Met de oceanen van gevoelige data die ze beheren – vaak gegevens van mensen uit de meest kwetsbare lagen van de bevolking – zouden social-profitorganisaties iets meer prioriteit mogen geven aan cybersecurity. Patrick Coomans (Vinçotte) en Johan Klykens (Centrum voor Cybersecurity België) vertellen waarom en hoe.
Hebben hackers het specifiek op social-profitorganisaties gemunt?
Dat niet, zegt Patrick Coomans. Maar wereldwijd ziet de Global Product Owner Cybersecurity bij inspectie- en certificatie-instelling Vinçotte wel een toename in het aantal aanvallen op precies deze sector. “Grote ziekenhuizen bijvoorbeeld, die krijgen daar enorm mee af te rekenen. Maar het is geen bewuste keuze van hackers: die gaan heel opportunistisch te werk. Ze scannen netwerken, zonder zich bewust te zijn van welke organisatie ze aan het hacken zijn. Ze kijken gewoon wie bepaalde patches nog niet heeft geïnstalleerd. En daar zit het ‘m dan: in de socialprofit is er doorgaans weinig aandacht geweest voor het up-to-date houden van IT-omgevingen.”
Open deuren
Sociale ondernemingen zijn dus vaak een makkelijk doelwit voor cyberbooswichten. Door, ten eerste, een schrijnend gebrek aan bewustzijn op gebied van computerbeveiliging. Johan Klykens, Directeur Certificatie bij het Centrum voor Cybersecurity België (CCB), ziet nog een paar andere redenen. “Het zijn organisaties die dikwijls gevoelige persoonlijke data verwerken. Bovendien werkt de socialprofit vaak met kwetsbare mensen. Iedereen heeft een smartphone, maar niet iedereen heeft toegang tot de juiste informatie om dat toestel goed te beveiligen. Rond multifactor-authenticatie (MFA), wat wij als een heel belangrijke eerste stap zien, valt er nog heel wat meer awareness te creëren.”
Bovenop die datagevoeligheid, dat gebrek aan besef en de budgettaire beperkingen is er ook de toegenomen digitalisering in het aanbod van de organisaties. “Het wordt tijd dat cybersecurity daarin wordt meegenomen”, zegt Coomans. “Er zijn organisaties die liever investeren in een nieuwe MRI-scanner dan in een volledige update van alle computers. Maar je mag dat nooit zien als een keuze voor het één of het ander. Helaas moet je beide doen. We leven nu eenmaal in die convergerende wereld, die nieuwe opportuniteiten maar ook nieuwe gevaren met zich meebrengt.”
Blended dienstverlening
Bovendien wordt het aanbod van social-profitorganisaties in toenemende mate blended, met een fysieke en digitale component. E-learnings in de jeugd- en gezinszorg bijvoorbeeld. Telemonitoring in de healthcare. Digitale zelfhulpmodules in de mentale gezondheidszorg. Maar wat als die digitale poot wordt gebouwd op een platform dat niet ordentelijk beveiligd is?
“We zien een forse convergentie tussen IT, informatietechnologie, en OT: de hard- en software die industriële apparatuur, activa en processen monitort of bestuurt”, zegt Coomans. “En dat neemt nu nog toe met de komst van artificiële intelligentie. Je ziet vaker en vaker dat het leadership in sociale ondernemingen tot het besef komt dat ze op AI moeten inzetten. En ja, dat klopt. Maar dan moet je ook heel veel data verzamelen. Dus wordt er nog méér geïnvesteerd in sensoren, nog méér in connectiviteit. Dikwijls met toestellen die daar vanuit een cybersecurityperspectief nooit voor ontworpen zijn geweest. Het vergroot de aanvalsoppervlakte. Er moet dus eerst een veilige computeromgeving zijn voordat men stappen kan zetten naar een data-driven architectuur. Het is een kwestie van veiligheid. Iedere machine die door een operator of een medische assistent bediend wordt, heeft veiligheidsrichtlijnen en -normen om ervoor te zorgen dat mensen niet gewond geraken in de bediening ervan. Vandaag komt daar ook die digitale component bij: zonder kun je onmogelijk nog die veiligheid garanderen.”
Johan Klykens van Centrum voor Cybersecurity België
Frameworks en Zwitserse kaas
Het CyberFundamentals Framework, dat het CCB heeft opgesteld om bedrijven en organisaties hun cyberweerbaarheid te helpen opkrikken, is volgens Klykens een stevige eerste stap. “Het helpt hen om op een heel pragmatische manier de belangrijkste risico's af te dekken”, zegt hij. “Via aanvalsdata uit gelukte aanvallen die we hebben verzameld via het CERT, zeg maar de ‘cyberbrandweer’, haalden we 34 maatregelen, waarmee je organisatie toch 80 procent van de aanvallen zou kunnen weerstaan. Als je ze honderd procent perfect invoert bedoel ik, wat uiteraard maar theoretisch is. Maar het geeft aan dat je op een eenvoudige manier heel wat bescherming kunt inbouwen en heel wat risico's kunt afdekken.”
Als coach cyberveiligheid bij Groeilabz is Coomans zich bij Verso aan het inzetten om sociale ondernemingen te helpen in het verhogen van hun cyberresistentie. “Maar Rome is natuurlijk ook niet op één dag gebouwd”, vervolgt hij. “Eerst moet er het besef komen dat cybersecurity essentieel is. Die awareness creëren klinkt makkelijker dan het is, want je moet je verdedigen tegen een onzichtbaar gevaar. Iemand in de bouwsector die op twaalf meter hoogte niet-gezekerd staat te werken, die ziet en voelt het gevaar, die kan de impact van wat hij doet intuïtief inschatten. Ook in de zorgsector is er een gewoonte om maatregelen te nemen, onder meer met betrekking tot hygiëne. Met Covid-19 is er een enorme inzet geweest naar wat men het Swiss Cheese-model noemt: een gelaagde veiligheid waarbij we denken aan maskers, afstand, handhygiëne, vaccinatie, luchtverversing, awareness, opleiding, checklists, enzovoort. En dus ook tegen een onzichtbaar risico. Zo’n gelaagd model, met technologie en menselijke processen, een Defense In-Depth-aanpak met cybersecurity en safety bij elkaar, daar moeten we ook op dit gebied naartoe.”
Regelgevend kader
Wat ook helpt is dat er stevig wordt getimmerd aan een regelgevend kader op gebied van cyberbeveiliging. Kijk naar de Europese NIS2-richtlijn, die bedrijven en organisaties verplicht om te voldoen aan minimale cyberbeveiligingsmaatregelen. Het CCB heeft nu al risk assessment tools ter beschikking waarmee bedrijven die onder de NIS2 vallen zelf hun cyberrisico’s in kaart kunnen brengen. En daardoor misschien beseffen dat ze niet aan de allerhoogste standaarden moeten voldoen. “Kijk, heel concreet, naar woonzorgcentra”, zegt Klykens: “uiteraard vormen die wat in het kader van NIS2 een ‘essentiële entiteit’ wordt genoemd. Maar de maatregelen die ze nemen moeten wel proportioneel zijn. Via die risicoanalyse kun je verantwoorden dat maatregelen van basic-niveau voor de meeste van die organisaties voldoende zijn. We hebben proportionaliteit ingebouwd in overleg tussen de CCB als bevoegde overheid en de sectorale autoriteit. We kunnen organisaties sanctioneren als ze niet voldoen aan cyberveiligheidsstandaarden, maar dat zien we echt als een allerlaatste stap. Continue verbetering van cyberveiligheid is veel belangrijker. We hebben maar één tegenstander, en dat is de cybercrimineel.”
Er is overigens veel meer aan de gang dan alleen de NIS2, zegt Coomans. “De nieuwe Machinerichtlijn bijvoorbeeld, die in januari 2027 van kracht zal worden, en waarin cybersecurity een belangrijk element is. Verder komen er nieuwe regels rond processsafety, waarin je ook cybersecurity-elementen naar voren ziet komen. Er is nieuwe regelgeving rond het certificeren van toestellen voordat ze op de markt mogen komen. Er is een radio equipment directive die vanalles vereist met betrekking tot toestellen met straling. De Cyber Resilience Act legt leveranciers op hoe lang ze cybersecurity updates zullen moeten blijven verstrekken. Iedereen spreekt nu over NIS2, maar het is veel, veel ruimer. Het gaat over het doortrekken van cyberweerbaarheid doorheen de hele keten.”
