In de panelsessie over ‘digitale dijkverhoging’ bespraken Gerdine Keijzer-Baldé (plaatsvervangend secretaris-generaal en CIO bij EZK), Aart Jochem (CISO-Rijk, directie CIO Rijk BZK) en Sylvia Cammeraat (directeur Bedrijfsvoering en CIO bij AZ) onder leiding van moderator Ineke Spinder (CISO EZK en LNV) hun ervaringen met red teaming; het inhuren van ethical hackers die de informatiesystemen testen van een organisatie.

Het testen van de digitale veiligheid en weerbaarheid kan op verschillende manieren. Aart Jochem licht aan de hand van een keuzekaart verschillende typen securitytesten toe, zoals kwetsbaarhedenscans, penetratietesten, purple-teamingtesten en red-teamingtesten met als advies: “Kies een test (of combinatie van testen) die past bij jouw organisatie en testdoel.”

De zwaarste vorm van securitytesten is de TIBER-methode, wat staat voor Threat Intelligence Based Ethical Red-teaming. Op verzoek van een organisatie voeren ingehuurde hackers aanvallen uit op de informatiesystemen op basis van reële dreigingsbeelden, op zoek naar kwetsbaarheden met als doel om bij de kroonjuwelen van de organisatie te komen. Dit gebeurt met een zeer specifieke opdracht, volgens zeer strenge afspraken en binnen kaders. Het rode team valt aan, het blauwe team (de security organisatie van de geteste entiteit) verdedigt. De aanval vindt onder de radar plaats, dus het blauwe team weet niet dat de aanval plaatsvindt. Na de aanval worden het rode en het blauwe team samengevoegd (purple teaming genaamd) en bespreken ze samen wat er is uitgevoerd, wat succes had en wat niet, en welke kwetsbaarheden zijn gedetecteerd.

Social media

Waargebeurd en een duidelijk voorbeeld van hoe ‘simpel’ het kan zijn: ethische hackers vlooiden in opdracht van EZK de social media door van een geselecteerde groep medewerkers, op zoek naar interessante gegevens. Eén collega had trots iets op LinkedIn gepost over een geslaagde presentatie tijdens een congres. Die persoon kreeg een telefoontje van ‘de organisatie’ (het rode team) met complimenten voor het verhaal. ‘Wil je dit evaluatie­formulier nog even invullen?’ In de uitwisseling van gegevens installeerden de ingehuurde hackers afluisterapparatuur op de laptop van de nietsvermoedende spreker.

De boodschap: alle informatie die we op social media zetten is openbaar en kan tegen ons worden gebruikt. Wees dus alert op wat je deelt. “En vooral niet achteraf degene bekritiseren die wel heeft gereageerd op zo’n fout bericht”, zegt Keijzer-Baldé. “Ik vind het geweldig dat mensen dat open en eerlijk toegeven. Het kan ons immers allemaal overkomen.” Jochem voegt toe dat bij een test met phishingmails 30 procent van alle medewerkers op de link klikte. “Het positieve gevolg van zo’n test is wel dat bij de servicedesk de meldingen van medewerkers over dergelijke mails toenemen.”

Binnen twee weken ‘binnen’

Sylvia Cammeraat introduceerde red teaming bij JenV toen zij daar programmadirecteur cyber security was. JenV was één van de eerste departementen die hiermee aan de slag is gegaan. “Er is een verschil tussen compliant zijn met wet- en regelgeving en daadwerkelijk veilig zijn. Ik wilde onze organisatie naar een hoger volwassenheidsniveau brengen qua digitale veiligheid.”

JenV huurde een erkend bureau in en gaf een ethical hacker inloggegevens alsof hij of zij een medewerker was van het ministerie. “Wij dachten dat er drie maanden nodig zouden zijn om onze kroonjuwelen te bereiken, maar het lukte binnen twee weken”, erkent Cammeraat. “Simpele wachtwoorden, hoge toegangsrechten bij mensen die deze niet mochten hebben, dat soort simpele dingen waren er de oorzaak van. Dit hadden we moeten weten, maar we waren ons er niet van bewust.” Dat is na de test radicaal omgedraaid en de gevonden kwetsbaarheden zijn aangepakt. “Dat is precies waarom we deze test hebben gedaan. Het heeft medewerkers van JenV weerbaarder en alerter gemaakt.”

Groene vinkjes

Ook EZK ging aan de slag met red teaming en dit leidde eveneens tot significante inzichten. Ook hier waren nog steeds simpele wachtwoorden in gebruik zoals Welkom01 en waren de toegangsrechten van mensen niet altijd passend bij hun functie.

De oefening heeft Keijzer-Baldé enigszins ontnuchterd achtergelaten. “Bij EZK zit de veiligheidscultuur minder in onze aard dan bij het veiligheidsdepartement JenV; wij hebben dat echt moeten leren. Jammer dat veiligheid voor veel mensen nog steeds een saai onderwerp is, want het is zo belangrijk. Pas wanneer de dijken breken beseffen we waar ze voor nodig waren. En de dijken moeten verhoogd worden, omdat cyberdreigingen toenemen.” Ze plaatst nog een belangrijke kanttekening: “Red teaming test de feitelijke veiligheid, niet de compliance met veiligheidsprocedures. Groene vinkjes op je ISO-27001 certificaat zijn mooi, maar laat je daardoor niet in slaap sussen.”

Neem bestuurders mee

Een vraag uit het publiek was hoe een CIO of CISO bestuurders kan meenemen in het veiligheidsverhaal. Keijzer-Baldé: “Cyberrisico’s horen bij de risicoanalyses die het bestuur één of twee keer per jaar moet uitvoeren. Neem ze dus daarin op. Zo komt het onderwerp op de bestuurlijke agenda. En blijf optimistisch aandacht vragen. Als je een penetratietest of kwetsbaarheidsscan laat uitvoeren, pak dan ook het podium om de uitkomsten te presenteren. Leg uit wat er is misgegaan en hoe. Dat schudt mensen echt wel wakker.”

Meer informatie over de keuzekaart securitytesten of hoe je als overheidsorganisatie red teaming kunt toepassen is te vinden in de ‘Gereedschapskist red teaming’: www.digitaleoverheid.nl