Verbeeldingsdebat
Gebruik red teaming om de digitale dijken te verhogen
Door Karina Meerman
Beeld Jiri Büller/De Beeldredaktie
In de afgelopen jaren is rijksbreed ingezet op het testen van de ‘digitale dijken’ van rijkorganisaties. Dat kan op verschillende manieren en met diverse tactieken en technieken. Op het iBestuur Congres riepen enkele bestuurders vanuit de Rijksoverheid op tot het inzetten van red teaming. Deze test maakt duidelijk waar de kwetsbaarheden zitten en waar verhogingen moeten worden aangebracht.
In de panelsessie over ‘digitale dijkverhoging’ bespraken Gerdine Keijzer-Baldé (plaatsvervangend secretaris-generaal en CIO bij EZK), Aart Jochem (CISO-Rijk, directie CIO Rijk BZK) en Sylvia Cammeraat (directeur Bedrijfsvoering en CIO bij AZ) onder leiding van moderator Ineke Spinder (CISO EZK en LNV) hun ervaringen met red teaming; het inhuren van ethical hackers die de informatiesystemen testen van een organisatie.
Het testen van de digitale veiligheid en weerbaarheid kan op verschillende manieren. Aart Jochem licht aan de hand van een keuzekaart verschillende typen securitytesten toe, zoals kwetsbaarhedenscans, penetratietesten, purple-teamingtesten en red-teamingtesten met als advies: “Kies een test (of combinatie van testen) die past bij jouw organisatie en testdoel.”
De zwaarste vorm van securitytesten is de TIBER-methode, wat staat voor Threat Intelligence Based Ethical Red-teaming. Op verzoek van een organisatie voeren ingehuurde hackers aanvallen uit op de informatiesystemen op basis van reële dreigingsbeelden, op zoek naar kwetsbaarheden met als doel om bij de kroonjuwelen van de organisatie te komen. Dit gebeurt met een zeer specifieke opdracht, volgens zeer strenge afspraken en binnen kaders. Het rode team valt aan, het blauwe team (de security organisatie van de geteste entiteit) verdedigt. De aanval vindt onder de radar plaats, dus het blauwe team weet niet dat de aanval plaatsvindt. Na de aanval worden het rode en het blauwe team samengevoegd (purple teaming genaamd) en bespreken ze samen wat er is uitgevoerd, wat succes had en wat niet, en welke kwetsbaarheden zijn gedetecteerd.
Social media
Waargebeurd en een duidelijk voorbeeld van hoe ‘simpel’ het kan zijn: ethische hackers vlooiden in opdracht van EZK de social media door van een geselecteerde groep medewerkers, op zoek naar interessante gegevens. Eén collega had trots iets op LinkedIn gepost over een geslaagde presentatie tijdens een congres. Die persoon kreeg een telefoontje van ‘de organisatie’ (het rode team) met complimenten voor het verhaal. ‘Wil je dit evaluatieformulier nog even invullen?’ In de uitwisseling van gegevens installeerden de ingehuurde hackers afluisterapparatuur op de laptop van de nietsvermoedende spreker.
De boodschap: alle informatie die we op social media zetten is openbaar en kan tegen ons worden gebruikt. Wees dus alert op wat je deelt. “En vooral niet achteraf degene bekritiseren die wel heeft gereageerd op zo’n fout bericht”, zegt Keijzer-Baldé. “Ik vind het geweldig dat mensen dat open en eerlijk toegeven. Het kan ons immers allemaal overkomen.” Jochem voegt toe dat bij een test met phishingmails 30 procent van alle medewerkers op de link klikte. “Het positieve gevolg van zo’n test is wel dat bij de servicedesk de meldingen van medewerkers over dergelijke mails toenemen.”
Gerdine Keijzer-Baldé, Aart Jochem en Sylvia Cammeraat spraken over hun ervaringen met red teaming. Uiterst links gespreksleider Ineke Spinder.
“Alle informatie die we op social media zetten is openbaar en kan tegen ons worden gebruikt”
Binnen twee weken ‘binnen’
Sylvia Cammeraat introduceerde red teaming bij JenV toen zij daar programmadirecteur cyber security was. JenV was één van de eerste departementen die hiermee aan de slag is gegaan. “Er is een verschil tussen compliant zijn met wet- en regelgeving en daadwerkelijk veilig zijn. Ik wilde onze organisatie naar een hoger volwassenheidsniveau brengen qua digitale veiligheid.”
JenV huurde een erkend bureau in en gaf een ethical hacker inloggegevens alsof hij of zij een medewerker was van het ministerie. “Wij dachten dat er drie maanden nodig zouden zijn om onze kroonjuwelen te bereiken, maar het lukte binnen twee weken”, erkent Cammeraat. “Simpele wachtwoorden, hoge toegangsrechten bij mensen die deze niet mochten hebben, dat soort simpele dingen waren er de oorzaak van. Dit hadden we moeten weten, maar we waren ons er niet van bewust.” Dat is na de test radicaal omgedraaid en de gevonden kwetsbaarheden zijn aangepakt. “Dat is precies waarom we deze test hebben gedaan. Het heeft medewerkers van JenV weerbaarder en alerter gemaakt.”
Groene vinkjes
Ook EZK ging aan de slag met red teaming en dit leidde eveneens tot significante inzichten. Ook hier waren nog steeds simpele wachtwoorden in gebruik zoals Welkom01 en waren de toegangsrechten van mensen niet altijd passend bij hun functie.
De oefening heeft Keijzer-Baldé enigszins ontnuchterd achtergelaten. “Bij EZK zit de veiligheidscultuur minder in onze aard dan bij het veiligheidsdepartement JenV; wij hebben dat echt moeten leren. Jammer dat veiligheid voor veel mensen nog steeds een saai onderwerp is, want het is zo belangrijk. Pas wanneer de dijken breken beseffen we waar ze voor nodig waren. En de dijken moeten verhoogd worden, omdat cyberdreigingen toenemen.” Ze plaatst nog een belangrijke kanttekening: “Red teaming test de feitelijke veiligheid, niet de compliance met veiligheidsprocedures. Groene vinkjes op je ISO-27001 certificaat zijn mooi, maar laat je daardoor niet in slaap sussen.”
Neem bestuurders mee
Een vraag uit het publiek was hoe een CIO of CISO bestuurders kan meenemen in het veiligheidsverhaal. Keijzer-Baldé: “Cyberrisico’s horen bij de risicoanalyses die het bestuur één of twee keer per jaar moet uitvoeren. Neem ze dus daarin op. Zo komt het onderwerp op de bestuurlijke agenda. En blijf optimistisch aandacht vragen. Als je een penetratietest of kwetsbaarheidsscan laat uitvoeren, pak dan ook het podium om de uitkomsten te presenteren. Leg uit wat er is misgegaan en hoe. Dat schudt mensen echt wel wakker.”
Meer informatie over de keuzekaart securitytesten of hoe je als overheidsorganisatie red teaming kunt toepassen is te vinden in de ‘Gereedschapskist red teaming’: www.digitaleoverheid.nl
Sylvia Cammeraat: “Wij dachten dat er drie maanden nodig zouden zijn om onze kroonjuwelen te bereiken, maar het lukte binnen twee weken”
Gerdine Keijzer-Baldé: “Pas wanneer de dijken breken beseffen we waar ze voor nodig waren.”
Hackmethoden
De hackers van het Red Team bij EZK maakten onder andere gebruik van spearphishing, wachtwoordspray en keylogger om hun doelwitten te raken.
Spearphishing
Hackers zoeken op social media en internet zoveel mogelijk informatie over personen die voor hen interessant zijn. Op basis daarvan versturen ze persoonlijke (phishing) mails. Bij zo’n mail zit een schadelijke bijlage of link waardoor malware op je computer wordt geïnstalleerd. Hierdoor kunnen hackers toegang krijgen tot je digitale werkplek.
Wachtwoordspray
Hackers proberen met populaire en dus zwakke wachtwoorden (Zomer2022, Welkom01!, Denhaag23! enz.) door te dringen in zoveel mogelijk accounts van medewerkers. In een aantal gevallen lukte dat en kreeg het Red Team toegang tot mailboxen, netwerkschijven en andere systemen met gevoelige informatie.
Keylogger
Een hacker/spion doet zich voor als (in dit geval) sollicitant. In een onbewaakt ogenblik plaatst hij een Keylogger tussen het toetsenbord en de computer van het doelwit. Dit apparaatje vangt alle toetsaanslagen op. De hacker krijgt daarmee toegang tot onder meer gebruikersnaam, het wachtwoord en andere belangrijke gegevens.
Sprekers hacken
Het verzamelen van informatie uit openbare bronnen (OSINT) is een vorm van hacken. In opdracht van EZK-LNV en onder leiding van de cybersecurity specialisten van Secura gingen studenten cybersecurity van de hogescholen Amstel en Saxion hiermee aan de slag. Tijdens het congres probeerden zij online zo veel mogelijk privé-informatie te vinden van sprekers. Dit gebeurde met hun medeweten. Mensen met een politieke achtergrond waren uitgezonderd van de zoektocht.
Acht jonge mensen doorzochten Google resultaten, lazen social media accounts, traceerden online hardloop- vakantie- en bierlogwebsites en observeerden hun ‘slachtoffers’ live op locatie. Zij ontdekten huisadressen (soms met namen van gezinsleden) en e-mailadressen. Zij vonden genoeg informatie op de websites van sprekers dat zij zich online of aan de telefoon konden voordoen als die spreker (spoofen).
Zoek jezelf eens op, online. Wees je bewust dat informatie kan worden gebruikt om ergens binnen te komen of om als pressiemiddel om gevoelige gegevens te overhandigen.
Voorbeschouwing iBestuur Congres