Vrijdag 13 januari is natuurlijk geen dag om de goden te verzoeken, toch duiken we met de Stichting Kwaliteitskring Limburg in de duistere wereld van de cyber criminaliteit.

Robert van der Vossen en Wouter Parent van het bedrijf Cyco zijn vandaag onze sprekers. Ikzelf ben er wat bijtijds want ik had rekening gehouden met pittig weer en aldus een langere reistijd. Niets van dit alles en het was zelfs redelijk druk zodat ik lekker vroeg in Stein aankom.

Robert neemt ons mee in de gevaren van de cyberwereld. Het gevaar lijkt overal op de loer te liggen en juist daar ligt dan ook een taak voor bij voorbeeld de kwaliteitsmanager om de organisatie bewust te maken van de risico's. 

Het idee dat alle stappen vrij gemakkelijk te traceren zijn blijkt een waanidee als Robert ons wijst op het zogenaamde 'Diepe Web', een wereld waarin juist anonimiteit voorop staat. Het is een wereld binnen in het internet die mensen gebruiken voor activiteiten waarbij ze zelf buiten beeld willen blijven. Ook noemt Robert het Tor Netwerk (TOR = The Onion Router); een netwerk dat bedoeld is voor anonieme communicatie. En dat alles leidt nogal tot wat zaken waar je je als rechtsschapen mens de nodige vraagtekens bij kunt stellen. Robert toont ons binnen dit netwerk een zwarte markt, noem het een cybercrimi Marktplaats, waar van alles te koop is: Valse paspoorten, wachtwoorden van mensen, credit cards, noem maar op tot zelfs het inhuren van hackers om 'iets' te regelen.

Schokkend zijn de jaarcijfers van wel 480 miljard dollar wereldwijd en 10 miljard euro in Nederland alleen al aan schade ten gevolge van cyber criminaliteit. Let wel, brandschade is iets dat de hoogste prioriteit krijgt van elke manager in Nederland maar jaarlijks 'slechts' 0,75 miljard euro schade bedraagt!

Nu denken de meesten van ons dat het bij ons zelf wel zal meevallen want we hebben de juiste middelen zoals een goede firewall. Robert helpt ons snel uit onze dromen door te melden dat een goede firewall slechts 15 % van de criminele pogingen tegenhoudt!

Om aan te tonen hoe gemakkelijk we in de val lopen noemt Robert het fenomeen wifi. Wie van ons gebruikt dat niet, zeker wij Nederlanders als het gaat om gratis wifi verbinding. Wouter noemt enkele namen lukraak op; het blijkt dat het de namen zijn van een aantal aanwezige SKL'ers. Hij toont even later ook een sheet waarin die namen staan met daarbij wat netwerken die ze bezocht hebben. Dan laat hij een 'kastje' zien dat hij eigenlijk op dusdanige wijze in het wifi netwerk gehangen heeft dat hij het verkeer kan opvangen tussen het netwerk en de mensen die er toegang op zoeken. 

Ook de phishing technieken met emails en dergelijke komen voorbij.

"Heb niet de illusie dat je de cyber jongens voor kunt zijn, doe alleen wel je uiterste best om het ze moeilijk te maken." Is een uitspraak van Robert en dat klinkt niet best. Gelukkig betekent het niet dat je niks moet doen maar juist je uiterste best moet doen om de kans op zo klein mogelijk te maken. Het ligt natuurlijk ook aan de informatie die je bevat als individu of als organisatie of deze interessant is voor hackers die gericht op pad gaan.

Juist in een vernieuwd ISO 9001 zou dit herkenbaar moeten zijn omdat juist risico management daarin een grote rol speelt. Vanuit de SKL groep komt echter de opmerking dat ze met de 9001 certificatie bezig zijn maar er eigenlijk weinig aandacht voor het ict blok is.

Robert wijst op de 'Black Swan Theorie'. De kans dat je een zwarte zwaan tegen komt is natuurlijk heel erg klein, maar het is wel degelijk mogelijk en dus moet je het opnemen in je risico's.

Er komen nog heel wat voorbeelden voorbij zodat er in de pauze voldoende gespreksstof is.

Na de pauze gaan we in op de ISO 27001 norm waarvoor je je ook kunt certificeren. De ISO 27002 norm gaat in op de maatregelen die je kunt nemen. Even wordt nog de NEN 7510 aangeduid die juist speciaal voor de zorg is ontwikkeld.

Wouter neemt ons mee door alle aspecten en hoofdstukken van de 27001 norm en al snel blijkt dat het harde droge kost is waar je beslist je tijd voor moet nemen. "Houdt zeker rekening met anderhalf tot twee jaar voor een certificeringtraject." Aldus Wouter.

Als je het zo aanhoort dan lijkt er toch wel erg veel nadruk op de documentatie te liggen, iets dat juist in de 9001 norm sinds de 2015 versie wat meer losgelaten is. Ook opmerkingen als "Dat ziet een auditor graag." klinken vreemd in de oren als je eerst aangereikt krijgt dat de certificering op zich nooit het doel mag zijn. Wel duidelijk is dat met de ISO 27001 norm cyber criminaliteit de volle aandacht krijgt die het verdient. En in een steeds technologischere wereld met die aantoonbare cijfers van schade is dat natuurlijk alleen maar vanzelfsprekend.

De middag was goed bezocht en natuurlijk stonden de nodige vlaaien weer klaar. De gezelligheid in het Limburgse is vanzelfsprekend en de nodige nieuwjaarswensen zijn weer uitgewisseld. Op naar de nieuwe bijeenkomst.