Stedin

"Boerenverstand is misschien wel het belangrijkste"

Verandering is de enige constante, zo ook bij netbeheerder Stedin. “Het gaat erom dat je je interne beheersing goed op orde hebt, en informatiebeveiliging is daar een steeds belangrijker onderdeel van”, stelt Tom Székely, Information Security Officer bij Stedin. Motivator Magazine sprak met Székely over het belang van samenwerking en over het ‘raamwerk met een blauw kleurtje’ dat hij hanteert om op het gebied van informatiebeveiliging in control te blijven.

“Stedin is een redelijk complexe organisatie, met meerdere bedrijfsonderdelen”, zo vertelt Székely aan het begin van ons gesprek. “We zijn misschien geen multinational, maar wel een bedrijf waar zich iedere keer weer nieuwe facetten aandienen.”

Een voorbeeld van zo’n ‘nieuw facet’ is de grootschalige reorganisatie die Stedin in 2015 doorvoerde waarbij onder andere Stedin en Joulz werden samengevoegd en de bedrijfsonderdelen Klant & Markt en Meterkast & Aansluitingen werden opgetuigd. De reorganisatie betekende ook dat het aantal werknemers van Stedin fors steeg. Meer dan drieduizend collega’s werken nu aan het realiseren van de missie van Stedin: duurzame energie voor iedereen. Een ander nieuw facet is de wettelijk bepaalde afsplitsing van de Eneco Groep die per 1 februari 2017 een feit moet zijn.

Toenemende druk op IT

Székely verwacht dat de formele afsplitsing van Eneco zorgt voor nieuwe uitdagingen op het gebied van informatiebeveiliging. “We zijn al een grote autonome onderneming waar informatiebeveiliging stevig is opgetuigd. Het is een ontwikkeling die ons bezighoudt en vele nieuwe initiatieven met zich meebrengt. Zoals contractuele splitsingen en de algehele governance hierop aanpassen. Het zet de boel bovenop de al aanwezige druk op de organisatie, waaronder informatiebeveiliging.”

“Aan IT worden steeds hogere eisen gesteld, en ook op de operationele technologie komt steeds meer de aandacht te liggen”, vervolgt Székely. Volgens de Information Security Officer maakt het traditioneel leveren van gas en elektriciteit via pijpen en kabels plaats voor slimme IT-initiatieven waarbij steeds meer data worden gegenereerd die goed beschermd moeten worden. “De business verandert. Denk aan laadpalen die veilig uit de grond moeten komen, aan de ‘prosumers’ die energie terugleveren aan het net en aan sensoren die informatie leveren. Data vormen inmiddels een core business. Daarbij ontkomen we er niet aan dat we ook over steeds meer klantgegevens beschikken. Er lopen al enige tijd trajecten binnen Stedin om de privacy te beschermen, waaronder extra checks op de privacy en security van de slimme meter. Dit is trouwens een landelijk traject.” “Als je kijkt naar informatiebeveiliging, dan wordt het steeds complexer en steeds meer”, vervolgt Székely, die namens de Nederlandse energiesector ook voorzitter is van de ‘Energy ISAC’ (zie ook het kader). “De dynamiek is veranderd. In het verleden pakte ik nog wel eens zelf de audits op, en zorgde ik zelf voor het mitigeren van de punten die naar boven kwamen. Maar dat gaat niet meer; het zijn te veel punten geworden. Informatiebeveiliging kun je alleen nog maar goed aanpakken als je in een team samenwerkt. Het gaat om informatiebeveiliging in de keten. Die kan alleen worden gerealiseerd door goede samenwerking en afstemming.”

Informatiebeveiliging borgen

Bij Stedin valt het onderwerp ‘cybersecurity’ onder de eindverantwoordelijkheid van de directeur IT, zo begrijpen we van Székely. “Een samenwerkend team van informatiebeveiligers levert een bijdrage aan de strategie vanuit de visie op wet-en regelgeving en geldende securitystandaarden, en bepaalt de gevolgen van externe ontwikkelingen en wijzigingen voor de organisatie. Verder wordt deelgenomen aan complexe interne en externe (veranderings-) projecten. Met verschillende disciplines binnen en buiten IT, samenwerkingspartners en de keten.”

“Als Information Security Officer treed ik binnen dit geheel op als adviseur informatiebeveiliging. Zo heb ik binnen Stedin bepaalde gremia opgezet met bepaalde activiteiten om informatiebeveiliging binnen Stedin en in breder verband te borgen”, vervolgt Székely. Een voorbeeld daarvan is het ‘Overleg Informatiebeveiliging Stedin’ met daarin de beveiligingsspecialisten en de informatiemanagers die de ‘linking pins’ vormen naar de diverse bedrijfsonderdelen. Als dit overleg een nieuwe ontwikkeling goedkeurt, dan kan het direct naar de business.

Een ander gremium is het ‘Security Office Stedin’. Hierin zitten alle beveiligingsspecialisten: niet alleen van Stedin, maar bijvoorbeeld ook van Joulz en van Utility Connect, een joint venture van Alliander en Stedin die een draadloos datacommunicatienetwerk aanbiedt. “Als zich over verschillende gebieden heen een incident voordoet, dan heb ik direct de specialisten bij elkaar.”

Vijf pijlers

Om op het gebied van security ‘in control’ te zijn en blijven, heeft de ISO bij Stedin een programma opgezet dat bestaat uit vijf pijlers. De pijlers 1 en 2 omvatten respectievelijk het beleid en de maatregelen die nodig zijn om het beleid te laten werken, zoals de impactanalyses, penetratietesten en de audits. Pijler 3 is om te borgen dat security wordt meegenomen in het ontwerp van nieuwe toepassingen. “Je kijkt mee tijdens veranderingen, om erop toe te zien dat de security is meegenomen”, aldus Székely.

De pijlers 4 en 5 dekken respectievelijk de securityawareness en het information-security incidentmanagement af. “Security-awareness had misschien op nummer 1 moeten staan”, onderkent Székely. “Dit is inmiddels aangepast en awareness staat op nummer 1. De programma’s om de bewustwording te verbeteren, hebben we binnen Stedin stevig maar tegelijkertijd ook speels opgezet. Mensen vinden security niet altijd leuk, dus je moet het interactief aanpakken om de interesse te wekken. Een voorbeeld daarvan is het toepassen van gaming, waarbij de deelnemers in een realistische omgeving worden geplaatst. Uiteraard passen we ook de gangbare methoden toe, zoals het rondstrooien van USB-sticks om te kijken of iemand zo’n gevonden stick in een USB-poort plaatst. Als dat gebeurt, dan vindt er direct extra communicatie plaats.”

“Naast het creëren van awareness moet je ook altijd een alternatief bieden voor zaken waarvan je liever niet hebt dat ze worden gebruikt”, vindt Székely. “Zo werd in het verleden Dropbox gebruikt voor het uitwisselen van bestanden. Dat hadden we liever niet. We hebben er echter niet voor gekozen om Dropbox technisch helemaal dicht te zetten, maar we zijn wel een alternatief gaan bieden in de vorm van Motiv mSafe. Vervolgens is het zaak om het gebruik van het alternatief te blijven stimuleren.”

Blauw raamwerk

“De vijf pijlers helpen om structuur aan te brengen in de veelheid van activiteiten op het gebied van informatiebeveiliging”, concludeert Székely. “Per pijler hebben we een doel gedefinieerd en de activiteiten die we in een bepaalde periode moeten realiseren. Daar zit ook een dashboard op om de voortgang te monitoren.”

“Het raamwerk lijkt nogal blauw (lees: theoretisch) georiënteerd”, weet Székely. “Het is allemaal planmatig gestructureerd, terwijl er altijd onverwachte zaken op je pad kunnen komen. Weinig agile dus. Vorig jaar heb ik lesgegeven in CISM, dat staat voor Certified Information Security Manager. Hierin komen de basisprincipes van informatiebeveiliging samen. De vijf pijlers van het werkplan zijn hierop gebaseerd. Binnen Stedin heb ik zo theorie en praktijk kunnen samenbrengen.”

Als voorbeeld van een activiteit noemt hij het responsible-disclosureprogramma waar Stedin op het moment van het interview de laatste hand aan legt. “Daar gaan zeker onverwachte dingen uit komen, zoals misschien oude certificaten die nog ergens op een website zitten. Dan gaat het erom dat je de incidentprocessen net wat strakker stroomlijnt, en vooral je boerenverstand gebruikt.” Székely met een lach: “Dat laatste is misschien nog wel het belangrijkste. Je moet altijd je boerenverstand blijven gebruiken.”