CTOUCH ontwikkelt met Grant Thornton een security baseline voor veilige touchscreens in Europa

Hoe kwamen jullie bij Grant Thornton voor cybersecurity advies? En wanneer?

Remmelt: ‘Dat is nu anderhalf jaar geleden en het was een logische keuze. Grant Thornton adviseerde onze klant, Stichting KIEN, die een groot aantal scholen bestuurt. Grant Thornton had bij een securitytest op hun scholen uitgevonden dat onze interactieve schermen niet voldoende veilig waren. Dat was het team van Migiel – en bedankt nog! Dat geeft natuurlijk eerst wat frictie, maar wij waren overtuigd dat wij onze intelligente schermen op orde hadden en gingen het gesprek aan. Toen bleek dat het beter kon, hebben we meteen actie ondernomen én startten we de ontwikkeling van een aantal nieuwe security baselines. Het lag voor de hand dat we dat met Grant Thornton gingen doen; zij kenden de hardware software en de netwerkvereisten al – en ze zijn scherp. Zij hebben ons geholpen een mooie baseline voor de security van onze productlijnen te maken. Stichting Kien is van kritische klant nu onze beste ambassadeur geworden. Door de serieuze manier waarop we het samen met Grant Thornton hebben aangepakt’.

Hoe hebben jullie de beveiliging van de interactieve schermen aangepakt?

‘Wij hebben na de melding van KIEN eerst zelf zaken aangepast. Ons magazijn en onderhoudsteam is direct naast het kantoor gevestigd, dus konden we met nieuwe settings de veiligheid verbeteren bij de nieuwe schermen. Zo kwamen ze al meteen veiliger “uit de doos” bij de klanten. Maar we wilden het vanaf de basis nog beter en veiliger maken. Dat deden we met het cyberteam van Grant Thornton, ons ontwikkelteam in Eindoven en onze fabriek in China. We gingen hiervoor een heel proces in. Wij hebben diverse productlijnen. We ontwikkelden een overall baseline en de baselines voor twee productlijnen. Maar ook het algemene beheer legden we vast in een aparte baseline.’

Waarop is zo’n baseline gebaseerd?

Migiel: ‘Grant Thornton werkt met een set van security principes: secure by design, secure by default en zero trust. Met zero trust ga je niet uit van goedheid, maar kijk je hoe een hacker kijkt. Secure by design betekent dat de beveiliging al bij het ontwerp is meegenomen en dat het er niet later aan toegevoegd is. Dat laatste geeft bijna altijd ‘kiertjes’. De hoogste standaard is dus secure by design. Met secure by default zet je de standaardinstellingen op de veiligste manier. De software vraagt bijvoorbeeld standaard een gebruikersnaam, sterk wachtwoord en een code via een extra device: multi-factor-authenticatie. De gebruiker krijgt zo het apparaat geleverd met de meest veilige instellingen en moet dat bewust zelf aanpassen als hij het anders wil. Zo is hij zich bewuster van risico’s dan wanneer het standaard allemaal open staat. Dus met die verschillende principe-brillen keken wij samen naar het product en kwamen dan al pratend op een lijst factoren waaraan het apparaat moet voldoen. Dat zijn dan uiteindelijk de criteria die je kunt kwantificeren en waaraan je kunt gaan werken.‘

Gaf dat veel discussie?

Remmelt: ‘Het waren zeker in het begin wat stroeve meetings. Vooral het principe van zero trust botste met het grote gebruikersgemak wat zo in ons DNA zit. Onze productontwikkeling is erop gericht dat onze interactieve schermen ‘out of the box’ gebruiksvriendelijk zijn. Wij gaan voor de ‘happy interactive experience’ met een glimlach als resultaat. Als het een paar minuten duurt om in te loggen is dat natuurlijk toch een ander verhaal. Maar de markt vroeg ons meer veiligheid. En dat is ook terecht. Je kunt natuurlijk met vingerafdruk verificatie weer wat tijd winnen en zo kom je weer bij het security by design principe en de default instellingen. Het is een boeiend en intensief proces – je moet je voorstellen dat je ook alle productspecificaties, tot in de laatste instellingen precies boven tafel moest krijgen, ook voor de applicaties. We hebben heel grondig gewerkt.’

Kun je een concrete situatie geven in het gebruik van de schermen: wat is er bijvoorbeeld verbeterd?

Remmelt: ‘Neem een online ouderavond via een CTOUCH-scherm. Om mee te laten kijken naar de resultaten gebruikt de leraar een Magister-app. Die wordt geactiveerd in de CTOUCH-appstore en dan deelt hij persoonlijke informatie vanuit het grote scherm. Dan hebben we gekeken: met welke omgevingen gaat die Magister-app communiceren? Het hangt nou eenmaal aan het netwerk, dus het is mogelijk dat de persoonlijke gegevens op een of andere server in Oost-Europa of China terechtkomen. Hoe is die app beveiligd en welke communicatie heeft hij naar buiten toe? Is de app data aan het verzenden? Zo ja, waar naartoe dan en wat is acceptabel en wat niet. Het is logisch dat synchronisatie plaatsvindt van gegevens naar de Magisterserver, maar als hij daarnaast ook iets doorzet naar andere servers – dan is er iets niet in de haak. Hoe gaan we borgen dat dat niet gebeurt? – Zo hebben wij alle apps tegen het licht gehouden.’

Hoeveel van de veiligheid ligt ook in handen van de gebruiker?

Remmelt: ‘Ja, de gebruiker is een heel grote risicofactor. Zij maken allerlei keuzes: bieden zij de mogelijkheid van open netwerk wel of niet aan? Als zij ons scherm uit de doos halen staat het uit. Je moet dus bewust als beheerder de server openzetten. Wij kunnen natuurlijk allerlei password restricties en beveiligingen hebben, maar als de conciërge in zijn lade een lijst met alle usernames met passwords heeft liggen, dan zijn we nog steeds “lost” natuurlijk! Daarom is ook de dialoog met gebruiker over hoe zij de klantomgeving inrichten en erover communiceren zeker belangrijk. En zo wordt ook de keten steeds bewuster en een beetje veiliger.’

Is er eigenlijk niet een norm of ISO-standaard voor grote interactieve schermen?

Migiel: ‘Toen wij bij CTOUCH begonnen was dat er nog niet. We weten wel dat er een standaard binnen de EU in ontwikkeling is en dat er een nieuwe standaard in de VS wordt ontwikkeld: de eerste versie IoT-standaard. Het lijkt erop dat deze standaard drie niveaus krijgt. Hij is nog niet af, dus het is nog wat prematuur, maar wat ons team ervan hoorde zit CTOUCH met deze baseline straks meteen op het hoogste niveau van de drie! Mooi he?’ Remmelt: ‘Precies waar we horen zijn: op het hoogste niveau!’