Why Novamedia is feeling lucky with Zerocopter

Company: Novamedia

Client in lead: Anneke Rijsemus

Role: GISO

Novamedia Zerocopter

In 2017 a hacker discovered a data breach at one of the Novamedia’s suppliers. To make matters worse, he decided to share his discovery on social media because he couldn’t report it any other way. After the leak was closed and the storm subsided, Novamedia called in Zerocopter to help the company get its IT Security on par and prevent the same thing from happening again. We spoke to Anneke Rijsemus, GISO at Novamedia, about her view on IT Security and the cooperation with Zerocopter.

About Novamedia and IT security

Aantal medewerkers

“Zo’n 1.300 mensen. Het exacte aantal weet ik niet precies.”

Samenstelling IT Security teams

Novamedia is bedenker en eigenaar van een aantal internationale loterijformats en heeft vestigingen in Nederland, Engeland, Duitsland, Zweden en Noorwegen. Elk ‘land’ is verantwoordelijk voor zijn eigen IT en security en, op Duitsland na, heeft ieder land zijn eigen ISO en een IT Security Officer. Ik ben in 2018 begonnen bij Novamedia. Eerst als ISO van de Duitse loterij en onze mediatak, en sinds januari 2019 als GISO (Group Information Security Officer).”

Positie IT Security binnen Novamedia

“Security staat bovenaan in onze IT-strategie. Dat is prio #1. Wij zijn namelijk geen Facebook, waar mensen mogen blijven al doen ze de raarste dingen.”S-question pops up: what about security? Now, the security officer and his people have to examine what is put in front of them carefully.

Waarom heeft security voor jullie de hoogste prioriteit?

“Bovenal omdat we heel veel data hebben. We hebben geen bijzondere persoonsgegevens zoals een ziekenhuis, maar we hebben wel de gegevens van alle mensen die meedoen aan de loterijen in de landen waarin we gevestigd zijn. Dus als wij het verknallen, dan verknallen we het voor de deelnemers, de goede doelen die we steunen en dus uiteindelijk voor onszelf.”

“Never waste a good incident”

So after the data breach, you came to realize that security has to be top priority?

“Ik zeg altijd, never waste a good incident. Het is niet leuk, maar daardoor wordt de noodzaak wel duidelijk. Overigens was ik nog niet bij Novamedia werkzaam toen het datalek en de nasleep ervan plaatsvond. Maar toen ik erbij kwam, was security al wel veel belangrijker dan voor het incident. En nu is het top priority. Niet alleen omdat het noodzakelijk is, maar ook - en dat vergeten mensen nog wel eens - omdat security de business heel erg kan helpen. Door dingen op een veilige manier te doen, maak je het leven makkelijker. Zoals we in Duitsland nu bijvoorbeeld doen. Daar hebben we role-based access control goed ingeregeld. Als iemand het bedrijf verlaat, worden onder meer de autorisaties automatisch ingetrokken. Moet je dat allemaal handmatig doen, dan ben je wel even bezig. Dus security is ook om die reden hartstikke belangrijk.”

En waarom hebben jullie de hulp van Zerocopter ingeschakeld?

“Na het datalek heeft mijn voorganger Zerocopter ingeschakeld. Als eerste hebben we onze websites laten scannen op vulnerabilities en daarna heeft Zerocopter voor ons het Responsible Disclosure-proces ingevoerd. Sterker nog: het hele eerste stuk, de triage, wordt sindsdien voor alle landen gedaan door Zerocopter en dat is echt ideaal. Overigens werd er door veel mensen binnen Novamedia, waaronder de directie, veel druk gezet achter de invoering van het Responsible Disclosure-proces. Zij hadden zoiets van ‘zet het maar zo snel mogelijk op de website, dan is het geregeld’. Toen heb ik wel gezegd dat we hebt pas op de website konden zetten als het proces erachter goed is ingeregeld. Want ik vind het erger als het website staat met de tekst ‘We reageren binnen vijf dagen’ en het wordt niet opgepakt, dan dat we het helemaal niet op de website hebben staan. Dat moest nog wel even duidelijk gemaakt worden in alle landen. Maar nu staat het en dus is iedereen blij. Er is nu een proces voor en het wordt netjes via onze servicedesk naar de juiste oplosgroepen doorgestuurd.”

Want to know everything about Zerocopter?

Download our brochure
Want to know everything about Zerocopter?

“Bij Zerocopter heeft iedereen een goede attitude als het aankomt op online security”

Bevalt de samenwerking goed?

“Absoluut. Je kunt Zerocopter altijd bellen, appen of mailen en ze zijn altijd bereid om te helpen. Ze reageren snel en geven goede adviezen en feedback. Kortom, ze zijn superattent en hebben veel aandacht voor je. Heel klantgericht dus. En ze hebben een goede attitude.”

Wat is het volgende dat jullie met Zerocopter gaan doen?

“In Nederland gaan we beginnen met het Bug Bounty Program (BBP). Dat vind ik spannend, want we kennen het nog niet. We doen regelmatig pentests, als er een nieuwe website live gaat of als er grote veranderingen zijn doorgevoerd. Maar een pentest is altijd gelimiteerd qua tijd en scope. Het BBP kun je voor langere tijd aanzetten en je kunt verschillende mensen laten kijken. We weten nog niet precies hoe het gaat uitpakken. In Nederland starten we met een pilot waarbij we eerst een pentest laten doen en daarna het BBP draaien, zodat we een vergelijking kunnen maken. Als dat goed bevalt, dan kunnen we verder gaan met het programma en het ook in de andere landen laten implementeren.”

That’s it, thanks Anneke!

“Graag gedaan.”

De security must-do’s volgens GISO Anneke Rijsemus

Security Awareness en Vulnerability Management
Omdat ...

Rollen en verantwoordelijkheden
“Als die niet duidelijk zijn, then you’re screwed…”

Tooling 1: Zorg ervoor dat je de processen erachter goed inricht
“Dit is iets wat veel mensen vergeten. Die kopen een tool en denken dat het probleem daarmee is opgelost.”

Tooling 2: Laat de techneuten de tooling kiezen
“Vanuit mijn rol gezien maakt het namelijk niet uit welke tools ze gebruiken. Wat mij betreft is het aan een CISO/GISO om uit te leggen waarom we dingen doen en wat er moet gebeuren, maar niet hoe. Dat kunnen de techneuten veel beter zelf bepalen.”

Zerocopter Read the Survival Guide

Download our brochure

Get to know everything about Zerocopter