11-05-2022

Op het moment dat je iets niet meer kunt, besef je pas wat je mist. Het was alleen daarom al een geslaagd Nivo weekeinde event om weer samen te zijn met alle collega's. Deze keer zijn we 2 dagen naar Utrecht geweest.

Op donderdag 21 april kwamen de Nivo collega's 1 voor 1 de bar binnenlopen voor een ontvangstborrel. De stemming zat er meteen goed in. Voor iedereen lag een orginele blauwe Nivo jas klaar. Na de borrel gingen we naar de binnenstad voor ons Walking Dinner. Onze nieuwe jas kwam hier goed van pas. De buschauffeur keek dan ook wel even op toen zijn bus volstroomde met allemaal enthousiaste mensen in het blauw. We zijn blij om bij Nivo te werken en laten dat ook graag zien en horen.

Nadat iedereen was gearriveerd bij het eerste restaurant konden we genieten van een cullinair voorgerecht. Dit bestond uit een proeverij van kleine mini gerechtjes. Hierna stonden de gidsen klaar om ons mee te nemen door de binnenstad van Utrecht. Straten waar je normaal al winkelend doorheen loopt hebben een hele geschiedenis.  Het was dan ook een leerzame en boeiende wandeling langs al deze historische panden. Na een wandeling kwamen we aan bij het restaurant voor ons hoofdgerecht. Dit was een moment om nooit meer te vergeten. Door een misverstand moesten we lang wachten op ons eten. Een bekend fastfoodrestaunt vlakbij heeft die avond goede zaken gedaan. Nadat we onze buik vol hadden gegeten met dubbele gerechten vervolgde we onze weg door de stad onder leiding van onze gids. Je merk dan toch dat met een volle buik lopen iets moeizamer gaat. Omdat er onderweg veel gepraat en gelachen werd  kwamen we ondanks het late tijdstip vol verwachting aan bij het laatste restaurant. Hier kregen we onze toetje en werd er nog even gezellig onder het genot van een drankje na gepraat. Hierna  gingen we terug naar ons hotel om in ieder in zijn eigen luxe hotelkamer nog even heerlijk in het bubbelbad de dag af te sluiten.

Op vrijdag 22 april ging de wekker voor sommigen misschien iets te vroeg. Want het ontbijtbuffet stond klaar.  De keuze was luxe en gevarieerd en je zag menig collega ondanks het late diner toch meerdere keren zijn bordje vullen bij het buffet. Anderen die aten bewust wat minder, niet vanwege dieet maar misschien wel van de zenuwen. Want onze volgende activiteit was Skydiven. We vertrokken met een volle buik en enthousiasme naar het Skydive centrum. Daar aangekomen konden we ons inchecken voor onze vlucht. In een heuse bioscoopzaal kregen we onze instructie. Hierna werden we in 2 groepen verdeeld en konden we ons gaan omkleden. In 2 windtunnels kon iedereen onder begeleiding van een captain ervaren hoe het is om vrij door de lucht te zweven. Op de gespannen gezichten van sommigen was te zien dat het moeilijker is dan het lijkt. Omdat je meerder keren kon vliegen zag je de gezichten veranderen. Doordat windtunnels doorzichtig zijn konden degenen die niet vlogen onder het genot van een kopje koffie toekijken. En dat is misschien nog wel leuker dan vliegen. Onze eigen huisfotograaf heeft filmpjes en foto's gemaakt zodat we het nog eens terug kunnen kijken. Na deze onvergetelijk ervaring waarbij niemand zijn ontbijt had verloren en alle ledematen heel zijn gebleven vertrokken we richting hotel. Daar aangekomen stond er een uitgebreid luxe lunchbuffet klaar. De meesten van ons waren uitgehongerd na het skydiven en doken op het buffet af. Na de lunch  was het tijd voor het volgende onderdeel.

Na de lunch stond in de middag security awareness centraal.
Sinds het digitale tijdperk maakt iedereen inmiddels rijkelijk gebruik van ICT-voorzieningen, zowel in de werkomgeving als thuis. Om op een veilige manier gebruik te maken van deze voorzieningen is het belangrijk dat we ons bewust zijn van de gevaren op het internet. De meesten van ons zullen wel een paar keer te maken hebben gehad met een mail van een rijke Prins die bergen met goud beloofd tegen een kleine donatie om bij zijn rijkdommen te komen (old school scams). Of die leuke collega van wie je een LinkedIn verzoek ontvangt op je werkmail, waarop je helemaal geen LinkedIn account hebt geregistreerd natuurlijk (phishing). Het is zelfs zo erg dat 85% van het mailverkeer spam/phishing/scams zijn.
 
Voor Nivo is dit dan ook een erg belangrijk onderwerp en daarom was er ook een mooie security awareness presentatie aan gewijd. Deze presentatie werd gehouden in de Sky Lounge met een prachtig uitzicht over Utrecht, goed verzorgde hapjes en drinken met als klap op den vuurpijl: imponerende sprekers van de Defensie en Nivo.
 
Het eerste deel van de presentatie was een kijkje in de keuken van onze Defensie. Al snel werd duidelijk dat het creëren van bewustwording een behoorlijke uitdaging is en een vak apart. Zo kun je de ICT volledig op orde hebben met technische maatregelen, maar uiteindelijk is er wel een werknemer die in een phishing mail trapt en zijn credentials weggeeft of iemand die uit vriendelijkheid de fysieke deur openhoudt. Gelukkig hebben ze hier inmiddels ook al een oplossing voor zoals MFA, bij het geval van je credentials of mantraps in het geval van de deuren. Helaas laat het recentelijke voorbeeld bij de belastingdienst zien dat ook MFA niet genoeg is. Uiteraard wordt er bij Defensie ook had gewerkt om de bewustwording op een goed niveau te krijgen en te houden. Zo worden er geregeld bewustwordingscampagnes gestart waarin medewerkers phishingmails ontvangen en training krijgen over hoe bijvoorbeeld phishingmails of CEO fraude te herkennen is. De resultaten van zo'n campagne worden vervolgens gebruikt om de focus van bewustwording te tweaken waar dat nodig is.
 
Over training gesproken, we kregen halverwege de meeting uiteindelijk zelf een bewustwordingsquiz voor de kiezen. Hierin werden een viertal vragen gesteld, waar een groot aantal van ons de fout in ging bij de instinker. Uiteindelijk was het ook een Security Consultant die uiteindelijk met een summier puntenverschil de nummer een positie greep. Het duo van Defensie gaf nog aan dat zelfs zij als de experts nog wel wat kunnen leren als het op bewustwording aankwam. Zo is volgens hun de cultuur die er bij Shell is gecreëerd één om naartoe te werken, daar spreekt men elkaar bijvoorbeeld direct aan als badges niet zichtbaar worden gedragen of als je de roltrapleuning niet vasthoudt.
 
Mijn eigen conclusie uit dit stuk is dat je zeker moet streven naar een behoorlijk niveau in bewustwording, noem het een soort van "Common sense" baseline. Uiteindelijk is er altijd wel een kans dat iemand door afpersing, omkoping of phishingmails zijn informatie blootgeeft. Ga er dus altijd vanuit dat je getroffen wordt, maar focus je uiteindelijk ook op het detecteren en ingrijpen wanneer je getroffen bent. Het "Assume Breach" principe.
 
Deel twee van de presentatie werd verzorgd door onze eigen spreker. Hierin werd de focus nadrukkelijk op onze organisatie gelegd. Als consultants hebben we niet alleen te maken met onze werkgever en privé, maar ook met een opdrachtgever. Zo werd er als voorbeeld besproken of we zelf wel bewust zijn van de smart devices die we op ons eigen thuisnetwerk aansluiten; weten we wat die apparaten uiteindelijk allemaal uitvoeren op ons thuisnetwerk?
Bij de opdrachtgever heb je in veel gevallen te maken met informatie die niet gedeeld mag worden, maar hoe ga je daarmee om als de hardware/tooling niet geschikt is om de opdracht volledig uit te voeren? Dit leverde mooie gespreksstof op, én stof tot nadenken!
 
Als slot konden we ons inschrijven voor het boek "The Art of Invisibility" van Kevin Mitnick en werd er tijdens de borrel nog vurig gediscussieerd over het onderwerp bewustwording.

Hendrik Loosman en Joey Gommans