Zeven pogingen. Zeven pogingen had de Nederlandse ethische hacker Victor Gevers nodig om het Twitterwachtwoord van Donald Trump te raden. Er kwam geen ingewikkelde code aan te pas. Gevers gebruikte geen stiekeme achterdeurtjes, installeerde nergens zero day malware en hoefde niet op zoek naar zwakke plekken in de beveiliging van Twitter. Het was niet meer dan een kwestie van zeven keer raden, op basis van wat Gevers wist van de Amerikaanse president. Nadat hij geen succes had met wachtwoorden als ‘MakeAmericaGreatAgain’ was zijn zevende poging dus raak: maga2020!

Ergens klinkt dit onvoorstelbaar. Natuurlijk vinden we allemaal dat Trump een beter wachtwoord had moeten kiezen. En tegelijkertijd hoop ik dat al die mensen die nu nog wachtwoorden hebben als ‘wachtwoord01’, ‘qwerty’ en zelfs ‘!@#$%’ zichzelf nog eens achter de oren krabben. Want wat dit voorval maar weer eens al te duidelijk maakt, is dat er geen twijfel over hoeft te bestaan waar in veel gevallen de zwakste schakel zit van de cybersecurityketen. Bij de mens. Vast niet bij de lezers van deze column, maar wel bij al die andere gebruikers die vooral een wachtwoord willen dat ze makkelijk kunnen onthouden.

Ook binnen Rijkswaterstaat kennen we vergelijkbare uitdagingen rond gebruikers. We hebben, net als zoveel andere organisaties, in maart een enorme prestatie geleverd door in recordtijd het aantal thuiswerkplekken op te schalen van 2.400 naar zo’n 9.000. Iedereen die redelijkerwijs kan thuiswerken doet dat ook.

En dus moesten we kijken wat deze enorme groei in het aantal thuiswerkende mensen betekende voor ons digitale risico. Dat leidde niet zozeer tot nieuwe maatregelen op dit gebied, maar vooral tot een beoordeling of de maatregelen die we al genomen hadden volstaan. En natuurlijk richt de detectie van het Security Operations Center (SOC) van Rijkswaterstaat zich extra op onze telewerkomgeving. Dat is wat de medewerkers van ons mogen verwachten: ons SOC draait door én beweegt mee met de ontwikkelingen.

Tegelijkertijd vragen we ook iets van onze thuiswerkende medewerkers. Zij hebben een enorme rol in de cyberveiligheid van onze organisatie, juist nu ze niet werken op een fysieke plek waar Rijkswaterstaat zorgt voor een veilige omgeving en netwerkverbinding.

“Er is binnen Rijkswaterstaat steeds meer vraag naar cybersecurity”

De eerste belangrijke stap is dat onze medewerkers zich hiervan bewust zijn. De risico’s zijn soms zo voor de hand liggend dat medewerkers er niet eens aan denken: bijvoorbeeld digitale assistenten zoals Siri of Google Home die meeluisteren. Ook het voeren van een conferencecall, terwijl de partner in dezelfde ruimte in een call zit met zijn of haar collega’s en waardoor de collega’s van de partner mee zouden kunnen luisteren, is een aandachtspunt. Dit geldt ook voor het niet up-to-date hebben van privé-apparatuur waarop men inlogt op het RWS-netwerk.

Pas als mensen zich ervan bewust zijn, komen ze in actie en vooral als we ze niet alleen vertellen hoe ze het niet moeten doen, maar juist helpen bij hoe dan wel. We benadrukken dat collega’s niet zozeer de zwakste schakel in de keten zijn, maar juist de eerste sleutel tot succes. Dat doen we nu en dat zullen we blijven doen.

Ik merk ook dat het werkt: er is binnen Rijkswaterstaat steeds meer vraag naar cybersecurity. Een mooi voorbeeld hiervan is het aantal vragen dat we ontvingen van onze collega’s over veilig videovergaderen.

Cybersecurity wordt steeds meer top of mind. Laten we dus vooral leren van maga2020! Laten we vandaag nog – of nogmaals – aan al onze collega’s vertellen hoe je ook thuis veilig kan werken en daarvoor concrete tips delen. Laten we ze op het hart drukken dat door simpelweg symbolen, hoofdletters en cijfers te gebruiken bij het maken van een wachtwoord, zij een belangrijke bijdrage leveren aan de cyberveiligheid van de hele organisatie. Laten we vandaag nog vertellen dat zij de eerste sleutel zijn tot succes.

REAGEREN

Plaats je reactie
Je naam