Alleen samen word je veilig
De mens en hoe die functioneert en samenwerkt, is wat Sjoerd Blüm op dagelijks niveau verwondert. Als CIO van Royal Schiphol Group is het zijn missie om Schiphol de meest digitale luchthaven van Europa te maken. Wij spraken hem over zijn verhaal achter Cyber Security en het belang van samenwerken binnen dit domein.
Sjoerd Blüm (1979) is bedrijfseconoom van huis uit en is daarbinnen breed opgeleid. Hij heeft zich voornamelijk verdiept in Organisatie, Strategie & Psychologie. Met zijn brede opleidingsachtergrond is hij aan de slag gegaan als management trainee bij ING. Daar werd hij ingezet op verandermanagement, wat de rode draad werd door zijn 13 jaren binnen de organisatie.
Wanneer je je binnen de financiële dienstverlening bezighoudt met verandermanagement, krijg je onvermijdelijk te maken met IT. Sjoerd raakte geboeid door technologie en de waarde die je uit technologie haalt. “Die waarde zit namelijk in de mens zelf en vooral in hoe die daarmee omgaat.” Daarnaast zag hij dat IT belangrijk ging worden en de wereld op zijn kop zou zetten. Dit inzicht zorgde ervoor dat hij enigszins ongepland een IT’er werd.
Toen de periode aanbrak waarin ING staatssteun ontving, moest Nationale Nederlanden zich losweken van ING. Daardoor moest ook de cyber security opnieuw worden ingevuld. Dit waren namelijk de eerste jaren waarin ‘retail banking’ de volle laag kreeg vanuit de cyber hoek. “Bij Nationale Nederlanden heb ik toen eerst een programmamanagement rol op mij genomen, om vervolgens eindverantwoordelijk te worden voor cyber security in 2013.”
Toen Schiphol in 2015 begon te digitaliseren, bracht dit voor Sjoerd een mooie kans. Hij maakte de overstap naar de luchthaven en kreeg de nieuw gecreëerde portefeuille van innovatie (techniek, data, werkwijze) en wat hij de CTO portefeuille noemt (architectuur, cyber en processen). Hij nam Schiphol aan de hand en stelde een cyber security roadmap op. Ongeveer anderhalf jaar later werd de rol van Chief Digital Officer in het leven geroepen en werd Sjoerd zelf doorgeschoven naar de CIO positie.
“Het is een fantastische tijd om CIO te zijn. IT wordt steeds belangrijker. De technologie verandert ontzettend snel en de impact ervan wordt steeds groter. Het belang van cyber security groeit met de dag. Juist omdat het zo’n wezenlijk onderdeel is van je algemene verantwoordelijkheid voor de IT van je bedrijf, zou je als CIO (Chief Information Officer) ook in staat moeten zijn om de CISO (Chief Information Security Officer) rol te vervullen.” Hij poneert deze stelling al sinds 2013 graag bij zijn collega CIO’s en merkt dat het draagvlak hiervoor steeds groter wordt. “Je wordt pas weerbaar als je krachten combineert.”
De security cyclus
“Een grote uitdaging binnen cyber security is hoe het verhaal gepositioneerd wordt”, meent Sjoerd. “Mensen grijpen toch altijd snel naar FUD als zij het verhaal aan de man proberen te brengen” (Fear, uncertainty and doubt).
Hij legt uit dat dit verschillende redenen heeft. “Ten eerste, is angst een krachtige emotie om in te zetten.” Als je er op de ratio niet uit komt, dan is angst een mooie manier om men te overtuigen van een product of belang. Ten tweede is het ook makkelijker om op de golven van angst te varen, als je het verhaal niet goed kunt uitleggen. Hij is van mening dat je het cyber security verhaal prima zonder FUD aan de man kunt brengen, als je het maar simpel brengt en vanuit die basis de diepte in gaat.
Het is volgens Sjoerd allemaal eenvoudig uit te leggen aan de hand van de cyclus: Predict, Prevent, Detect en Respond. Om deze vier begrippen te laden, maakt hij een analogie. “Neem het beveiligen van een terrein. Op dat terrein wil je er zeker van zijn dat enkel mensen toegang krijgen, die daar echt mogen zijn. Ook vraag je, je af wie er allemaal toegang zouden willen hebben die er niet thuishoren en pluis je hun beweegredenen uit. Dat noemen we de ‘predict’ fase.”
“Vervolgens bedenk je hoe zij toch binnen kunnen komen. Zo kan men er bijvoorbeeld naartoe lopen. Om dat tegen te gaan kun je er een hek omheen zetten. Ook kunnen zij klimmen. Dus moeten we dit onmogelijk maken, door scherpe punten op het hek aan te brengen. Naast klimmen, kunnen zij ook graven. Dus moeten we ervoor zorgen dat we het hek ook een stuk dieper de grond in brengen. Daarnaast kunnen zij er met een auto op inrijden. In dit scenario en deze fase moeten we constant nadenken over wat we willen verdedigen en tegen wie we dat doen. Dit is het ‘prevent’ gedeelte. In de prevent fase probeer je te voorkomen dat datgene gebeurt wat je in de predict fase verzonnen hebt.”
Vervolgens vertelt hij dat je jezelf af moet vragen of je onfeilbaar bent met deze maatregelen. Als de preventieve maatregelen afdoende zijn, weet je zeker dat je klaar bent. Dit is de ‘detect’ fase.
Bij Cyber Security is het detect gedeelte essentieel. Hoe goed je preventieve maatregelen ook zijn, binnen cyber security moet je dit continu blijven testen. “Om verder te gaan met de analogie van een fysiek terrein, wil je op een gegeven moment toch zeker weten dat het niet mis gaat. Je zet daarom camera’s neer, oftewel je gaat detecteren. Hierbij moet je slim nadenken over wanneer je gealarmeerd moet worden. Zodra je acties hebt gehangen aan de detect fase, ontkom je er niet aan dat je ook de laatste cruciale activiteit op orde moet hebben. Wat doe je nou als je iets verdachts ziet? Wie stuur je er dan op af? Hoe snel moet deze persoon bij het incident kunnen zijn? Moet deze persoon er 24/7 zijn? En wie informeer je allemaal op het moment dat zoiets zich voordoet?” Dat is de ‘response’ fase. Op deze manier leg je een complex systeem heel begrijpelijk uit.
Zero Day Vulnerability
Maar in het vakgebied waar wij het over hebben, cyber security, hebben we te maken met een handel in ‘zero day vulnerability’; ‘zero days’ zijn kwetsbaarheden in software (dus in deze analogie manieren om door het hek heen te komen). De makers van het hek zullen niet eens op de hoogte zijn van die kwetsbaarheden. Er zijn dus ook nog geen pleisters – patches – om op dat hek te plakken. Als iemand een kwetsbaarheid ontdekt in een stukje software dat breed gebruikt wordt, waarmee je dus gemakkelijk ergens binnen kunt komen, is dat op de markt van kwaadwillende een hele hoop geld waard. Dat is de cyber realiteit.
Eén van de mooiste aspecten van het Schiphol DNA vindt Sjoerd het veiligheids-denken. Zij willen niet alleen Europe’s preferred airport zijn, maar willen zeker zijn dat dit veilig en goed gebeurt, wat een gezamenlijke ambitie creëert. Zo ziet hij dat veel andere partijen eerst een vervelende situatie nodig hebben om tot zo’n besef te komen. Door zijn verhaal niet als iets nieuws of ongrijpbaars neer te zetten, is hij bij Schiphol goed doorgedrongen. “We zijn hier op alle vlakken bezig met safety & security en zetten daarom zwaarder in op nieuwe technologie, een nieuwe lood aan dezelfde stam.”
Het belang van samenwerken
Alle bedrijfstakken digitaliseren en iedereen heeft klanten en leveranciers waarmee ze ook digitaal verbonden zijn. Cyber Security overstijgt grenzen, waardoor samenwerken essentieel is. Zeker in de transportsector. Bij transport zijn veel partijen tegelijk betrokken in de keten. Je bent afhankelijk van elkaar, als er 1 leverancier onderuit gaat op dit vlak, kan dit gevolgen hebben voor de gehele keten. Die afhankelijkheden maken het onderwerp erg complex en de noodzaak voor samenwerking prioriteit.
“Vanuit de gedachte ‘Wat kunnen we doen om te zorgen dat Schiphol gezien blijft worden als een safe place to do business?´ zijn we gestart met CYSSEC. Dat staat voor Cyber Synergie Schiphol Ecosysteem (www.cyssec.nl). Met CYSSEC proberen we alle partijen op en rondom Schiphol te activeren, om samen te werken aan cyber security. Want alleen samen word je veilig. Dat is een benadering die wij onderdeel hebben gemaakt van ons eigen cyber security programma. Met onze ervaring kunnen we anderen verder helpen en tegelijkertijd van hen leren. Daarnaast heb ik als CIO natuurlijk ook frequent contact met onze ketenpartners zoals KLM en LVNL.”
“Ik zou echt iedereen willen aanmoedigen om de historisch gegroeide barrière ‘Over cyber security praat je niet met elkaar’ te overwinnen. Voer juist gesprekken met je keten partners en neem samen actie, want dat is de weg naar integrale veiligheid.”
