Expert

Cyberveiligheid cruciaal bij slimme steden 

‘Veilig door ontwerp’ broodnodig 

door Haider Pasha beeld Shutterstock 

De ideeën achter 'slimme steden' worden steeds relevanter nu regeringsleiders en het bedrijfsleven op zoek zijn naar innovatieve manieren om te reageren op de wereldwijde COVID-19-pandemie. Cyberveiligheid vormt hierbij echter een groot risico. Veel overheidsorganisaties hebben echter een tekort aan bestuur op dit gebied. En dat kan volgens Haider Pasha uitlopen “op een nachtmerrie” voor wie duidelijke cybersecurityregels moet opstellen.  

Slimme steden zijn een klassiek voorbeeld van het cruciale belang van 'veilig door ontwerp'. Verbonden systemen voor eerstehulpverleners, milieucontroles, openbare internettoegang, verkeersbeheer en groene energie moeten vanaf het begin gebaseerd zijn op solide en geautomatiseerde beveiligingsprotocollen en -beleid. Daarom moeten besluitvormers cybersecurity voorop houden.  Cyberbeveiliging die boven op systemen wordt ‘geplakt’ pas nadat deze systemen zijn geïnstalleerd (en misschien nadat er al datalekken zijn opgetreden), is nagenoeg waardeloos. Hackers zijn vindingrijk. Aanvullende beveiligingsinitiatieven werken niet en de mogelijke gevolgen zijn verbluffend beangstigend. 

'Laat je gemeente geen voorpaginakop worden wanneer hackers je databases infiltreren, je verkeersnetten opsplitsen ... of erger' 

Wat doe je eraan? 

Een groot probleem voor lokale, nationale overheden en gemeenten is, ironisch genoeg, het bestuur. Het gebrek aan bestuur op het gebied van slimme-stedeninitiatieven, over een breed scala van onderwerpen zoals gegevensverwerking, privacybeleid, toegangsrechten en meer, is zeer problematisch. Nee, het is erger dan dat; het is een mogelijke nachtmerrie voor chief information security officers, SOC-personeel, IT-teams en natuurlijk overheidsfunctionarissen die ervoor moeten zorgen dat er duidelijke regels zijn die de toegang tot kritieke systemen en gegevens regelen.    Neem bijvoorbeeld iets dat zo onschuldig lijkt als het inhuren van een verkoper om slimme straatverlichting te installeren. Als overheidsfunctionarissen en hun technische teams niet over het juiste bestuursbeleid beschikken om ervoor te zorgen dat de leverancier de beveiliging in het ontwerp heeft betrokken, zodat hackers niet via digitale verlichtingssystemen in backofficesystemen kunnen binnensluipen, kan gegevensonderschepping – of nog erger – het resultaat zijn.    Alle onderdelen van slimme steden – overheidsinstanties, gemeentelijke leiders, lokale bedrijven, burgers en bezoekers – moeten ook een goede cyberveiligheidshygiëne toepassen. Goed authenticatiebeleid, zoals het regelmatig wijzigen van wachtwoorden, multifactorauthenticatie en meer gebruik van biometrie, is essentieel. Dit moet natuurlijk een persoonlijke toezegging zijn van iedereen die toegang tot digitale diensten van slimme steden heeft, maar het vereist ook een geautomatiseerd beleid dat is opgelegd en ingevoerd door de overheid.    Gemeenten hebben bovendien mensen nodig die ervaring en expertise hebben op het gebied van cyberbeveiliging van slimme steden. Dat betekent niet per se dat je een leger beveiligingsingenieurs moet inhuren, maar je hebt wel leiders en praktijkmensen nodig voor wie cybersecurity een vertrouwde discipline is. Ze moeten het grote geheel kunnen overzien en ervoor kunnen zorgen dat de technische en operationele details aanwezig zijn. 

Keerzijde: privacyrisico’s 

Waar data zijn, zijn ook privacyrisico’s. “Je moet je altijd afvragen wat zo’n project voor de privacy betekent. En het is belangrijk dat je daar ook transparant over bent. Daarom hebben we onlangs het algoritmeregister gelanceerd. Ik vind het goed dat mensen kunnen zien wat wij gebruiken. Dan kunnen ze er ook wat van vinden”, legt Voortman uit.   Een andere uitdaging is om je ervan bewust te zijn dat een digitaal project lang niet altijd de beste oplossing is. “Bij digitalisering moet het niet alleen gaan over of iets kan en mag. We moeten ons ook afvragen of we het echt willen. Daarom hebben we als college besloten om ook ethische assessments uit te voeren. Als je dan een bepaald vraagstuk hebt waarbij er een digitale oplossing is, kijken we ook of dat echt de beste oplossing is.”

Vier belangrijke elementen 

Er zijn vier belangrijke vragen die niet-technische gemeentelijke leiders – gekozen functionarissen en leiders van overheidsafdelingen – moeten stellen aan hun CISO, CIO en andere technische leidinggevenden die toezicht houden op cyberbeveiliging.  

  • Hebben we een gedocumenteerd responsplan voor incidenten? Veel gemeentebestuurders denken vaak dat hun organisatie een plan heeft, maar zijn dan verbaasd hoe achterhaald dat plan eigenlijk is. 
  • Wat zijn onze bestuursstrategieën voor het beveiligen van systemen, applicaties, gegevens en identiteiten? 
  • Moeten we toestaan dat onze bestaande (en vermoedelijk slechter beveiligde) systemen verbinding maken met andere systemen en apparaten aan de ‘edge’? 
  • Wat voor soort cyberbeveiligingstests voeren we uit, en hoe vaak? Welke statistieken ontvangen we voor die tests, en wat doen we met de resultaten? 

Succesvolle initiatieven voor slimme steden vereisen vier belangrijke elementen:  

  1. zichtbaarheid, zodat je ziet wat er in die systemen gebeurt;  
  2. analyses, om risico's en abnormale systemen en netwerkgedrag te identificeren;  
  3. controle, beheer en, indien nodig, compartimentering van belangrijke systemen tegen bedreigingen; 
  4. coördinatie tussen alle belangrijke onderdelen, zodat cyberveiligheid 'ingebakken' is bij slimme-stedeninitiatieven. 

Laat je gemeente geen voorpaginakop worden wanneer hackers je databases infiltreren, je verkeersnetten opsplitsen ... of erger. Gebruik ‘veilig door ontwerp’ als mantra van alle slimme-stedeninitiatieven


Haider Pasha

is chief security officer voor groeiende markten bij Palo Alto Networks.