Interview

De lessen van een datalek

5 april 2022

Je leest erover in het nieuws, maar het blijft vaak ver van je vandaan. Totdat Blue Sky Group er opeens middenin zit. Begin augustus vorig jaar ontstond na een phishing mail een fors datalek. Voor het pensioenfonds reden om samen met Blue Sky Group kritisch te kijken naar processen om te bepalen hoe risico’s zijn te beperken. De directe schade lijkt inmiddels beperkt. ‘Maar de impact was voor alle betrokkenen enorm’ blikt Marko Broedersz terug. ‘Het was pijnlijk, maar uiteindelijk wordt de digitale veiligheid van deelnemers er beter van.’ De Information Security Officer van Blue Sky Group over de lessons learned. 

Hij is pas een paar maanden in dienst van Blue Sky Group als na een phishing mail de inhoud van een mailbox met veel data in handen komt van een vreemde.
‘Je vraagt je meteen af: wat betekent dit voor onze pensioenfondsen en deelnemers en Blue Sky Group?’, vertelt Broedersz drie maanden later. ‘Het is een uitdaging om daarmee aan de slag te gaan. Je wilt weten hoe je het oplost, hoe je de pensioenfondsen er goed bij betrekt en hoe je herhaling voorkomt.’ ‘Je ontdekt dat het niet zomaar aan één persoon ligt. Nadat je op IT-gebied de gaten hebt gedicht, ga je daarom fundamenteler kijken. Dan ga je je samenwerking tussen mensen, processen en techniek anders inrichten. Als je dat goed doet, kun je een veiligere omgeving creëren.’

Broedersz is zich goed bewust van de feilbaarheid van mensen.
‘Je kunt alle deuren goed afsluiten, maar vergeten dat ergens nog een raampje openstaat. De techniek kun je vergelijken met het opdoen van een helm die, als je hem verkeerd opzet, onvoldoende beschermt. En wat betreft de processen: álle vragen moeten worden gesteld om te ontdekken of ze kloppen. Voor je bedrijfsvoering is het essentieel dat je de drie factoren samenbrengt en zorgt dat ze in balans zijn. Je kunt wel zeggen dat mensen beter moeten opletten, maar je weet dat ze fouten kunnen maken. Je kunt IT-systemen aanschaffen die zo duur zijn, dat je verder niets meer kunt uitgeven. En je kunt processen zo ingewikkeld maken dat ze demotiveren of niet goed uitvoerbaar worden.’ ‘We zijn nu hard bezig het geleerde te vertalen naar de dagelijkse praktijk van onze medewerkers. We willen de manier van werken optimaliseren en de risico’s verminderen. We hebben iedereen gevraagd mee te denken: hoe kunnen we over de assen van mens en techniek het proces verbeteren. Op deze manier hebben wij onze organisatie kritisch onder de loep genomen met als doel sterker te worden en een betrouwbare partner te blijven. Want ook op het gebied van transparant informeren is het leerzaam geweest, het heeft ons bevestigd dat onze openheid goed is geweest voor het vertrouwen dat onze stakeholders in ons hebben.’

De leercurve heeft Broedersz ook een vliegwiel gegeven om met de visie die hij al had veranderingen door te voeren.
‘In mijn visie moet je steeds die balans zoeken. Waar deze ligt, hangt af van je organisatie, van wat je doet, maar ook van de cultuur. Je moet bewuste keuzes maken en het zo managen dat je de bedrijfsvoering naar een hoger niveau kunt tillen. Als security officer moet ik zo feitelijk mogelijk informeren, zodat de bedrijfsvoerder die keuzes kan maken.’

Voor Marko Broedersz zelf geldt het cliché dat zo’n crisis ook een kans biedt.
‘Je leert heel snel hoe de organisatie in elkaar steekt. Er ontstaat ruimte voor een nieuw volwassenheidsniveau, die je anders misschien minder snel ontwikkelt. Wat me wel is opgevallen is dat in deze crisis heel goed is samengewerkt. En dat er ondanks de extra werkdruk ook aandacht was voor elkaar. In mijn positie is het goed te zien dat de digitale veiligheid van de deelnemers beter is geworden. Dat geeft vertrouwen.