Eurail.com overweegt al enige tijd om een cybersecurityverzekering af te sluiten. “Maar dan moet je wel kunnen aantonen dat je de security op orde hebt en alle systemen up-to-date zijn”, zegt test- en releasemanager Jacob Boersma. Hoe houdt Eurail.com op het gebied van security de spreekwoordelijke vinger aan de pols?
‘Interrailen’. Het is een werkwoord dat bij velen warme herinneringen oproept. Als student in de vakantie met de trein kriskras door heel Europa. Samen met vrienden dagenlang het treinavontuur tegemoet. Het Interrailprogramma dat begon in 1972 bestaat nog altijd en is in de afgelopen 45 jaar zelfs steeds verder uitgebreid. Europeanen van alle leeftijden kunnen nu veertigduizend bestemmingen ontdekken in dertig Europese landen. Voor niet-Europeanen zijn er de Eurailpassen, die bestaan sinds 1959.
Sinds 2007 is de Eurailgroep verantwoordelijk voor alle Eurail en Interrail-passen en -producten. “De internationale treinpassen kun je bij ons online kopen”, vertelt Jacob Boersma, test- en releasemanager bij Eurail.com. Europeanen kunnen daarvoor terecht op www.interrail.eu. “Voor reizigers van andere continenten bieden we de passen aan onder het merk Eurail, te verkrijgen op www.eurail.com. Of op de verschillende lokale sites, zoals van Alibaba in China.”
“Wij verkopen niet zomaar een pas, maar een beleving”, vindt Boersma. “De reis die je maakt is sowieso al uniek, want die maak je doorgaans niet ieder jaar. Op de site geven we je al het gevoel dat je op reis bent. We geven je tips voor tijdens je reis en ook delen medereizigers hun ervaringen.”
Altijd beschikbaar
Die online community moet natuurlijk altijd beschikbaar zijn, evenals de modules voor het kopen van tickets en het reserveren van zitplaatsen. Daar heeft het bedrijf een aantal voorzorgsmaatregelen voor getroffen. Zo beschermt het platform van een derde partij de extern gehoste websites tegen Distributed Denial of Service (DDoS)-aanvallen.
“Maar onze grootste nachtmerrie is dat er klantdata zoals e-mailadressen, NAW-gegevens of ID-nummers op straat komen te liggen”, zegt Boersma resoluut. “Die data hebben we op één plek bij een betrouwbare derde partij staan waar ze goed zijn beveiligd. Voor kwaadwillenden is het moeilijk om daar bij te komen.” Ook een ander risico heeft Eurail.com gepareerd. “Bij onze paymentprovider hebben we antifraudemodules geïnstalleerd waarmee afwijkingen in het betalingsverkeer snel worden gedetecteerd.”
Beveiligingsonderzoek
“Wij hadden en hebben het gevoel dat we de security goed op orde hebben”, zo constateert Boersma, om er meteen een kanttekening bij te plaatsen. “Dat gevoel komt voort uit wat we weten, maar het gevaar schuilt in de dingen die je niet weet. Je hebt een plaatje in je hoofd zitten van hoe het eruitziet, maar klopt dat plaatje nog wel? Of zitten de zaken door wijzigingen of onvermijdelijke foutjes toch net iets anders in elkaar?”
Bij Eurail.com groeide de behoefte om deze vragen door een externe partij te laten beantwoorden aan de hand van een beveiligingsonderzoek. “Ook kijken we naar de mogelijkheden die een cybersecurityverzekering biedt”, vult Boersma aan. “Voor je die stap zet, moet je ook kunnen aantonen dat je de security op orde hebt en alle systemen up-to-date zijn. Door het laten uitvoeren van een beveiligingsonderzoek hoopten we bovendien het onderwerp security-awareness nog eens extra op de agenda te zetten. De bevindingen kun je weer gebruiken om het beveiligingsbewustzijn verder te stimuleren onder medewerkers.”
“We hebben onze securitypartner Motiv gevraagd om te kijken of onze websites en onze kantoorautomatisering voldoende zijn beschermd tegen de boze buitenwereld”, vervolgt Boersma. Uit het uitgevoerde onderzoek kwamen geen schokkende zaken naar voren. “Geen rode lampen. Wel een aantal kleine zaken, zoals kleine configuratiefouten die er gaandeweg in zijn geslopen. Ook bleek dat het beheer van de firewall nog iets strakker kon. We breiden de firewall nu uit met een module om het in- en uitgaande verkeer nog beter te kunnen monitoren.”
Nieuwe inzichten
Ook leverde het beveiligingsonderzoek volgens Boersma nieuwe inzichten op die Eurail.com weer kan inzetten om het beveiligingsbewustzijn verder te stimuleren. “Security-awareness staat bij ons al langer op de agenda. Zo hebben we een ‘securityhandboek’ waarin bijvoorbeeld staat hoe lang wachtwoorden en pincodes moeten zijn en dat je iemand niet zomaar binnen mag laten. En als je je werkplek verlaat, moet je je laptop locken.”
Security-awareness is ook met enige regelmaat het onderwerp van de ‘updatesessies’ waar de circa 120 medewerkers van Eurail.com wekelijks op worden getrakteerd. “Daarnaast kijken we naar de mogelijkheden om social engineering in te zetten. Hoe reageert een medewerker bijvoorbeeld als zogenaamd iemand van de beheerorganisatie telefonisch gebruikersnamen en wachtwoorden opvraagt? En wordt iemand die zegt onderhoud te komen uitvoeren zomaar binnengelaten? Dat zijn interessante cases.”
Blijf controleren
Ondertussen denkt Boersma al na over een mogelijk volgend beveiligingsonderzoek. “Een eenmalige audit is niet genoeg, je moet blijven controleren. Dat kan door probes in het netwerk te plaatsen en de onderzoeken te automatiseren, of door ieder half jaar een beveiligingsonderzoek uit te laten voeren.”