‘Eén moment van onoplettendheid is genoeg’



Alex Kooistra, Chief Information Security Officer en
André van Alphen, directeur ICT Services

Een hack bij UWV kan verstrekkende gevolgen hebben: persoonsgegevens liggen op straat, uitkeringen worden niet uitbetaald en bedrijven worden niet geholpen. Alex Kooistra, Chief Information Security Officer en André van Alphen, directeur ICT Services doen er alles aan om dit doemscenario te voorkomen.

Geliefd doelwit

Het Uitvoeringsinstituut Werknemersverzekeringen (UWV) heeft het arbeidsverleden van heel werkend Nederland in de systemen staan. Dit maakt het instituut een geliefd doelwit voor hackers. Alex: “Er wordt dagelijks bij ons op de deur geklopt. Individuen, organisaties en zelfs landen willen testen hoe de beveiliging hier is geregeld. Begrijpelijk, UWV is één van de grootste overheidsdiensten van Nederland en beschikt over heel veel persoonsgegevens. Daarom is het van groot belang dat onze systemen op een goede en adequate manier worden beveiligd. Elke medewerker levert op zijn eigen manier een bijdrage om die veiligheid te waarborgen. Het team van André is dag en nacht bezig met cyberveiligheid en houdt deze up-to-date.”

Weet wat speelt

André: “Er werken bijna 20.000 mensen bij UWV met evenveel computers. Dat vergt veel overleg, schakelen en communicatie. Waar lopen onze medewerkers tegenaan? Vergaderen via Zoom was bijvoorbeeld populair toen we gingen thuiswerken. Dat heeft slechts twee weken geduurd en vervolgens is de overstap naar het veiligere Microsoft Teams gemaakt. Verder hebben we awareness trainingen en wordt er veel gecommuniceerd. Als er wat speelt op het gebied van cyberveiligheid, plaatsen we het direct op Intranet. Een paar weken geleden werden via Facebook wachtwoorden gelekt. Dit soort incidenten delen we direct om mensen te laten weten wat in de wereld gebeurt en we leggen gelijk uit hoe je dit kunt voorkomen.”

Blijven investeren

Steeds vaker komen hackers binnen via leveranciers, systemen raken verouderd en security incidenten zoals ransomware-aanvallen nemen enorm toe. Alex: “In 100% veiligheid geloof ik niet in, de kans blijft bestaan dat UWV getroffen wordt door een hack. Aan ons de taak om dit te voorkomen. Cyberincidenten in de media zie ik als leermomenten. Is UWV hiertegen gewapend of moeten aanvullende maatregelen worden genomen? Als de weerbaarheid niet op orde is moeten wij als UWV passende maatregelen nemen. Ik noem dat onze dijkbewaking verstevigen. Dat is eenmaal zo. Je moet blijven investeren in cyberbeveiliging. De kwaadwilligen zitten ook niet stil.”

Weg met de schaamtecultuur

Niet iedereen is opgegroeid in het digitale tijdperk, de gemiddelde leeftijd van de UWV werknemers is rond de vijftig jaar. Om iedereen scherp te houden worden er regelmatig trainingen gegeven en nep-phishing mails verstuurd. André: “Dit is niet om mensen belachelijk te maken maar om aan te tonen hoe kwetsbaar je bent. Zo hadden leden uit onze raad van bestuur last van WhatsApp-fraude. Ook zij werden slachtoffer maar stonden erop het gewoon kenbaar te maken om er van te leren. Eén moment van onoplettendheid is genoeg om getroffen te worden. En ja, dat kan iedereen overkomen. Zelfs als je hier dagelijks mee bezig bent zoals Alex en ik.”

Wensen voor de toekomst

Het onderwerp cyberveiligheid kan volgens de heren nooit genoeg aandacht krijgen. Initiatieven zoals de Europese Cyber Security in oktober is een mooi begin. Maar eigenlijk is het hele jaar aandacht nodig. Alex: “Cyberveiligheid moet een prominentere plek op de politieke agenda krijgen. Ik mis nog een betere samenwerking op ministerieel niveau. Er is veel versnippering, al zijn door het benoemen van een CISO Rijk stappen gezet.” André: Samenwerking rijksbreed maar ook met private partijen is van het grootste belang. Wat mij intrigeert is dat we het altijd over aanvallen van buitenaf hebben. Dertig procent van de datalekken ontstaat van binnenuit, zowel bewust als per ongeluk. Waarom gebeurt dit en wat kan je eraan doen? Hoe zorg je dat 20.000 werknemers hun ogen en oren openhouden? Hoe beïnvloed je dit gedrag? Daar zou ik meer over willen leren.”