Cybercriminelen, robots en dashboards – het jaar in digitale data

‘Cybercriminelen laten zich uitbetalen in bitcoins’ 

Dennis Stinissen, teamleider Functioneel beheer en Beveiliging, en Marcel de Graaf, coördinerend adviseur Functioneel beheer en Beveiliging werkzaam bij de UDAC-directie Informatie en Exploitatie, reflecteren op het jaar dat achter ons ligt.

‘Informatiebeveiliging was 10 jaar geleden nog iets dat één medewerker erbij deed. Nu kan het een politiek struikelpunt zijn en hebben wij er een team van 10 specialisten op zitten. De vraag is groter dan het aanbod en de vragen worden ook steeds diverser. 
Het gaat van: “Mag ik persoonsgegevens opslaan in een Excel” tot de beveiliging van het regeringsvliegtuig in relatie tot satellietsystemen. Die kennis moet je ook in huis hebben. De vragen worden steeds tactischer en strategischer.’

Nieuwe modus

Dennis en Marcel werken al jaren samen. Dat helpt in deze periode waarin je elkaar alleen nog maar op een schermpje ziet.

Dennis: ‘We missen het wel – de sessies dat je bij elkaar zit, met een whiteboard voor de groep staat, even koffie met elkaar drinkt om te bespreken waar de weerstand zit. Maar het is ook gelukt om een nieuwe modus te vinden.’

Marcel: ‘We kunnen schermdelen als geen ander.’ 
 

Geen nerd-dingen

Je denkt, zeggen ze, bij informatiebeveiliging waarschijnlijk meteen aan nerd-dingen. Maar het is in hoge mate mensenwerk. ‘Een belangrijk deel van ons werk is bij medewerkers alertheid creëren, zorgen dat je oog hebt voor de veiligheidsrisico’s in de digitale wereld. En dat doen wij beter live dan vanachter een computerscherm.’ 

Overigens verliep de jaarlijkse crisisoefening in het virtuele crisiscentrum – normaal gesproken met iedereen bij elkaar in dezelfde ruimte, nu digitaal vanuit huis – goed. 

Marcel: ‘Iedereen voelde dezelfde spanning, dezelfde urgentie. Het is ook goed om te ervaren dat je ‘op afstand’ ook goed kunt acteren.’ 

Meer cybercrime

Terugblikkend op 2020, zegt Marcel: ‘Waarschijnlijk door corona zijn er nu meer criminelen actief in de digitale wereld. Kijk je naar het incidentenoverzicht van 2020, dan is dat langer dan in voorgaande jaren. De whatsapp van een directeur werd gehackt. Er is meer phishing gaande, waar zelfs beveiligingsexperts in trappen.’ 

‘Je ziet dat cybercriminelen steeds slimmer worden. Je kunt bijvoorbeeld niet met 100 procent zekerheid zeggen dat zich in jouw systemen geen (slapende) cellen van een vreemde mogendheid bevinden, die kunnen meekijken met wat jij aan het doen bent.’  
Dennis: ‘Het is niet meer zozeer de vraag óf je geconfronteerd wordt met cybercrime, maar wanneer.’  

Correcte helpdesk

Dennis: ‘Je zag de afgelopen tijd dat er ransomware naar binnen wordt gesluisd bij overheidsinstellingen zoals gemeente Hof van Twente en Universiteit Maastricht. Dan kun je nergens meer bij en ben je de facto gegijzeld. Die criminelen eisen dan losgeld in ruil voor het vrijgeven van je systemen.’ 

‘Je moet betalen in bitcoins. Ze zijn zo professioneel dat, als je niet weet hoe je in bitcoins moet betalen, je wordt doorverwezen naar een helpdesk die je door het betaalproces heen loodst.’ 

Marcel: ‘Op een recent webinar hoorden we hierover. Er was een partij die teveel had betaald. Ze namen weer contact op met de helpdesk en die zorgde dat het keurig werd teruggestort. Deze vorm van cybercrime is gewoon business geworden.’ 

Actuele dilemma's

Hoe ga je hier als overheid mee om?
Dennis: ‘Hof van Twente heeft gezegd: wij laten ons als overheid niet chanteren. Dan maar nieuwe systemen en meer geld kwijt. Nu gaan wij, als Functioneel beheer en Beveiliging, over de uitvoering en niet over het beleid, dus wij gaan er niet over. Maar dit is wel iets waar je over na moet denken.’ 

Marcel: ‘Stel je voor, wij zien bij onze securityscans een hacker bezig. Wie besluit dan of je je systeem uitzet of aanhoudt? Prioriteit is dat de werkzaamheden binnen het ministerie niet tot stilstand komen – en dus moeten de systemen doordraaien. Maar het is wel zo dat je huis in de fik staat. Je moet snel handelen.’

Veilig mogelijk maken

Dennis: ‘Daar moet je ook over nadenken als je robotiseert. Het is prachtig om softwareprogramma’s het werk te laten doen, maar houd er rekening mee dat criminelen proberen ongezien de software onder de motorkap te wijzigen. Idem dito bij datadriven werken. Je zult per dataset die je binnenhaalt, beveiligingsmaatregelen moeten nemen. En ook het verrijken van je data biedt kansen voor kwaadwillende derden.’ 

Marcel: ‘Ik hecht er wel aan om te benadrukken dat onze club er niet is om deze ontwikkelingen in de weg te staan. We zijn er juist om dit op een veilige, werkbare manier mogelijk te maken.’  
 

‘De opgave was: ga iets doen met robots’ 

‘Nu we de afronding naderen, ben ik steeds blijer en trotser op wat wij hier als werkgroep realiseren’, zegt Peter Hage. Hij werkt als afdelingshoofd bij de UDAC-directie Financiën en Inkoop en is daarnaast resultaateigenaar voor de werkgroep Robotisering binnen Bedrijfsvoering in Beweging (BiB). 

Anderhalf jaar geleden stond hij met zijn ‘kraam’ op de BiB-markt, als een van de vier te vormen werkgroepen die een BiB-thema zouden gaan vertalen naar concrete doelstellingen en uitvoering. De werkgroep Robotisering kwam voort uit het thema ‘Processen’. Peter: ‘Het werd een brede werkgroep van een man of tien, die direct enthousiast aan de slag ging.’
 

62 processen

‘We begonnen met een inventarisatie van de processen die in aanmerking komen voor robotisering. Processen, dus, die gekenmerkt worden door veel handmatig en repeterend werk, en waarvan je de kwaliteit en efficiency waarschijnlijk ook verhoogt als je ze door robots laat uitvoeren. Plus: een robot kan dit 24 uur per dag doen.’

De werkgroep kwam uit op 62 processen. Daarvan werden er *drie geselecteerd - stamgegevens invoeren, grootboekmutaties aanmaken en vorderingen instellen - om bij wijze van pilot daadwerkelijk te laten uitvoeren door robots. Hierbij, zegt Peter, moeten we overigens niet denken aan robotfiguren zoals je in films ziet. 

*De overige 59 processen komen in aanmerking voor robotisering. Als besluitvorming hierover is vastgesteld dan zullen we verdergaan met de robotisering van deze processen.

Doorstarten in de zomer

Peter: ‘Nee, de robots in onze situatie zijn ‘gewoon’ zelfstandige softwareprogramma’s die de repeterende activiteiten van een medewerker overnemen. Die medewerker is vervolgens bijvoorbeeld breder inzetbaar op het gebied van data-analyse, waar binnen de organisatie veel behoefte aan bestaat en wat ook uitdagender werk is.’

Tijdens het inventarisatieproces werden meteen al de conceptrobots ontwikkeld en werd begonnen met het opleiden van medewerkers die zelf robots kunnen bouwen. 

Fast forward naar de lente van 2021. Peter: ‘De concept-bots bevinden zich in de afrondende fase. Ze worden nog getest en gaan in mei echt aan het werk. Als die pilot goed verloopt en de evaluatie is positief, dan verwacht ik dat we snel kunnen doorstarten en dat de robots in de zomer volledig operationeel zijn.’

‘Nu zegt iedereen: doe mij ook een dashboard’

Paul Esmeijer is op dit moment afdelingshoofd van twee afdelingen bij UDAC-directie Informatie en Exploitatie (IenE): Business Informatie en IenE Ontwikkeling. Het afgelopen jaar deed hij met de werkgroep Informatiegestuurd Werken onderzoek naar de verdere mogelijkheden die data in dit kader kunnen bieden binnen Bedrijfsvoering. 

Hij vertelt: ‘We willen binnen bedrijfsvoering al langer de mogelijkheden benutten van informatie-gestuurd werken. Bedrijfsvoering in Beweging bood ons de kans om daar dieper in te duiken. Zo konden we binnen het thema Informatie en Technologie met de werkgroep onderzoek doen.’ 

'Het mooiste is als die informatie via een dashboard beschikbaar komt. Daarbij gaat het om een aantal vragen: wat willen we weten, welke databestanden willen en kunnen we gebruiken als input, welke mogelijkheden hebben we daarmee en kunnen we daarmee dashboards ontwikkelen, liefst natuurlijk met voorspellende waarde?'

Thermometer

Dashboards zijn populair, vertelt Paul. ‘Je kunt ze zien als de thermometers van een organisatie. De Bestuursraad en de SG willen naar de situatie toe dat de bedrijfsvoering hen stuurinformatie geeft via dashboards. En vanuit de organisatie klinkt de roep om dashboards ook steeds harder. Eigenlijk zegt iedereen nu: doe mij ook een dashboard.’

Hij geeft een voorbeeld: ‘Vanuit personele data wil je als manager graag in één oogopslag en het liefst real time zien hoeveel medewerkers je in dienst hebt, of ze verlof hebben, wat de vrije ruimte is in je budget, etc. 

Tussen de oren

‘Het punt is dat we voor een actueel beeld zoals in dit voorbeeld, heel veel data die betrekking heeft op de (nabije) toekomst, handmatig moeten invoeren. En heel veel kennis die nodig is, blijkt tussen de oren van medewerkers te zitten, maar dus nog niet in het systeem.’

‘De crux is dat je zorgt dat de voor het dashboard relevante data automatisch en permanent uit de bronbestanden worden geselecteerd. En dat ze verrijkt worden aan de hand van een beperkt aantal behandelingen - zoals corrigeren, vervolledigen, uniformeren en interpreteren. En dat ze dan in het dashboard worden gestopt om daar bruikbare stuurinformatie op te leveren. Je kunt niet zomaar wat data in je dashboard stoppen: data is nog geen informatie.’

Datahub

De conclusie van de werkgroep was dat er op dit moment niet altijd een directe koppeling mogelijk is tussen bronbestanden en het gewenste dashboard. Veel bronsystemen bieden deze mogelijkheid niet.

Paul: ‘Er is daarvoor een tussenlaag nodig, een ‘datahub’. Die ontvangt en bewerkt de data uit de bronsystemen en stuurt het resultaat als informatie door. Zo krijg je een optimalisatieloket dat voor de verbinding zorgt tussen bronsystemen en de stuurinfo in het dashboard.’ ‘Het is daarbij overigens ook heel belangrijk dat je aan de achterkant - bij de bronbestanden - zorgt dat die consequent en tijdig de juiste, bruikbare data aanleveren. Anders krijg je ‘garbage in, garbage out’. Dat vereist de nodige discipline binnen de organisatie.’

Experimenteerfase

‘We hebben ons advies in februari van dit jaar uitgebracht. We stellen voor een experimenteerfase te starten waarin je die datahub creëert en we ons advies in de praktijk waar kunnen maken. Daarvoor zijn wel middelen nodig en een kwartiermaker. Zodra dit is gerealiseerd, gaan we hier mee verder.'