volgens hem duidelijk hoe kwetsbaar we zijn. Als zelfverklaard “grote nerd”, weet hij waar hij over spreekt. Zo heeft hij nog zijn eigen IT servers draaien. Vanzelfsprekend weet hij dus hoe het werkt, en wat er allemaal draait. Dat is niet overal zo. Steeds meer organisaties besteden hun IT en systemen uit, waardoor uiteindelijk niemand nog weet wat precies waar draait.

“Spullen die uit eigen beweging al omvallen, die zijn natuurlijk heel kwetsbaar voor iemand die van buitenaf daar een duwtje aan komt geven.” -Bert Hubert

Als een platform uitvalt, weet niemand wat er nog werkt

Veel organisaties zeggen dat ze hun belangrijkste systemen zelf beheren, maar als je doorvraagt, blijkt vaak dat niemand het precies weet. Een deel zit in de cloud, een deel is uitbesteed, en ergens draait nog iets op eigen servers. Hebben organisaties dit wel scherp in beeld? Daarnaast is het van belang dat je als organisatie weet wat echt belangrijk is, en wat niet. Die afhankelijkheden worden zelden getest. Zolang alles werkt, lijkt er niets aan de hand. Maar wat gebeurt er als het niet meer goed gaat? Bijvoorbeeld als een groot platform uitvalt? De gevolgen zijn vaak onduidelijk. “Wat werkt er dan nog? Het grappige is dat niemand dat eerlijk gezegd weet,” zegt Bert. Compliance zegt te weinig over wat er echt misgaat.

Veel organisaties hebben hun compliance netjes ingericht, met procedures, audits en rapportages. Op papier lijkt het allemaal keurig geregeld, maar dat zegt nog weinig over hoe systemen zich gedragen bij storing of aanvallen. Audit en compliance zijn niet de werkvloer. Onder al dat papierwerk gaat vaak een digitale werkelijkheid schuil waarin je verouderde systemen tegenkomt, access management een mysterie is en kwetsbaarheden blijven liggen. Juist op de werkvloer wordt zichtbaar wat er misgaat. Oude systemen, vergeten configuraties, achterstallige patches, het zit vaak net buiten de scope van controles. Om daar zicht op te krijgen, is echt contact nodig met de mensen die dagelijks met de systemen werken. Niet via rapporten, maar via gesprekken waarin je ruimte maakt voor wat er níét in de vinklijstjes staat. “Je moet niet als directeur in je pak afdalen en vragen of er nog iets is wat je niet weet. Dat is de verkeerde vraag. Maar je moet wel contact hebben om signalen op te vangen.” Alleen dan hoor je zinnen als: “Trouwens, we lopen twaalf weken achter met patchen.”

De CISO tussen beleid en praktijk

De positie van de CISO illustreert de spanning tussen formele verantwoordelijkheid en feitelijke grip. “Die moet wel beleid maken, moet daar wel zich mee bemoeien, maar is uiteindelijk niet verantwoordelijk voor de uitvoering.” Veel CISO’s kunnen hun bestuur tevreden houden door procedures te volgen, maar leveren volgens Bert daarmee niet altijd een bijdrage aan echte digitale veiligheid.

“Er kan gepionierd worden door meer tanden te krijgen. En wat weg te gaan van het beleid. En dichter te gaan naar de uitvoering.” -Bert Hubert

Hiermee wordt bedoeld: een CISO die alleen stuurt op compliance, mist zicht op wat er daadwerkelijk gebeurt. De risico’s zitten juist in systemen en processen die níet in het beleid staan, maar wel kritiek zijn in de praktijk. In zijn ogen zit daar juist de kracht: weten hoe iets echt werkt. Door nieuwsgierig te zijn en te begrijpen wat waar draait en wie toegang heeft, voorkomt dat veiligheid een papieren werkelijkheid is. “Je wordt gehackt in de echte wereld, niet in die mooie papieren compliance wereld.”

Defend Together: zonder samenwerking ben je nergens

Bij storingen schakelt de technische gemeenschap razendsnel met elkaar. “Dan zie je dat iedereen aan elkaar vraagt, is dit mijn storing, is dit jouw storing, is dit onze storing?” Omdat formele ketens vaak te traag zijn, zijn je netwerk, korte lijntjes en vertrouwen belangrijk. Je moet ervoor zorgen dat je weet wie je kunt bellen, als je nog kunt bellen. Die manier van samenwerken vraagt meer dan alleen technische afstemming. Het gaat om het actief opbouwen van relaties, elkaar weten te vinden in crisissituaties en open durven zijn over fouten of kwetsbaarheden. Defend Together, noemt Bert dat.

Niet toevallig is Defend Together ook het onderwerp van zijn keynote op Cybersec Netherlands. Hij hoopt daar mensen te spreken die snappen dat je zonder samenwerking nergens bent.

“De keerzijde van Defend Together zou natuurlijk Defend Alone zijn. En dan hoor je eigenlijk al wat voor een waanzin dat is.” -Bert Hubert

Over Bert Hubert

Bert Hubert is ondernemer, voormalig toezichthouder bij de AIVD en spreker op het komende Cybersec Netherlands op 10 en 11 september in de Jaarbeurs Utrecht. In gesprek met Security Innovation Stories deelt hij zijn zorgen over de digitale infrastructuur waar onze maatschappij op draait.

Vergelijkbare berichten