Interview: Sándor Incze, CISO bij CM.com
In de voorbereidingen van Security Leadership spraken we met Sándor Incze, CISO bij CM.com. De afdeling waar hij werkt houdt zich bezig met het operationeel monitoren van allerlei systemen om deze veilig te houden. Daarnaast geven ze ook advies over bijvoorbeeld het veilig ontwikkelen en houden van systemen. Ook bij het inkopen van nieuwe (software) producten testen ze of ze de producten wereldwijd kunnen gebruiken.
Een van je taken is advies uitbrengen, is dat intern of extern?
Vanuit mijn rol zit ik in allerlei gremia, waarin we spreken over (security) actualiteiten. Dat is extern. Maar voor de mensen die bij CM werken is het intern. We kijken samen met developers hoe we de ontwikkelde software zo veilig mogelijk kunnen houden. Wij zijn geen ontwikkelaars, dus op die plek zitten we niet. Een voorbeeld: We vinden het allemaal normaal als je in Word gecorrigeerd wordt als je een spel- of typefout maakt, maar bij het schrijven van code levert dat nog weerstand op. We hebben heel erg hard gewerkt om ook die tooling geïntegreerd te krijgen in het software development proces.
Een security strategie is tegenwoordig niet meer weg te denken. Wat maakt een security strategie sterk?
In eerste instantie de bewustzijn dat het iedereen kan overkomen. Er zijn genoeg voorbeelden van ondernemers die slachtoffer zijn geworden van een cyberaanval en die als gevolg daarvan alles hebben verloren. Dat valt worst-case scenario in de categorie van zorgeloos naar dakloos. Heel vaak lijkt het een ver van je bed show, dus als je dat in gedachte houdt ga je het uiteindelijk niet winnen. Je moet je realiseren dat je een risico loopt en de hoogte van het risico kan per bedrijf verschillend zijn. In de zorg, energie en financiële sector zag je wel meer gedocumenteerde aanvallen voorbij komen in de Corona tijd. Ik vraag me dan overigens af, wie valt nu een ziekenhuis aan als mensen de zorg juist zo hard nodig hebben. Het is handig als je management en directie ook cyber bewust is. Je kan het zien als dat je je IT afdeling de opdracht geeft om formule 1 te racen. En vervolgens geef je ze een “Lada” om het circuit op te gaan. Dan kan je racen, maar je gaat het niet winnen. Dus je moet er ook je budgetten op aanpassen.
Waar zie je dat het vaak mis gaat?
Dat zit hem in de basis. De bewustwording en de basisregels opstellen en er naar handelen. Is de gebruiker bewust en bekwaam om te handelen? Zijn je computers bijgewerkt met patches. Daarmee kan je al zoveel voorkomen. Wat wij zeggen is, bij iedere handeling waar het mis kan gaan, zorg er voor dat je daar twee tegenmaatregelen tegenover hebt staan. Je moet altijd terug kunnen vallen op een maatregel.
Waar begin je?
Maar ik begin bij de eindgebruiker aware maken. Wij hebben het beleid dat iedereen (dus ook de board) security awareness trainingen moeten volgen. Daar maken we al naar gelang de positie van de medewerker wel een stukje maatwerk in. Dus voor de developers kunnen we het iets moeilijker maken en bij de directie secretaresses besteden we meer aandacht aan aan CEO fraude en phishing, dit is dus afhankelijk van waar zij objectief meer mee te maken kunnen krijgen. Uiteraard testen we het geleerde ook in de praktijk door bijvoorbeeld een phishing aanval uit te voeren. Onze afdeling kijkt continue naar wat er (digitaal) gebeurd in de wereld. Daar halen we de leerpunten uit en die projecteren we op ons security beleid. Wat we ook doen is regelmatig reviewen. Klopt het nog wat er op papier staat? Je kan wel een onderhoudsplan maken van je Lada, maar als iedereen tegenwoordig in een BMW rijdt dan klopt het onderhoudsplan niet meer. Er komen ook steeds meer technieken en applicaties uit en het tempo ligt steeds hoger. Dus in ons geval kijken we er maandelijks naar. Soms leren we in een maand weer iets en dan passen we onze handelswijze aan.
Jullie hebben voor een andere aanpak gekozen. Jullie securitybeleid is een A4tje. Waarom hebben jullie hier voor gekozen?
Op de eerste plek om makkelijker bij te blijven. Als je alles uit gaat schrijven kan je weer opnieuw beginnen tegen de tijd dat je klaar bent, omdat dan er weer alles anders uit ziet. Een hele hoop problemen zijn er ook om ze pragmatisch op te lossen. Veel problemen kun je aan zien komen door bij te blijven met de actualiteiten. Het A4tje gebruiken we ook om zaken eenvoudiger uit te leggen. Je plot het probleem op een A4tje en kijkt welke maatregelen er zijn om je te beschermen. Dat is wat makkelijker dan een heel boekwerk erbij pakken lijkt me. We merken wel dat auditoren dit niet altijd verwachten als ze naar het security document vragen. Maar het werkt voor ons. En vanuit de ISO en jaarrekening controle is het toch gewoon goedgekeurd. Voor ons is het uit te leggen en als er een discussie is pakken we het A4tje erbij. We maken op deze manier een visuele weergave van een technisch probleem, waarom het een probleem is, waar het zit en hoe we het op moeten lossen.
Je verzorgt tijdens Security Leadership op 13 april een keynote. Waar ga je het over hebben?
De bezoekers zou ik graag mee willen nemen op de reis die CM.com heeft doorgemaakt en daarin kunnen we dan een aantal aspecten van het A4tje de revue laten passeren. Wat zijn nou een aantal basisregels die je op je netvlies moet hebben. Als je bijvoorbeeld geen back-up hebt of je back-up werkt niet en het gaat mis. Wat heb je dan nog? Stel je bent een architect en je hebt bouwtekeningen op je harde schijf staan. Wat gebeurt er dan met je bedrijf als je harde schijf stuk gaat? Of het wordt geëncrypt door ransomware? Welke standaard handelingen en maatregelen moet je nou in place hebben. En dit verschilt heel erg per soort bedrijf. Cyber criminelen komen over het algemeen binnen via outdated spullen op je computer. En als je computer dan ook nog eens onderdeel uitmaakt van een heel netwerk, dan wordt het probleem snel heel groot. Dus die deur moet je dicht gooien.
Ik probeer elke dag iets te leren. En ik hoop door onze manier van werken uit te leggen iemand te inspireren, om het eens anders te bekijken. Of je een extra gereedschap in je toolbox mee te geven waarmee je mee aan de slag kan, of al is het maar een opmerking of een vergelijking waarmee je weerstand binnen je bedrijf weg kan nemen als je daar tegenaan loopt. Als je er maar iets heel kleins uitpikt wat je een keer wil proberen heb ik mijn doel bereikt. Want security doe je nooit alleen, dat doe je samen.
En als laatste, welke tip wil je een security professional meegeven?
Blijf luisteren. Blijf luisteren en loop eens rond. Geef je ogen en oren de kost. Loop rond en maak een praatje met je collega’s. Dat hoeft niet altijd over security te gaan, maar dan weten mensen je te vinden als ze je nodig hebben.