Godfried Boshuizen, Mourik: ‘Bij steeds meer bedrijven is de digitale basishygiëne op orde’

Als CISO heeft Godfried Boshuizen ervaring opgedaan bij diverse consultancy-bedrijven, bij Bruynzeel Keukens en in de Rotterdamse haven, voordat hij ruim twee jaar geleden bij Mourik terecht kwam. Dit familiebedrijf is met zo’n 2.000 werknemers internationaal actief op gebieden als infrastructuur, industriële dienstverlening, milieu en utiliteitsbouw. Het voordeel van een groter familiebedrijf is volgens de CISO dat men zowel de capaciteit als de langetermijnvisie heeft om een goede cyber-strategie vorm te geven.

Boshuizen heeft de afgelopen jaren noodzaak van samenwerking op het gebied van cybersecurity en -weerbaarheid volop meegekregen. Dat was bij zijn komst naar Mourik voor wat betreft de bouw- en aannemerswereld echter bepaald niet gebruikelijk. Het staat nog lang niet op hetzelfde niveau als in bijvoorbeeld de financiële sector. Iets waar de CISO inmiddels verandering in heeft weten te brengen.

“Vanuit mijn vorige werkgever – ECT – ben ik betrokken geraakt bij het Haven ISAC (Information Sharing and Analysis Centre, zie ook kader onderaan, red.). Ik ben daar in blijven zitten als vicevoorzitter na mijn overstap naar Mourik, omdat infrastructuur een belangrijk onderdeel is van havens zoals Rotterdam. Zo heeft de industrietak van Mourik in de Rotterdamse haven veel chemie- en raffinagebedrijven als klant. Verder ben ik bij cyberweerbaarheidsinitiatief FERM actief, vergelijkbaar met Cyberweerbaarheid Brainport uit Eindhoven.”

Samenwerking nodig

Bij beide initiatieven heeft Boshuizen geleerd dat samenwerking tussen bedrijven in een sector essentieel is om te komen tot een goede cybersecurity. “We zijn verwikkeld in een oorlog met de wereld van cybercriminelen. Wanneer je afzonderlijk van elkaar vecht, dan heb je honderd legertjes met allemaal hun eigen gevecht. Eén groot leger is veel effectiever. Deze overtuiging heb ik naar Mourik meegenomen en ik heb alle ruimte gekregen om die uit te dragen.”

Die ruimte heeft onder andere geleid tot een met ISAC vergelijkbaar initiatief in de bouwwereld, samen met brancheclub Bouwend Nederland en de grotere aannemers in Nederland. Het is nog geen volwassen ISAC, maar met inmiddels 15 partijen wel een stap in de goede richting. Boshuizen: “Je ziet steeds meer samenwerking op andere gebieden in de bouw. Dat is ook een vorm van risicospreiding. Het overleg op een hoger niveau hierover werpt nu zijn vruchten af op het niveau van de CISO, omdat dit het afspreken van gezamenlijke procedures op cybergebied vereenvoudigt.”

Digitale basishygiëne op orde

Al is de bouwwereld dus geen voorloper is als het gaat om cybersecurity en samenwerking hierin, het gaat het dus wel degelijk vooruit. “Ik zie dat bij steeds meer bedrijven in onze sector de basishygiëne op orde komt. Zo is Mourik grotendeels overgestapt op cloud-gebaseerde infrastructuur en -toepassingen. We maken veel gebruik van Microsoft 365 en daarbij ook de securitystacks die Microsoft biedt. Daarmee kun je de basis-security al behoorlijk afdekken.”

Boshuizen denkt dat de meeste grote bouwbedrijven al op een vergelijkbaar niveau zitten. “Vooral bij de kleinere bouwbedrijven is de digitale basishygiëne vaak nog niet op orde. Dat geldt volgens mij voor elk kleiner bedrijf in bijna elke sector. Maar ook bij grote bedrijven kan het beter. Je kunt wel denken dat je je cyberweerbaarheid op orde hebt. Maar dan vinden cybercriminelen weer een zero day exploit en word je net zo hard getroffen.”

Hoofdelijke aansprakelijkheid

Grote bedrijven hebben meestal wel een RvB en een financieel directeur. En die realiseren zich of zijn zich meer en meer bewust wat de financiële impact kan zijn van een hack of malware-aanval. “Er is volgens mij geen financieel directeur of CFO zonder het FD op zijn of haar bureau. En de afgelopen jaren stond ‘cyber’ herhaaldelijk als voorpaginanieuws op het FD. Mede daardoor is het cyberbewustzijn bij RvB’s en RvC’s de afgelopen jaren echt wel toegenomen. Deels komt dat ook door wetgeving zoals de AVG, CSRD en vanaf 2024 NIS2, met een veel sterkere nadruk op hoofdelijke aansprakelijkheid.”

Daarnaast eisen klanten steeds vaker dat een organisatie in de bouwsector de cybersecurity op orde heeft. Zeker als het gaat om infrastructuur-opdrachten zijn partijen als Rijkswaterstaat, provincies en gemeenten belangrijke opdrachtgevers. Die vallen al onder strengere regels omdat infra zoals sluizen en tunnels al vitaal zijn, en dat zal met de komst van NIS2 nog meer het geval zijn. “Reden waarom Rijkswaterstaat nu bijvoorbeeld al eist dat in elke opdracht met een OT (operationele technologie)-component ook cybersecurity meegenomen wordt. Dat is een richtlijn van serieus niveau, gebaseerd op diverse bestaande raamwerken. Ook steeds meer klanten vragen ons om ISO 2700-certificering.”

Op hoger niveau tillen

Boshuizen weet dat hij erg actief is als het gaat om cybersecurity op een hoger niveau tillen. Dat betekent echter niet dat een actief cybersecurity-beleid in de bouwsector van een paar CISO’s afhankelijk is. Steeds meer wordt cybersecurity-beleid al in processen vervat die onafhankelijk van personen zijn. “Zaken zoals vulnerability-management, change- en configuratiemanagement. De basis-IT en -OT processen op orde krijgen en daarvan security steeds meer onderdeel maken. Het wordt zo op een serieuze manier in de organisatie geïntegreerd.”

Godfried Boshuizen: "We kunnen eisen stellen als het gaat om digitale basishygiëne, maar we kunnen kleinere bedrijven ook helpen."

Cybersecurity- en weerbaarheid blijft echter ook ketenafhankelijk. Zo maakt Mourik vaak gebruik van combinaties van bedrijven voor projecten. Zeker bij kleinere aannemers kan de ketenafhankelijkheid dan problemen opleveren als het gaat om het niveau van cybersecurity.

“We kunnen eisen stellen als het gaat om digitale basishygiëne, maar we kunnen kleinere bedrijven ook helpen. Dat is zeker ook de bedoeling van samenwerking binnen een bouw-ISAC. En ook FERM probeert kleinere bedrijven ook op een hoger niveau te krijgen. Zo heeft FERM cyberrating CYRA geadopteerd, een initiatief van Cyberweerbaarheidscentrum Brainport, ASML en Tüv voor een eenduidige self-assessment op basis van standaarden zoals ISO-72001 en privacy-normen. We werken er met FERM aan om dit tot standaard in de Rotterdamse haven te maken. En er zijn vergelijkbare initiatieven met partijen zoals het Digital Trust Center (DTC). Zij en het NCSC werken er ook aan om kleinere partijen te helpen met cyberbewustzijn.”

Impact nieuwe AI-ontwikkelingen

Waar de CISO van Mourik zich zorgen over maakt, is de impact van nieuwe AI-ontwikkelingen. “Veel bedrijven worstelen met AI-toepassingen zoals ChatGPT: hoe gebruik je het in je voordeel, waar moet je op letten als het gaat om ethische overwegingen, privacy. Cybercriminelen hebben aan dat soort afwegingen geen boodschap. Dat betekent dat de ontwikkelingen aan de offensieve kant harder gaan dan aan defensieve kant. Ik zie gelukkig wel dat aan defensieve kant zowel grotere als kleinere aanbieders nu ook een versnelling doormaken en fors investeren in AI voor cybersecurity. Het is dus afwachten. Niemand heeft een kristallen bol.”

Over ISAC

In deze overlegvorm over cybersecurity wisselen organisaties uit dezelfde sector gevoelige en vertrouwelijke informatie uit over incidenten, dreigingen, kwetsbaarheden en maatregelen. Door over ervaringen te praten, leert men de do's & dont's in cybersecurity specifiek voor de sector van elkaar. De ISAC’s bestaan vooral in sectoren met vitale infrastructuur worden ondersteund door het NCSC (Nationaal Cyber Security Centrum).