Inge Philips-Bryan verruilde eind 2016 de politie-top voor de cybersecuritypraktijk van Deloitte. De ex-politiecommissaris blikt terug op 2017 waarin haar nieuwe rol van directeur cyber bij Deloitte vorm kreeg en kijkt vooruit naar het beter weerbaar maken van bedrijven en overheden tegen de alsmaar toenemende cyberaanvallen.
Hoe heeft u de overstap van de politie naar Deloitte beleefd?
Het zijn uitersten van elkaar en het was daardoor een behoorlijke cultuurschok.’ Inge Philips komt van een omgeving van vooral oudere medewerkers in de politietop terecht bij een bedrijf met veel jongere, pas afgestudeerde collega’s. ‘Bij de politie heerst een familiegevoel. Iedereen kent elkaar door en door en deelt alles. Dat is prettig en dat heb je onder heftige omstandigheden zeker nodig. Maar, het kan ook verstikkend zijn. In de consultancypraktijk is die binding met collega’s anders’, vertelt ze. ‘Het verloop is hoger doordat veel collega’s vers van de universiteit komen en na een paar jaar consultancy-werk Deloitte verlaten om ergens anders werkervaring op te doen. Na een tijdje missen ze de dynamiek van onze organisatie en keren ze weer terug. Dat is hier heel normaal.’
Wat de voormalig politiecommissaris het meest heeft verrast, is dat ze in een hele positieve wereld is gestapt die ze bijna niet meer kende. ‘Ik heb twintig jaar lang naar de donkere kant van de samenleving gekeken.’ Philips werkte bij de politie en de AIVD en somt voorbeelden op van moord, doodslag, verkrachting en het voorkomen van aanslagen. ‘Het bestrijden van die negatieve dingen geeft veel voldoening. Maar, het is een heel andere energie. Ik werkte constant in een omgeving van strijd. De aandacht ligt nu meer op wat er goed gaat. Het gaat om het opbouwen. Dat heeft echt mijn leven veranderd.’
Toen u eind 2016 overstapte, vertelde u aan Computable dat u dat deed met een duidelijk doel. U wilde vooraf een vuist maken tegen cybercrime in plaats van achteraf de opsporing inzetten. Is dat doel bereikt?
Zonder enige twijfel: ‘Ja, dit is de plek waar je de strijd wint. De samenleving vraagt veel van de politie, maar die heeft vooral de middelen om op te sporen en niet om heel veel dingen preventief te doen. Er zijn veel campagnes bij de overheid, maar uiteindelijk is de actie gericht op opsporing. Kijk maar naar het regeerakkoord dat gaat over opsporen en inlichtingen. Dat zijn heel belangrijke functies. Daarmee krijgt iedereen zicht op wat er gaande is. Maar, voor security geldt: voorkomen is beter dan genezen. Het bouwen van veilige ict kost meer, maar het bespaart je op lange termijn ongelooflijk veel incidenten, ellende en kosten. Bij cybercrime gaat het namelijk niet alleen om geld. Het schenden van privacy en ontwrichting van de samenleving spelen ook mee. Uiteindelijk heeft preventie meer resultaat dan repressie en die rol kan ik bij Deloitte oppakken.
Faalt de overheid dan in de aanpak van cybercrime?
‘Zeker niet. De beveiliging van de vitale infrastructuur is bijvoorbeeld een taak van de overheid en dat loopt goed met partijen als het Nationaal Cyber Security Center. Dat signaleert en de politie spoort op. Ook de politie pakt cybercrime harder aan. Opsporingsdiensten maken bijvoorbeeld slim gebruik van het vertrouwen van criminelen in het darkweb. Het Team High Tech Crime doet grote aanhoudingen.
Ik kan dan vanuit mijn perspectief wel zeggen: ‘Dat is een druppel op de gloeiende plaat. Ze tikken één vorm van ransomware uit de markt en er komen drie andere voor terug’, maar ze doen het wel en halen zo bijvoorbeeld een drugsforum onderuit. Daarmee halen ze het vertrouwen van criminelen in hun eigen anonimiteit en hun vermogen om zich te bewegen op dat darknet onderuit. Anderzijds zijn ‘signaleren’ en ‘opsporen’ de enige twee functies die de overheid op dit moment kan ondernemen. Vergeet niet dat alles in cyberspace zich afspeelt in het private domein. Alle kabels en verbindingen zijn privaat bezit en daar kan de overheid zich niet vrij bewegen. Dat is heel anders dan bijvoorbeeld het wegverkeer.’
Hoe ziet u die samenwerking tussen bedrijven en overheden in de aanpak van cybercrime?
‘Voor bedrijven is het belangrijk om op hoofdzaken te weten wat er speelt. Maar dat biedt onvoldoende bescherming tegen georganiseerde cybercriminelen. Een bedrijf heeft het nodig dat er niemand binnenkomt en als er wel iemand binnenkomt moeten ze heel snel weten hoe dat lek gerepareerd kan worden. Dat zijn twee totaal verschillende takken van sport. Om een veilige samenleving te kunnen bouwen zullen we samen, dus overheid en bedrijven, die weerstand tegen cybercrime moeten vergroten. Het is mijn missie om het land veiliger te maken. En ik ben ervan overtuigd dat ik dat vanuit het bedrijfsleven het beste kan doen en daarbij moeten we samenwerken met overheden. Zoals ik eerder zei: ‘De primaire taak van de overheid is het waken over de vitale infrastructuur.’
De rest is een zaak voor securityleveranciers. Bedrijven moeten niet voor alle wissewasjes naar de overheid kijken. Ze moeten zelf zorgen dat hun bedrijf veilig is. Dat is een boodschap die ik actief verkondig. Niet alleen voor handhaving, maar ook qua wet- en regelgeving. Je moet niet gaan wachten op wet- en regelgeving van de overheid, maar zelf actie ondernemen.’
Wannacry
Ze legt uit dat bij het delen van dreigingsinformatie de securityleveranciers ook een gezamenlijk belang hebben, zoals bij de uitbraak van WannaCry in mei 2017. ‘We deelden die informatie direct met elkaar omdat iedereen door had dat de impact enorm was. De sector durft over commerciële grenzen heen te stappen. We delen natuurlijk niet alles, als we een tool hebben ontwikkeld voor een incident bij een klant dan houden we dat binnenshuis, maar bij grote dreigingen waarbij ook anderen kunnen worden geraakt delen we informatie, omdat we als securityleveranciers een gezamenlijk doel hebben.’
Philips bezoekt regelmatig overheidspartijen om te kijken hoe de samenwerking tussen overheden en leveranciers kan verbeteren: ‘Ik besteed ongeveer anderhalve dag per week aan het voeren van gesprekken met beslissers en besluitvormers en om partijen in de samenleving bewust te maken van cyberrisico’s. We wijzen de overheid bijvoorbeeld op de risico’s in bepaalde sectoren. We kunnen met inachtneming van de vertrouwelijke klantrelaties wel het algemene beeld delen van wat we zien in die bedrijven. Bijvoorbeeld dat er meer incidenten zijn met aanvallen op industriële installaties.’
Het algemene beeld delen van wat we zien in die bedrijven. Bijvoorbeeld dat er meer incidenten zijn met aanvallen op industriële installaties.’ Wat zijn op dit moment zaken die het meest spelen bij klanten? ‘Dat zijn razendsnelle ontwikkelingen van allerlei soorten ransomware, Die nemen zowel in complexiteit van soorten als in aantal enorm toe. Daarnaast speelt de beveiliging van IoT een steeds grotere rol. Bijvoorbeeld in de zorg. Daar zijn apparaten steeds meer met elkaar en internet verbonden. Dat grote aantal connected devices vormt een beveiligingsrisico. Een derde punt is de energiesector en de afhankelijkheid van internet. Die sector is verweven met ict-netwerken en in die branche gaan de ontwikkelingen heel erg snel. Dat wordt in feite een gedistribueerd netwerk. Mensen kunnen zelf energie opwekken. En de complexe systemen voor betaalsystemen en het verrekenen van het terugleveren van energie zijn kwetsbaar. Denk maar aan de verhalen over het hacken van zonnecollectoren.’
GDPR en Privacy
Een ander onderwerp dat volgens Philips hoog op de agenda staat is de GDPR. Die nieuwe Europese wetgeving rondom privacy en data gaat in mei 2018 in. ‘We kijken allemaal hoe de voorzitter van de Autoriteit Persoonsgegevens (AP), Aleid Wolfsen, gaat handhaven. Ik verwacht dat er na het ingaan van die nieuwe EU-regels grote invallen komen bij bedrijven en organisaties. Er wordt jurisprudentie gecreëerd; pas dan weten bedrijven precies waar ze zich aan moeten houden. De vraag is: Waar stelt de AP de norm? Een wet invoeren is één, maar wat tolereren ze wel en niet? Dat is de volgende stap.’ Philips waarschuwt dat bedrijven met de GDPR in aantocht cybersecurity vooral vanuit privacy benaderen. ‘Cybersecurity gaat ook over de continuïteit van onze samenleving. Het is ondenkbaar dat onze huidige samenleving zonder ict kan functioneren. Ik wil zeker stellen dat we die systemen goed beveiligen. Daar ligt ook een verantwoordelijkheid voor de leverancier. Maar, de consument speelt ook een rol. Iedereen moet zich meer bewust zijn van cyberrisico’s. Persoonsgegevens zijn dus maar een fractie van waar het bij cybersecurity over gaat.’
Wat is volgens u het belang van security by design en security tests?
‘Klanten doen vaak een verzoek om hun beveiliging door ons te laten testen en certificeren, bijvoorbeeld via red teaming of andere testmethoden. Vaak komen we er snel achter dat er eigenlijk hele andere zaken spelen. Bijvoorbeeld dat er geen sprake is van security by design of een veilige architectuur. Die vraag wordt namelijk urgenter dan maandelijkse certifi ceringen.’
Philips ziet dat er binnen haar team steeds meer vraag is naar security architects omdat bedrijven hun beveiliging vanaf de basis aan moeten pakken. Grote bedrijven kampen bijvoorbeeld met schaduw-ict. ‘Gebruikers omzeilen de bedrijfs-ict door eigen ict die niet door hun werkgever wordt ondersteund en daardoor ontstaan er risico’s. Als we zoiets zien, dan moeten we eigenlijk met de ict verantwoordelijke gaan praten. Want anders is het dweilen met de kraan open.’
Security by Design
Ze legt uit dat, ondanks de oorspronkelijke opdracht: ‘maak ons veilig’ vaak veel naar boven komt als het spitten in de onderliggende ict-structuren en bedrijfsvoering van organisaties is begonnen. ‘We zien vaak dat bedrijven veiligheid onvoldoende verankerd hebben in hun mensen, ict en processen. Security by design gaat dus verder dan alleen een technische benadering. Je kunt geweldige ict bouwen, maar als jouw mensen en processen daar niet op een veilige manier mee omgaan heb je nog niks.’
‘Leidinggevenden vergeten vaak de organisatorische kant van cybersecurity. Eigenlijk komt het erop neer om te investeren in je signalerend vermogen. Dat doe je niet alleen door datastromen te scannen. Maar ook door te weten wat er in je bedrijf speelt. Want uiteindelijk gaat security natuurlijk over mensen. En alle vormen van security gaan over menselijk gedrag en het spotten van de afwijkingen in menselijk gedrag’, aldus de oud-politiecomissaris. ‘Ze geeft tot slot nog een aantal voorbeelden van de voorwaarden voor een veilige omgeving (zie kader).
(Deze bijdrage is afkomstig uit Computable Magazine, editie 02/2018.)
Security, aandachtspunten voor managers
● Creëer een veilige werkomgeving van systemen die
vanaf de basis goed beveiligd zijn.
● Breng in kaart wat je écht moet beschermen en segmenteer
die data en netwerken.
● Houd de omvang van teams behapbaar. In hele grote
teams verslapt vaak de aandacht om verdachte zaken
te melden en worden incidenten niet meer besproken.
● Zorg voor een cultuur waarin medewerkers hun
leidinggevenden durven aan te spreken op bijvoorbeeld
beveiligingslekken en hulp durven te vragen als ze iets
verdachts zien in de systemen.
● Spot afwijkend gedrag.
CV
2016-heden Directeurvan de CyberRisk Adviespraktijk Deloitte Nederland
2012-2016 Plaatsvervangend hoofdvan de Landelijke Recherche. Verantwoordelijk voor specialistische opsporing, waaronder high tech crime en de invoering van CCIII (nieuwe wet computercriminaliteit).
2011-2012 Programmaleider voor de vorming van de nationale politie (KLPD)
2007-2010 Consul: Ambassaderaad Veiligheid en Justitie in Frankrijk (Parijs)
1997-2011 AIVD
Deloitte in Nederland
Ruim 5400 medewerkers. Vijftien kantoren Accountancy, Consultancy, Financial Advisory Services, Tax en Risk Services. De cybersecuritypraktijk zit in Amsterdam en het controlcenter voor realtime monitoring in Den Haag. Er werken 180 medewerkers in de cyberpraktijk
ICT Pesonality of the Year 2017
In september 2017 werd Philips uitgeroepen tot ICT Personality 2017. De jury kende die prijs toe namens belangenorganisatie Nederland ICT en ECP en het Platform voor de Informatiesamenleving. Zij roemen de oudpolitiecommissaris als ‘ambassadeur voor publiek-private samenwerking op het gebied van digitale veiligheid.