Klantcase


Edwin Muller, Manager ICT bij Movir.

‘Drastische maatregelen zijn niet uit te sluiten’

Terug naar de situatie waarin er maar één internet-pc beschikbaar was op de werkvloer? Webmail blokkeren op de werkplekken? Edwin Muller, Manager ICT bij Movir, sluit niet uit dat dergelijke draconische maatregelen nodig zijn als het aantal digitale aanvallen op bedrijven, burgers en overheden blijft toenemen. “We hebben de hulp van een specialistische partner nodig om dat moment uit te stellen.”

Het overkomt je als bezoeker van een bedrijf niet vaak, dat de receptioniste je bij binnenkomst de hand schudt en bij vertrek vraagt of je een flesje water mee wil hebben voor onderweg. “Toch is het precies dit enthousiasme waarom ik er een jaar geleden voor heb gekozen om bij Movir te gaan werken”, vertelt Edwin Muller, Manager ICT bij de specialist in arbeidsongeschiktheidsverzekeringen. “We mogen ons al sinds 2009 de beste inkomensverzekeraar van Nederland noemen. Dat word je alleen maar als er binnen alle onderdelen van de onderneming enthousiaste en gedreven mensen werken.”

“Alle schakels in het proces richting onze klanten moeten het goed doen”, vervolgt Muller. Dat geldt zeker ook voor de ICT-middelen die de tweehonderd medewerkers van Movir tot hun beschikking hebben. Als een klant belt moet het dossier direct op het scherm van de betreffende Movir-medewerker worden getoond, en moet alle informatie meteen beschikbaar zijn. Muller vol trots: “Het knappe van mijn team is dat we met slechts twaalf man de ICT-infrastructuur steeds weer verder weten te optimaliseren en daarnaast enkele kernapplicaties van Movir zelf ontwikkelen. Onze programmeurs kennen het domein waarbinnen we actief zijn erg goed en kunnen waanzinnig snel reageren op vragen vanuit de organisatie.”

On-premise
Om ervoor te zorgen dat informatie zo snel mogelijk beschikbaar is, kiest Movir ervoor om zo veel mogelijk on-premise te draaien en zo min mogelijk in de cloud. “Ik ben niet conservatief ten aanzien van de cloud”, zo verzekert Muller ons, “maar het is wel zo dat de verbinding met de cloud vaak voor een vertraging zorgt. Bij ons is een gebruikerssessie een Citrix-sessie die draait op lokale, gevirtualiseerde servers die met een snelle verbinding met elkaar zijn verbonden. Daardoor is er nagenoeg geen sprake van een wachttijd, voor welke transactie dan ook.”

Als het gaat om het beheer van de ICT-omgeving, kiest Movir bewust voor de samenwerking met partners. “Veel bedrijven gaan naar de cloud omdat ze het beheer niet willen doen. Bij ons staat nagenoeg alles intern, maar laten we het beheer door externe partijen doen. Bijvoorbeeld op het gebied van security. Daar gaan de ontwikkelingen zo snel dat het voor een ICT-afdeling met twaalf medewerkers gewoon niet is bij te houden. Dan zouden we minimaal nog enkele ethical hackers en enkele senior engineers in dienst moeten nemen, en dat voor die ene serverruimte.”

Toenemende dreiging
Aangekomen op het punt van informatiebeveiliging ontpopt de enthousiaste, bevlogen Muller zich tot een man die zijn woorden uiterst nauwkeurig weegt en niet bepaald een rooskleurig beeld heeft van de digitale wereld om hem heen. “Onlangs werd bekend dat het aantal meldingen van digitale aanvallen op websites en systemen van de Nederlandse overheid de afgelopen twee jaar is verdubbeld. Dan hebben ook financiële instellingen – en particulieren die bij die financiële instellingen werken – te maken met een snel toenemend aantal aanvallen. Ik sluit niet uit dat we uiteindelijk weer teruggaan naar de situatie waarin er maar één internet-pc beschikbaar is op de werkvloer en webmail op de werkplekken is geblokkeerd. Als de dreiging van 0-days blijft toenemen, en je het risico loopt dat in een half uur tijd honderdduizend bestanden beschadigd raken, dan bestaat de kans dat we noodgedwongen die kant op bewegen.”

“Heel veel hacking gebeurt ‘ad random’, door slimme jongens met slimme technieken die met hagel op burgers schieten”, doceert Muller. “Daarnaast heb je de sluipschutters die er een studie van maken om bij je in te breken en in stevige teams maandenlang broeden op een aanval. Als aangevallen partij heb je een ‘netto-reactietijd’ van enkele minuten. In die zeer beperkte tijd moet je doorzien wat er gebeurt terwijl we echt niet slimmer zijn dan de aanvallers. Dat is de uitdaging waar we voor staan en dat geeft je een onveilig gevoel.”

Grote uitdaging
Die uitdaging is voor een inkomensverzekeraar als Movir zo mogelijk nog groter, zo begrijpen we van de Manager ICT. “De informatie die wij beheren, mag nooit naar buiten. Dat is een feit waar we niet omheen kunnen. Wij móeten gewoon onze beveiliging op orde hebben.”

“Als financiële instelling hebben we de verplichting om een eigen auditafdeling te hebben en moeten we er alles aan doen om financiële gegevens te beschermen”, legt Muller uit. “Daarnaast hebben we ook nog te maken met medische informatie. Als je aanspraak moet maken op de arbeidsongeschiktheidsverzekering, dan komt er medische informatie in je klantdossier. Het is al uiterst vervelend als financiële gegevens in verkeerde handen vallen, maar bij medische informatie raakt dat het individu nog veel meer. Die verantwoordelijkheid vertaalt zich in de muren die om onze systemen staan en die risicoverlagend werken.”

Samenspel
Op de vraag welke beveiligingsmaatregelen Movir heeft getroffen om die gevoelige informatie te beschermen, reageert Muller stellig: “Ik kan geen details geven over hoe wij onze beveiliging hebben ingericht.” Met een lach: “‘Geen details’, dat mag je ook zo in het artikel zetten.” Wel wil Muller kwijt dat de beveiliging bij Movir een samenspel is tussen meerdere partijen. “Naast de interne auditor, die met enige regelmaat alle logging wil zien, hebben we te maken met de risk-managementorganisatie van NN Group, waar Movir deel van uitmaakt. Risk management adviseert ons op wekelijkse basis. Hierdoor hebben we nu op het gebied van informatiebeveiliging een heel hoog niveau bereikt. Die jongens houden ons scherp.”

Daarnaast werkt Movir samen met verschillende externe partners waaronder Motiv. “Motiv dient op het gebied van beveiliging als adviseur, maar bewaakt ook het netwerk en alles wat daar overheen gaat. Motiv reageert op patronen, bijvoorbeeld als er rare patronen ontstaan of als er een admin-account wordt aangemaakt. Als er iets aan de hand is, is Motiv in staat om snel te schakelen. Als ik Motiv bel, krijg ik direct een engineer aan de lijn terwijl een andere engineer al onderweg is.”

Drastische maatregelen uitstellen
“Het is echt veiliger en beter om beheer en monitoring bij een andere partij neer te leggen”, besluit Muller. “Wij zijn zelf – met een team van twaalf man – niet in staat om de beveiliging op honderd procent te krijgen en te houden, voor zover dat al mogelijk is. We hebben die externe ogen nodig om te komen tot een nog betere beveiliging. Maar ook om het moment uit te stellen dat je drastische maatregelen moet nemen, zoals het blokkeren van webmail, die echter wel de werkvreugde raken. Want dat is wel het dilemma waar we nu mee te maken hebben.”


Lees meer over