Drie stappen om je facilities te beschermen tegen een cyberaanval

Drie stappen om je facilities te beschermen tegen een cyberaanval
Kate Labunets, assistent-professor Cyber Security aan de Universiteit Utrecht

FMIS, met je app deuren openen, sensoren bij werkplekken en slimme dispensers. Nieuwe technologie zorgt voor efficiëntie en duurzaamheid, maar werpt ook nieuwe vragen op. Welke risico's kleven eraan? Hoe zorg je voor een veilige cultuur met geïnformeerde gebruikers van de technologie? En hoe erg is het als je smart facilities worden gehackt? Kate Labunets, assistent-professor Cyber Security aan de Universiteit Utrecht, legt uit.

Door: Paula Jansen*

Ook al worden de gebruikte technologieën steeds geavanceerder, dat betekent gelukkig niet dat facility managers het wiel hoeven uitvinden hoe ze deze moeten beveiligen. Labunets legt uit dat er gevestigde manieren zijn hoe je cyberrisico’s en het beheer daarvan kunt aanvliegen. 'Er is een systematische aanpak om risico’s te analyseren. Hoe je identificeert welke assets je hebt in je, in dit geval, facilities die beschermd moeten worden, welke potentiële gevaren er zijn en voor wie je een doelwit kunt zijn. Die frameworks bieden ook best practices en activiteiten die je kunt toepassen om een cyber securityprogramma op te zetten in je eigen organisatie.'

Stap 1: onderzoek de risico’s

De eerste stap is onderzoeken welke technologie, software en apparaten je gebruikt in je organisatie en wat voor soort risico’s deze met zich mee kunnen brengen. Je zou zeggen dat deze specifiek zijn voor jouw organisatie, maar dat blijkt mee te vallen. Labunets legt uit dat organisaties als de European Union Agency for Cybersecurity (ENISA) jaarlijks publiceren hoe het risicolandschap in Europa er op dat moment uitziet. 'Daarbij kijken ze naar de lessen uit de ervaring en maken ze een advies over welke problemen organisaties en overheden nu in de gaten moeten houden. Omdat we opereren in een gedeelde cyberspace, zijn veel problemen gelijk voor veel bedrijven. Het verschil zit hem voornamelijk in de motivatie van eventuele hackers.'

Waarom willen ze jou?

In de financiële sector zal die motivatie vooral zitten in het stelen van geld of gebruikersgegevens om te exploiteren. In de zorgsector kun je met het stelen van gegevens of de controle ook veel bereiken. Hoe zit dat dan voor een gemiddeld bedrijf? Waarom zou iemand je willen hacken?

'Je hoort vaak: "We zijn niet zo interessant voor hackers". Maar er zijn verschillende manieren waarop mensen je kunnen misbruiken met je data.

Bijvoorbeeld voor smart facilities en smart buildings gebruik je veel verschillende apparaten en sensoren, waarvan de data worden verzameld, opgeslagen en in een FMIS worden gevisualiseerd en gemanaged. Als een van die apparaten of sensoren wordt geïnfecteerd, kan die deel worden van een bot in een netwerk dat weer gebruikt kan worden in aanvallen op andere services. Zoals een DDoS-aanval. Dan wordt je data misschien niet direct tegen je gebruikt, maar word je gehackt als onderdeel van de keten waarvan je deel uitmaakt.'

Het is belangrijk de analyse van je eigen risico’s te verbreden en dat ook mee te nemen in je risicomanagementprogramma”

Gevaar voor anderen

Door zelf een zwakke cyberveiligheid te hebben, breng je dus de bedrijven in je netwerk ook in gevaar. En als één bedrijf in je keten uitvalt, dan kan dat zo miljoenen euro's kosten. Dit soort aanvallen ziet Labunets steeds vaker, omdat het voor hackers gemakkelijk is met zo’n aanval honderden organisaties te raken. 'Daarom denk ik dat we een transitie moeten maken. We moeten echt samenwerken op dit thema met de hele keten.'

Want dat gebeurt nog veel te weinig. Volgens cijfers van het World Economic Forum kent 54 procent van de organisaties uit het onderzoek niet de zwaktes in de cyber security in hun eigen keten. Ze hebben dus geen idee van de risico’s in het netwerk waarin ze opereren. Labunets: 'De helft vraagt partners ook niet welke problemen ze kunnen verwachten. Daarom is het belangrijk de analyse van je eigen risico’s te verbreden en dat ook mee te nemen in je risicomanagementprogramma.'

Stap 2: kies je maatregelen

Wanneer je weet wat de risico’s zijn, ga je onderzoeken welke maatregelen je kunt nemen om ze te managen. Labunets: 'Hierbij maak je ook een kostenbatenanalyse. Soms kun je een aantal kleine veiligheidsmaatregelen nemen die veel opleveren, in plaats van allerlei dure oplossingen. Het is belangrijk om kritisch te zijn op wat er in de markt aan oplossingen is en wat de voors en tegens zijn.'

Hoe weet je als facility manager zonder specialistische kennis wat voor jouw organisatie juist is en wat niet? Volgens Labunets kun je het beste afgaan op wat experts en de overheid adviseren. 'Het is in het belang van beleidsmakers om het cyberlandschap op nationaal niveau in het oog te houden. Zo kunnen ze proberen te coördineren tussen verschillende domeinen om het risico voor de samenleving zo laag mogelijk te houden. Daarnaast zijn er natuurlijk bedrijven waarin mensen fulltime bezig zijn met cyber security. Die bedrijven helpen organisaties om een effectief risicomanagementprogramma op te zetten en te beheren.'

Verantwoordelijkheid

Als facility manager is het vooral je rol om op de hoogte te zijn wat er speelt in je gebouw, maar daarvoor hoef je niet alle technische know how te hebben. Wel is het belangrijk dat we, met alle technologie die gebouwen in komt, onze mindset aanpassen. Zodat we cyber security meenemen bij beslissingen. Labunets: 'Twintig jaar geleden was de technologie er nog niet, dus toen was het niet nodig. Maar nu wordt cyberveiligheid en de verantwoordelijkheid erover steeds relevanter. Elke keer dat je iets nieuws toevoegt of update, kom je in een transformatieve fase, waarin je cybersecurity weer onder de loep moet nemen. Als je al een goede risk assessment hebt met duidelijke doelen, dan kun je nieuwe technologie gemakkelijker hiernaast leggen.'

Stap 3: implementatie

Dan hebben we nog een belangrijke factor: de mens. Medewerkers gaan met de technologie aan de slag. Hoe kun je ervoor zorgen dat ze dat veilig doen? “Technologie is bedoeld om door mensen gebruikt te worden”, betoogt Labunets. “Daarom moet je ook hun perspectief meenemen. Elke keer dat je een bepaalde oplossing implementeert, introduceer je iets nieuws. Een van de hoofdingrediënten voor een organisatiecultuur met een gezonde cyber security, is daarom duidelijke communicatie over die veranderingen. Waarom vraag of doe je bepaalde dingen? Veel organisaties trainen medewerkers bijvoorbeeld hoe ze moeten opletten bij phishing emails. Vaak wordt het trainen van werknemers gezien als dé manier om het menselijke element in het veiligheidsverhaal te tackelen. Maar die trainingen zijn te dikwijls saai en irrelevant. Dan voelt het voor medewerkers alleen maar als extra werkdruk. Dus het is belangrijk eerst te kijken welke kennis je medewerkers al hebben.'

Dat is de ene kant van de munt. Aan de andere kant wil je zo min mogelijk overlaten aan je medewerkers. Labunets vertelt dat cyber security immers niet een prioriteit is in hun werk en het is ook niet hun verantwoordelijkheid. 'We moeten op het technische niveau kijken hoe we medewerkers kunnen helpen veiliger te zijn. Misschien kunnen phishing mails wel beter worden gefilterd.' Ten slotte is er nog de rol van de manager. 'Ik denk dat het management de grootste rol heeft: zelf veilig gedrag vertonen.'

De mens in de technologie

Je hebt dus drie stakeholders: security experts, eindgebruikers en managers. 'Iedereen heeft een eigen perspectief. Als je alle drie een beschrijving laat geven van iets simpels als een fles, dan geven ze alle drie een andere uitleg. Wanneer een security professional iets implementeert en erover communiceert vanuit het eigen perspectief, dan hoeft dat niet aan te sluiten bij het perspectief van de eindgebruiker. Als zij de nieuwe oplossing niet begrijpen, dan zul je zien dat ze hun oude manieren aanhouden. Het is bij het implementeren van nieuwe technologie dus minstens zo belangrijk de menselijke gedragskant mee te nemen als de technische kant.'

* Paula Jansen is journalist bij Scherp Communicatie.

Dit artikel is de tweede in de reeks 'Technologie en FM'. In deze reeks leggen we vanuit verschillende invalshoeken uit waarom technologie en toenemende mate van digitalisering belangrijk is in het vak Facilitair Management.

Lees ook:

  1. Vacatures

  2. Autoriteit Financiële Markten

    Servicemanager Facilitair Bedrijf

    Autoriteit Financiële Markten logo

  3. Ministerie van Defensie

    Facilitair Medewerker Algemeen

    Ministerie van Defensie logo

  4. Ministerie van Defensie

    Planner

    Ministerie van Defensie logo
Bekijk vacatures
Rondetafelgesprek op WWEU26. Vlnr: Maurice Verwer (PwC), Harm van den Boogaard (FM Haaglanden), Thijs Poelman (TenneT TSO) en Natalie Hofman (Heyday Interim)

Deze inzichten versterken de sociale cohesie op kantoor (World Workplace Europe)