Onlangs werd Nederland ‘platgelegd’. Meerdere overheidsinstanties hadden last van een storing in een netwerk van Defensie. Dit leidde tot problemen bij onder andere hulpdiensten, de Kustwacht, de Koninklijke Marechaussee, DigiD, de GGD en Eindhoven Airport. Kunnen bedrijven en overheden voorkomen dat ze volledig de klos zijn door dergelijke fouten? En zijn we te afhankelijk geworden van software, en softwareontwikkelaars? In deze column leggen we deze – en andere – vragen voor aan expert Patrick Jordens. Hij is directeur van de Trusted Third Party (TT3P): een Nederlands bedrijf gespecialiseerd in cybersecurity.
Patrick Jordens
Patrick Jordens (1969) is een ondernemer met een hart voor digitale veiligheid. Hij is directeur van de Trusted Third Party en oprichter van DMCC Group, dat organisaties helpt voldoen aan alle externe wet- en regelgeving en interne beleidsregels op het gebied van privacy en consumentenrecht. Ook is hij gastdocent marketing, dataprivacy en ethiek aan de Hogeschool van Rotterdam.
Zijn we als samenleving te afhankelijk geworden van softwareontwikkelaars?
“Zeker. En dit probleem is niet alleen zichtbaar bij overheden, maar ook bij veel ondernemingen, groot en klein. IT is immers niet de core business van veel ondernemingen. Vaak worden er zwakke afspraken gemaakt, en de gevolgen hiervan worden pas duidelijk als er iets misgaat. Wanneer een onderneming gehackt wordt, belt men de IT-leverancier. ‘Hoe heeft dit kunnen gebeuren? Jij beheert toch mijn IT?’ Dan zegt de leverancier vaak: ‘Ja, maar als jij gehackt wordt, kan ik daar niets aan doen; dat staat in ons contract.’ Ondernemers moeten dus duidelijkere afspraken maken, deze vastleggen in een contract, en vooral ook weten dat ze verantwoordelijkheid niet kunnen uitbesteden.”
Hoe kun je als bedrijf het risico spreiden, zodat niet het hele systeem plat gaat bij een configuratiefout of cyberaanval?
“Dit risico is er altijd, maar je kunt het wel aanzienlijk verlagen. Netwerksegmentatie helpt daar bijvoorbeeld bij. Dit houdt in dat je meerdere omgevingen binnen één netwerk creëert. Als een hacker toegang krijgt tot één deel van het netwerk, heeft hij niet automatisch toegang tot andere delen.
Daarnaast is het belangrijk om goed na te denken over een backupstrategie. Niet elke backup is hetzelfde; je kunt deze dagelijks, wekelijks, maandelijks of zelfs elk uur maken. En omdat ze soms mislukken, is het cruciaal om altijd te controleren of ze succesvol zijn voltooid. Ook het terugzetten van een back-up moet je testen, om er zeker van te zijn dat alles goed functioneert wanneer het echt nodig is. Dit wordt een hersteltest genoemd.
Het kan ook voordelig zijn om met meer dan één softwareleverancier te werken, zeker als het gaat om vitale structuren binnen een bedrijf. Hoewel de meeste softwareontwikkelaars geen misbruik van hun machtspositie zullen maken, is het nooit fijn om in een kwetsbare positie te zitten als er iets misgaat. Ontwikkelaars zullen namelijk niet dezelfde urgentie voelen om het probleem op te lossen zoals ondernemers dat voelen.”
En consumenten? Wat kunnen zij doen om hun data veilig te stellen?
“Ook hier geldt: decentralisatie van gegevens. Als individu sla je tegenwoordig veel meer data op dan tien jaar geleden: foto’s, muziekbestanden, digitale documenten van de overheid. Dus is het essentieel om goed na te denken over hoe je je data archiveert.
Zelf zorg ik ervoor dat ik een backup heb van mijn kritieke data, zoals gedigitaliseerde foto’s. Thuis heb ik een harde schrijf, maar ik kopieer mijn data ook naar een externe locatie; iemand die ik ken. Daarnaast maak ik gebruik van een cloudoplossing. Ik wil mijn data absoluut niet kwijtraken. En ik denk dat heel veel mensen daar hetzelfde over denken.”