Achtergrondartikel


Jacob Boersma, test- en releasemanager Eurail.com:

‘Motiv heeft de temperatuur gemeten’

“Het gevaar schuilt in wat je niet weet”, zegt Jacob Boersma, test- en releasemanager bij Eurail.com. “Je kunt het gevoel hebben dat de security op orde is, maar ben je wel echt beschermd tegen die boze buitenwereld?” Om een antwoord op die vraag te krijgen, liet het bedrijf een beveiligingsonderzoek uitvoeren door Motiv.

Veertigduizend bestemmingen in dertig Europese landen ontdekken per trein. “Bij ons kun je daarvoor online internationale treinpassen kopen”, vertelt Boersma als we in hartje Utrecht op bezoek zijn bij Eurail.com. Europeanen die het eigen continent per trein willen ontdekken, kunnen een Interrailpas aanschaffen. “Voor reizigers van andere continenten bieden we de passen aan onder het merk Eurail. Voor beide passen kan je bij Eurail.com terecht, echter via een ander merk en andere URL.”

Via de genoemde websites kunnen reizigers een route door verschillende Europese landen uitstippelen en de ‘treinpassen’ aanschaffen die daar het beste bij aansluiten. Na betaling print een van de drie fulfilmentcenters de passen uit en stuurt ze per post naar de klant. “We kijken naar de mogelijkheden om e-tickets uit te geven, maar in sommige landen moet je in de trein nog een papieren ticket op zak hebben”, legt Boersma uit.

Door te shoppen op www.eurail.com of www.interrail.eu, of op de verschillende lokale sites (bijvoorbeeld Alibaba in China), hoef je als reiziger niet zelf bij verschillende spoorwegmaatschappijen kaartjes aan te schaffen. Maar daar blijft het volgens Boersma niet bij. “We verkopen niet zomaar een pas, maar een beleving. De reis die je maakt is sowieso al uniek, want die maak je doorgaans niet ieder jaar. Op de site geven we je al het gevoel dat je op reis bent. We geven je tips voor tijdens je reis en ook medereizigers delen hun ervaringen.”

Security op orde
Die online community moet natuurlijk altijd beschikbaar zijn, evenals de modules voor het kopen van tickets en het reserveren van zitplaatsen. Daar heeft het bedrijf een aantal voorzorgsmaatregelen voor getroffen. Zo beschermt het platform van een derde partij de extern gehoste websites tegen Distributed Denial of Service (DDoS)-aanvallen.

“Maar onze grootste nachtmerrie is dat er klantdata zoals e-mailadressen, NAW-gegevens of ID-nummers op straat komen te liggen”, zegt Boersma resoluut. “Die data hebben we op één plek bij een betrouwbare derde partij staan waar ze goed zijn beveiligd. Voor kwaadwillenden is het moeilijk om daar bij te komen.” Ook een ander risico heeft Eurail.com gepareerd. “Bij onze paymentprovider hebben we antifraudemodules geïnstalleerd waarmee afwijkingen in het betalingsverkeer snel worden gedetecteerd.”

Klopt het plaatje wel?
“Wij hadden en hebben het gevoel dat we de security goed op orde hebben”, zo constateert Boersma, om er meteen een kanttekening bij te plaatsen. “Dat gevoel komt voort uit wat we weten, maar het gevaar schuilt in de dingen die je niet weet. Je hebt een plaatje in je hoofd zitten van hoe het eruit ziet, maar klopt dat plaatje nog wel? Of zitten de zaken door wijzigingen of onvermijdelijke foutjes toch net iets anders in elkaar?”

Bij Eurail.com groeide de behoefte om deze vragen door een externe partij te laten beantwoorden aan de hand van een beveiligingsonderzoek. “Ook is er de wens om een cybersecurityverzekering af te sluiten”, vult Boersma aan. “Dan moet je ook kunnen aantonen dat je de security op orde hebt en alle systemen up-to-date zijn. Door het laten uitvoeren van een beveiligingsonderzoek hoopten we bovendien het onderwerp security awareness nog eens extra op de agenda te zetten. De bevindingen kun je weer gebruiken om het beveiligingsbewustzijn verder te stimuleren onder medewerkers.”

Geen rode lampen
De gestelde doelstellingen heeft Eurail.com met een beveiligingsonderzoek weten te realiseren. “We hebben Motiv gevraagd om te kijken of onze websites en onze kantoorautomatisering voldoende zijn beschermd tegen de boze buitenwereld”, licht Boersma toe.

Uit het door Motiv uitgevoerde onderzoek kwamen geen schokkende zaken naar voren. “Geen rode lampen. Wel een aantal kleine zaken, zoals kleine configuratiefouten die er gaandeweg in zijn geslopen. Ook bleek dat het beheer van de firewall nog iets strakker kon. We breiden de firewall nu uit met een module om het in- en uitgaande verkeer nog beter te kunnen monitoren.”

Security aantoonbaar maken
“Motiv heeft de temperatuur van onze security gemeten”, vervolgt Boersma. “Nu voeren we op regelmatige basis tactische security-overleggen om te kijken hoe hoog de lat moet komen te liggen gelet op het risicobeeld, en hoe we de security kunnen borgen in een framework. Daarmee maken we de security aantoonbaar, wat ook nodig is voor het aangaan van een cybersecurityverzekering.”

“Motiv vervult in dat proces een adviserende rol”, legt Boersma uit. “Motiv bleek al snel de partij te zijn die bij ons past. Geen strakke pakken, want zo zijn wij ook niet. En het contact verloopt heel direct. Als we een vraag stellen, krijgen we vrijwel onmiddellijk een antwoord.”

Security awareness
Ook leverde het beveiligingsonderzoek volgens Boersma nieuwe inzichten op die Eurail.com weer kan inzetten om het beveiligingsbewustzijn verder te stimuleren. “Security awareness staat bij ons al langer op de agenda. Zo hebben we een ‘securityhandboek’ waarin bijvoorbeeld staat hoe lang wachtwoorden en pincodes moeten zijn en dat je iemand niet zomaar binnen mag laten. En als je je werkplek verlaat, moet je je laptop locken.”

Security awareness is ook met enige regelmaat het onderwerp van de ‘updatesessies’ waar de circa 120 medewerkers van Eurail.com wekelijks op worden getrakteerd. “Daarnaast kijken we naar de mogelijkheden om social engineering in te zetten. Hoe reageert een medewerker bijvoorbeeld als zogenaamd iemand van de beheerorganisatie telefonisch gebruikersnamen en wachtwoorden opvraagt? En wordt iemand die zegt onderhoud te komen uitvoeren zomaar binnengelaten? Dat zijn interessante cases.”

“Onlangs hebben we ook een ethical hacker van Motiv op bezoek gehad die onder andere liet zien hoe eenvoudig het is om met een commando de camera’s in te schakelen. Dan heb je direct de aandacht”, vervolgt Boersma. “Overigens zijn onze medewerkers sowieso heel erg ‘eager’ om meer te leren over security. Dat maakt het ook leuk om kennis over te dragen.”

Blijf controleren
Ondertussen denkt Boersma al na over een mogelijk volgend beveiligingsonderzoek. “Een eenmalige audit is niet genoeg, je moet blijven controleren. Dat kan door probes in het netwerk te plaatsen en de onderzoeken te automatiseren, of door Motiv halfjaarlijks terug te vragen.”


Tekst: Ferry Waterkamp
Fotografie: Ruud Jonkers


Dit artikel is eerder verschenen in Motivator Magazine, najaar 2017.

Lees meer over