PostNL

PostNL vervult als ‘onmisbare schakel tussen verzenders en ontvangers van post en pakketten’ een sleutelrol binnen de Nederlandse samenleving. “Iedere dag komt er wel een bezorger van PostNL langs de voordeur”, vertelt Cleijn. De 38.000 medewerkers zorgen er op een doordeweekse dag voor dat er in de Benelux gemiddeld 900.000 pakketten en 6,8 miljoen brieven worden afgeleverd.

Sinds het uitbreken van de coronacrisis liggen die aantallen echter een stuk hoger dan gemiddeld. “De aantallen zijn nu vergelijkbaar met de aantallen die we zien vlak voor kerst en Sinterklaas, en dat al maandenlang, iedere dag”, zegt Cleijn. PostNL zag de omzet in het tweede kwartaal van 2020 dan ook met bijna 16 procent stijgen.

Aantrekkelijk doelwit

De huidige omstandigheden zorgen tevens voor verandering in aanvalsmethoden van cybercriminelen. Cleijn: “In het verleden was een ransomwareaanval vaak een kwestie van ‘spray and pray’. Er werden miljoenen e-mails met malware de wereld ingestuurd in de hoop dat er iemand hapt. Wat we nu zien, kun je omschrijven als ‘big game hunting’. De cybercriminelen gaan niet meer voor de kwartels, maar voor het grote gezonde edelhert. Oftewel: voor de grote trofee. Dan is bij ransomware de kans op een betaling vele malen groter.”

“Wij zijn ons bewust van ons risicoprofiel, en van de gevolgen als we worden geraakt”, zegt Cleijn. “Wij zijn een datagedreven organisatie en waren nog nooit zo afhankelijk van data als nu. Op het moment dat de data waarmee onze sorteercentra worden gevoed worden gecompromitteerd, is de impact enorm. Als onze sorteercentra platliggen, heeft bijvoorbeeld de hele e-commercesector daar last van. We behoren officieel niet tot de vitale infrastructuur, maar de afhankelijkheid van PostNL is wel degelijk enorm.”

Transitie naar thuiswerken

De toegenomen aantrekkingskracht op cybercriminelen is niet de enige verklaring dat het risicoprofiel van PostNL de afgelopen maanden ‘drastisch’ is veranderd. Cleijn noemt ook de transitie van werken op kantoor naar werken thuis. Daardoor is het aanvalsoppervlak voor cybercriminelen groter geworden. “Niet iedereen heeft zijn security thuis op het niveau van de organisatie.”

“We hebben zelf de controle over de maatregelen die we treffen binnen onze eigen infrastructuur, maar dat geldt niet voor de thuiswerkplek”, vervolgt Cleijn. “We hebben geen controle over de beveiliging van de privéwerkplek en het netwerk thuis, en over het gebruik van een iPad door de kinderen. Overigens willen we die controle ook helemaal niet hebben.”

Volwassenheidsniveau aanpassen

Een veranderend risicoprofiel betekent volgens de Cyber Security Officer wel dat PostNL daar zijn volwassenheidsniveau als het gaat om security op moet aanpassen. “En dat je sommige beveiligingsmaatregelen moet herzien. Veilig thuiswerken vraagt bijvoorbeeld om meer aandacht voor endpointsecurity. En als je in een omgeving opereert waarbinnen wordt gejaagd, dan is het van belang dat je daarvan op de hoogte bent en blijft. Daar kom je achter op basis van Cyber Threat Intelligence.”

“Ook moeten we na gaan denken over hoe we onze omgeving en onze data monitoren. Daarbij verandert niet de scope maar wel de focus.” Als monitoring met name is gericht op het detecteren van afwijkingen in het netwerkverkeer op het bedrijfsnetwerk, verschuift die focus volgens Cleijn door het thuiswerken naar het verkeer buiten het eigen netwerk. “En wat kun je dan allemaal zien? En als je iets ziet, hoe kun je daarop reageren?”

Om sneller te kunnen reageren, kijkt Cleijn onder andere naar de toepassing van artificial intelligence in het securitylandschap. “De aanvaller heeft altijd het initiatief en bepaalt wanneer de aanval wordt ingezet. En hoe. En waarmee. Dan gaat het erom dat je hierop  zo snel mogelijk  anticipeert. De tijd die je hiervoor nodig hebt, kun je onder andere verkorten door gedragsanalyses te automatiseren. Daarbij vergelijk je gedrag van mensen en systemen niet alleen met bekende patronen, maar ook met verwachte patronen. Dit zijn zaken waarover we ook sparren met Motiv.”

Intensievere security-awarenesscampagnes

Een verandering van het risicoprofiel leidt niet alleen tot een herziening van de technische maatregelen, maar heeft ook consequenties voor de security-awarenesscampagnes bij PostNL. “Die worden intensiever, en krijgen een andere invulling. De nadruk komt meer te liggen op de beveiligingsrisico’s in de privésituatie. Daarvoor hebben we een programma voor drie jaar uitgewerkt met verschillende interventiemogelijkheden. De organisatie staat daar nu meer voor open dan vier jaar geleden.”

Ruim vier jaar geleden vertelde PostNL’s CISO Gerrie de Jonge tijdens een interview met Motivator Magazine dat zijn bedrijf meerdere middelen inzet die ervoor moeten zorgen dat security als ‘leuk’ wordt ervaren. “Security wordt vaak nog gezien als vervelend, als strafwerk opgelegd door security-officers die zich gedragen als luizen in de pels”, aldus De Jonge begin 2016. Maar, zo zei hij, ‘de wereld van cybersecurity is best spannend’. PostNL organiseerde onder andere ‘security in a day’-trainingen om medewerkers daarvan te overtuigen. “Tijdens deze training laten we mensen bijvoorbeeld zelf hacken en wachtwoorden kraken; iedereen vindt immers de wereld van het hacken interessant.”

Volgens Cleijn is PostNL er inmiddels in geslaagd om de passie voor security over te brengen. “De betrokkenheid is toegenomen.” Dat is volgens de Cyber Security Officer mede te danken aan de interactie tussen security en de Business-IT. “Als een afdeling een bepaalde behoefte heeft, dan bespreken we hoe we die behoefte veilig in kunnen vullen. We leggen zaken niet op, keuren niet iets goed of af en gebruiken al helemaal niet de term ‘nee’. Security is geen aparte entiteit. Aan het einde van de dag dragen we allemaal een oranje jasje.”