Deltares

"Creëren van security awareness is een hell of a job"

‘Dare to share.’ Bij Deltares is het een motto, de grondslag om kennis te delen. “Maar dit staat haaks op security”, zegt Han van Veldhuizen, de ICT-manager van het kennisinstituut. “Als ons intellectueel eigendom op straat ligt, hebben we een probleem met onze business continuity.” Voor Deltares reden om van ‘gecontroleerd delen’ een speerpunt te maken en het onder de aandacht van de medewerkers te brengen.

Deltares voert toegepast onderzoek uit op het gebied van water en ondergrond. Wereldwijd werken ruim 800 vaste medewerkers aan slimme innovaties, oplossingen en toepassingen voor mens, milieu en maatschappij. “Daarbij richten we ons op kustgebieden, maar ook op delta’s en rivieren”, vertelt Van Veldhuizen.

Experimentele hal

Deltares beschikt in Delft en Utrecht over uitgebreide faciliteiten om onderzoeken uit te voeren en nieuwe innovatieve oplossingen te ontwikkelen. “Zo hebben we een 300 meter lange ‘golfgoot’ waar we golven van meters hoog kunnen opwekken”, aldus de ICT-manager. “In die goot kunnen we dijken een-op-een nabouwen om bijvoorbeeld de sterkte van diverse soorten steenbekleding te onderzoeken.” De onderzoeken en experimenten in wat Van Veldhuizen de ‘experimentele hal’ van Deltares noemt, hebben al tot diverse nieuwe toepassingen en innovaties geleid. “Het zijn er eigenlijk te veel om op te noemen”, stelt Peter Eekhout, als manager ICT Infra & Security bij Deltares verantwoordelijk voor cybersecurity. Dat gaat volgens Eekhout van natuurlijke mangroves voor dijken die golven dempen tot ‘zandmotors’ voor de kust die zorgen voor natuurlijke zandwinning op het strand. “Met zo’n zandmotor is het niet nodig om ieder voorjaar het strand aan te vullen.”

Een andere belangrijke activiteit is het bijhouden van ‘modellen van rivieren, zeeën en oceanen’, zo begrijpen we van Van Veldhuizen en Eekhout. Uit deze modellen blijkt bijvoorbeeld op basis van weersvoorspellingen (regen, wind) hoe groot de waterafvoer wordt, hoe hoog het water komt en of er overstromingen zijn te verwachten. “In die modellen zit onze kennis, ons intellectueel eigendom”, aldus Van Veldhuizen.

“Maar er zijn nog meer gegevensbronnen die we optimaal willen beschermen”, vult Eekhout aan. “In projecten werken we vaak met data die eigendom zijn van andere organisaties. Het is evident dat deze data niet via ons naar buiten komen. Dan hebben we naast juridische problemen vooral ook een imagoprobleem.”

Bescherming op orde

“Onze data, modellen en modelsystemen moeten altijd beschikbaar zijn voor onszelf en de klant, maar zeker niet voor derden”, zo vat Van Veldhuizen samen. Binnen een open organisatie als Deltares geen eenvoudige opgave. “We hebben de bescherming van onze data en processen goed op orde, maar het open karakter van onze organisatie gaat niet altijd samen met security. ‘Dare to share’ is ons motto, en dat staat bijna haaks op security.”

“Onze onderzoekers zijn heel erg gefocust op het delen van kennis, en ook de meeste van onze software is open source”, legt Van Veldhuizen uit. “Dan komen wij als ICT-afdeling aan met security. Dat levert een spanning op die soms heel erg lastig is.” Onnodig, vindt de ICT-manager. “Delen kun je ook gecontroleerd doen.”

Extra stappen

“Halverwege vorig jaar hebben we met elkaar afgesproken dat security nog meer aandacht moet krijgen binnen Deltares”, vervolgt Van Veldhuizen. Of zoals Eekhout het omschrijft: “We wilden security op de kaart zetten, positioneren en het ook baseren op een beleid. Uiteindelijk wil je op een punt komen dat je niet alleen een goed gevoel hebt over hoe je de security hebt ingericht, maar dat ook kunt aantonen.”

Een penetratietest vormde het startpunt voor een reeks stappen die volgde om te komen tot het gecontroleerd delen van data. Zo beschikken de onderzoekers van Deltares met Microsoft SharePoint voor het delen van informatie nu over een veilig alternatief voor bijvoorbeeld Dropbox en WeTransfer. “Niet dat we Dropbox en WeTransfer volledig uitbannen”, benadrukt Eekhout. “Het gaat erom dat je alternatieven biedt en de gebruikers verleidt om die te gebruiken.”

Ook bestaat er een opensourceportal waar Deltares zijn producten via een ‘communityachtige’ omgeving aanbiedt. Van Veldhuizen met een knipoog: “Hier zetten we de dingen neer die we kwijt willen, strikt gescheiden van onze eigen beveiligde omgeving. Maar we behouden wel de controle. We kunnen zien wie hier actief zijn en wie wat downloadt.”

Netwerkmonitoring

Een omvangrijke stap is de implementatie van securitymonitoring. “Door Active Directory, Exchange Online en on-premise en al het inen uitgaande netwerkverkeer dat de firewall passeert te monitoren, zien we precies wat er op het netwerk gebeurt en wie er meekijken. Verdachte patronen in het verkeer worden direct opgemerkt”, licht Eekhout toe. Hiervoor werkt Deltares samen met Motiv.

“Ik zie de samenwerking met Motiv echt als een partnership”, stelt Eekhout. “Motiv verzorgt voor ons het ‘technical compliance management’. Door deze samenwerking is Motiv in staat een goede scan van het netwerk te maken.” Uiteraard moeten de logbronnen die nodig zijn voor de monitoring uitkomen in het Security Operations Center van Motiv.

Security awareness

“We zetten nu de stappen om uiteindelijk te voldoen aan de ISO 27001-standaard voor informatiebeveiliging”, concludeert Eekhout. Dat doet het kennisinstituut onder andere door een baseline voor security neer te leggen waar alle medewerkers zich aan moeten houden. “Samen met Motiv werk ik nu aan een template voor een securitybeleid op basis van ISO 27001. Deze stem ik af op onze organisatie.”

“Vervolgens is het wel belangrijk dat de organisatie op de hoogte is van de richtlijnen en dat de medewerkers weten wat ze wel en niet moeten doen. Security awareness is cruciaal”, stelt Eekhout. Die awareness op de werkvloer krijgen, is volgens Van Veldhuizen echter een ‘hell of a job’. “Dat vergt een lange adem, misschien zeker wel binnen een organisatie waar de beste experts heel gedreven met hun eigen onderwerpen bezig zijn. Dan is het lastig om aandacht te krijgen voor het onderwerp security.”

De eerste ‘zaadjes’ voor meer security awareness zijn volgens Van Veldhuizen echter geplant. “We hebben onlangs de AIVD uitgenodigd om het managementteam uit te leggen wat de actuele risico’s zijn. Dat heeft bijvoorbeeld tot het inzicht geleid dat we een interessant doelwit zijn voor bedrijfsspionage. Het Cybersecuritybeeld Nederland 2016 vermeldt kennisinstituten en de sector water ook als populaire doelwitten.”

“Ook het klikken op een phishingmail waardoor iedereen zijn wachtwoord moest wijzigen, heeft voor het besef gezorgd dat security awareness nog nadrukkelijker op de agenda moet komen te staan. Mensen blijven immers de zwakste schakel. Dat is de uitdaging waar we de komende periode aan gaan werken.”