Cybersecurity én DevSecOps naar een hoger niveau: zo werken deze banken en verzekeraar samen

“Innovatie betekent niet altijd dat je iets nieuws ontwikkelt. Het innovatieve aspect kan hem ook zitten in de wijze waarop verschillende partijen met elkaar samenwerken. En dat is zeker het geval bij de manier waarop cybersecurityspecialisten van ABN AMRO, ING en Achmea nu onderling informatie uitwisselen in het ‘Joint Practices for Security in Agile’ project.

Die samenwerking binnen dit project zorgt ervoor dat al die partijen daar gezamenlijk de baseline van hun DevSecOps naar een hoger niveau gaan tillen. Dat is althans het idee van het nieuwe platform dat zij binnen het PCSI hebben opgezet, en waar wij als TNO ook nauw bij betrokken zijn”, aldus Mike Wilmer, die zich binnen TNO bezighoudt met Data Science en Cybersecurity. Vanuit TNO heeft hij een faciliterende rol binnen het PCSI-project.

Onderling vertrouwen

“De samenwerking is nog pril. We zitten in de proof-of-conceptfase, waarbij we ons vooral richten op de processen die nodig zijn om een PCSI-DevSecOps-Community tot stand te brengen. Dat betekent dat we nog geen conclusies kunnen trekken over wat het nieuwe platform de deelnemers concreet oplevert”, benadrukt hij.

“Maar de eerste ervaringen zijn al wel heel positief. Zo wisselden de deelnemers al kennis over zeer specifieke DevSecOps-onderwerpen met elkaar uit. Daarbij spraken zij hun vertrouwen uit in de richting van TNO, waarbij ze aangaven dat wij een goede partij zijn om die bijeenkomsten te faciliteren. Bovendien is de veiligheid goed geborgd, waardoor iedereen open kan spreken. Qua onderling vertrouwen lijkt het ook goed te zitten. Tijdens deze bijeenkomsten begint iedereen spontaan vragen te stellen en wisselen de cybersecurityspecialisten veel ervaringen uit. Wat dat betreft, lijkt het platform in een duidelijke behoefte te voorzien.”

Onderling discussiëren

In coronatijd zijn die bijeenkomsten online, in een beveiligde omgeving. Er zijn sprekers aan het woord over actuele onderwerpen, zoals de betrokkenheid van Security Champions en verschillende technieken voor het testen van software in CI/CD-pipelines (SAST en DAST). Daarna kunnen de cybersecurityspecialisten onderling over dat onderwerp discussiëren.

Een belangrijk uitgangspunt is DevSecOps. Dit is een combinatie van ontwikkeling (development), veiligheid (security) en bedrijfsactiviteiten (operations). De knowhow van de specialisten en de beschikbare technologie worden zo samengebracht in processen die de softwareontwikkeling op een veilige manier kunnen versnellen. Dat gebeurt op een agile manier, dus in sprints, waarbij nieuwe inzichten snel in de verdere ontwikkeling kunnen worden meegenomen. “Banken zijn al helemaal over naar een moderne manier van het testen van hun security”, aldus Wilmer. “Op dat vlak zijn ze echt al ver, ik stond daar echt van te kijken.”

Leren van vakgenoten

“We zijn concurrenten, maar niet op het vlak van IT- en informatiebeveiliging”, aldus Jeroen Verwoest, Information Security Consultant bij ABN AMRO. “Op het vlak van cybersecurity helpen we elkaar graag verder. En het is heel leerzaam om van vakgenoten te horen hoe zij bepaalde problemen aanpakken. Wat doen zij anders? Waarom? En helpt die aanpak ook? Dat zijn vragen waar je graag antwoord op krijgt van vakgenoten die met dezelfde problemen worstelen.”

Onderwerpen van gesprek? Nou, bijvoorbeeld wat je kunt doen om Security Champions te motiveren. Of welke methodieken de deelnemers toepassen en met welk resultaat. Die uitwisseling zorgde meteen al voor de nodige inspiratie. Zo haalt een van de deelnemende organisaties al succesvolle resultaten met een aanpak die bij een andere organisatie al een tijdje als idee in een la lag. Zij gaan kijken of ze dat idee nu ook versneld kunnen gaan toepassen.

Deelnemers zijn aan elkaar gewaagd

“Cybersecurity speelt een belangrijke rol binnen de financiële sector”, vervolgt Verwoest. “Alle PCSI-partners zijn op dat vlak dan ook al heel ver. De onderlinge verschillen zijn klein. Tijdens de bijeenkomsten gaat het dus vaak om details. Maar wel om details die net het verschil kunnen maken en die een specialist veel tijd kunnen besparen. Op basis van wat ik tot dusver heb gezien en gehoord, verwacht ik dat we samen nog mooie dingen voor elkaar kunnen krijgen.”

Zeer gevoelige informatie

“Het mooie van deze samenwerking is dat hij op een natuurlijke manier tot stand is gekomen”, vindt Robert Wegh, IT Security Specialist bij Achmea. “PCSI nodigde ons tijdens een onderzoek uit om ook na te denken over hoe we als cybersecurityspecialisten onze kennis en ervaring kunnen delen. We kwamen gezamenlijk al snel tot de conclusie dat een community-platform een logische vervolgstap zou zijn. Dat klinkt misschien als iets wat heel simpel te realiseren is, maar het gaat natuurlijk om zeer gevoelige informatie. Vandaar ook dat alle deelnemende partijen een Non-Disclosure Agreement hebben afgesloten. Daarbij is het goed dat TNO erbij betrokken is. Dat is een neutrale partij die veel vertrouwen uitstraalt.”

Secure by design

Ook zijn Achmea-collega Erwin Kamminga is deelnemer van het platform. Hij is Security Specialist & IT Architect en houdt zich een groot deel van zijn tijd bezig met het beveiligen van de mobiele apps van de verzekeraar. “Bij het platform van PCSI hebben we inmiddels de eerste bijeenkomsten gehad. Tijdens een van die bijeenkomsten lag de focus toevallig al wel op de nieuwe trends bij het beveiligen van mobiele apps. Het ging toen onder andere over ‘Secure by design’ en ‘Shift left’, een werkwijze waarbij veiligheidsaspecten eerder in het ontwikkelingsproces aan bod komen. Dat paste natuurlijk helemaal in mijn straatje. Het is heel waardevol om het daar met vakgenoten over te hebben.”

We hebben allemaal hetzelfde doel

“Als grote bedrijven nemen we beveiliging uiteraard zeer serieus”, benadrukt Stefan Petrushevski, die als Security Expert bij ING werkt. “We investeren daar dan ook continu in, en blijven werken aan het verbeteren en hoog houden van de standaardnormen. Daarbij hanteren we allemaal de principes van agile softwareontwikkeling, waarbij we met kleine stapjes vorderingen maken. Daarbij leren we wat wel en wat niet werkt, en zo komen we dus steeds verder. We proberen op die manier ook allemaal hetzelfde doel te behalen. Dat doel – optimale cybersecurity – halen we vervolgens ook, maar als we voortaan op bepaalde onderdelen met elkaar optrekken, kunnen we onderweg ook van elkaar leren en daardoor het ontwikkelproces versnellen. Heel goed dus dat we nu binnen het PCSI een platform hebben waar we onze verschillende aanpakken en ervaringen met elkaar kunnen delen.”