Tekst BKB
Foto BKB

De cybersecurity-sector heeft de afgelopen jaren een enorme vlucht genomen. Het aantal mensen werkzaam in de sector stijgt en bedrijven die cybersecurity-diensten aanbieden schieten als paddenstoelen uit de grond. Die enorme groei brengt ook uitdagingen met zich mee. Hoe zorg je bijvoorbeeld dat alle aanbieders in de sector aan dezelfde standaarden voldoen? Een ethische code waar de sector zich aan committeert kan helpen om die kwaliteit te waarborgen, zegt Jeroen van der Ham.

Jeroen van der Ham: senior onderzoeker bij het NCSC en associate professor bij de Universiteit Twente.

Wat is er aan de hand volgens jou met de sector?

“Digitalisering heeft een groot effect op hoe de samenleving en bedrijven zijn ingericht. Het raakt aan alle processen binnen een organisatie. Dat maakt dat je cybersecurity en dreiging moet meenemen in alle overwegingen over hoe je de organisatie inricht. Een voorbeeld is de dreiging van ransomware, die nu een hot topic is. Op het moment dat je organisatie wordt geraakt door een ransomware-aanval, valt alles stil. Het overkwam de Universiteit Maastricht en de gemeente Hof van Twente. Organisaties die hierdoor geraakt worden of dichtbij geraakte organisaties staan, realiseren zich dan pas hoe ver de digitalisering is doorgedrongen in hun organisatie. Je kunt er dus niet omheen en daardoor is de vraag naar cybersecurity specialisten enorm toegenomen.”

Waarom is het tijd voor een volgende stap?

“Een van de belangrijkste uitgangspunten binnen de incident response-community is dat we samenwerken om de veiligheid op het internet te verbeteren. Iedereen doet dit voor zijn of haar eigen organisatie, maar heeft wel oog voor het grotere geheel. Daarom delen we informatie met elkaar. Dat gaat soms om gevoelige informatie en daar moet je op een goede manier mee omgaan. Vroeger was de incident response-community klein, iedereen kende elkaar wel. De lijntjes waren kort en je wist elkaar snel te vinden. Er was sprake van impliciete gedragsregels. En als iemand zich niet op de juiste manier gedroeg, dan sprak je elkaar daarop aan. Maar dit vakgebied is zo hard gegroeid dat dat niet meer werkt. Het wereldje is niet zo klein meer.”

“Daarom hebben we gewerkt aan een ethische code, waarin we die impliciete gedragsregels expliciet hebben gemaakt. Dit moet een basis geven voor vertrouwen. Zodat we met elkaar informatie over incidenten kunnen blijven delen, ook als dat om vertrouwelijke informatie gaat.”

Hoe helpt die ethische code organisaties die geen of weinig kennis hebben van cybersecurity?

“De ethische code is een onderdeel van een langetermijnvisie. We moeten professionaliseren als sector en toe naar een situatie waar cybersecurity echt een vak is met professionals waar je op kunt rekenen. Als een bedrijf nu een professional inhuurt om de cybersecurity op orde te brengen, kan het niet goed nagaan of die professional de kwaliteit biedt die hij of zij zou moeten bieden. Ter vergelijking, we krijgen allemaal een uitnodiging voor een vaccinatie tegen het coronavirus. Je gaat naar een vaccinatielocatie toe, daar zit iemand die je niet kent en die spuit iets in je arm. Jij moet er maar op vertrouwen dat dit goed is en dat kun je gelukkig ook: er zijn waarborgen in het systeem, zoals het kwaliteitskeurmerk van het geneesmiddel en de accreditatie van de verpleger. We moeten toe naar een systeem met vergelijkbare waarborgen voor cybersecurity professionals, waarin je als professional een certificaat haalt of opleiding afrondt en je aan bepaalde regels houdt. Als je dat niet doet, kun je er uitgezet worden, zoals bij de Orde van Advocaten bijvoorbeeld. Ook voor producten heb je waarborgen of een keurmerk nodig.”

Er moet dus meer ingezet worden op het onderwijs?

“Ja, dat is nodig, maar ook te makkelijk gezegd. Want de nood is hoog, we kunnen niet vier jaar wachten tot er weer nieuwe mensen zijn opgeleid. Daarnaast hebben we niet alleen behoefte aan technische cybersecurity opleidingen, maar moeten we veel breder kijken. Cybersecurity zit verweven in de hele organisatie, of zou dat moeten zijn, en raakt ook aan risicomanagement, asset management, crisismanagement, beleidsvorming, aankoopbeleid en allerlei andere vakgebieden. Daar moet je ook het gesprek mee aangaan.”

“Een oplossing voor een cybersecurity probleem is ook niet altijd technisch. Kijk naar tien jaar geleden, toen fraude bij internetbankieren een ding was. Er werd toen ingebroken op je computer en je internetbankieren-omgeving werd omgeleid naar een nagemaakte omgeving. Daardoor maakte je geld over aan een crimineel, in plaats van naar wie de bedoeling was. Om dat geld uiteindelijk te krijgen maakten de criminelen gebruik van de bankrekening van jongeren. Ze boden jongeren geld aan om hun bankrekening en pinpas te gebruiken om het geld naartoe over te maken. De oplossing was uiteindelijk niet technisch van aard. Een campagne waarin jongeren op de gevolgen werden gewezen van je pinpas uitlenen aan criminelen was toen de uitkomst. Nu wil ik niet zeggen dat bijvoorbeeld een probleem als ransomware ook zo’n oplossing kent. Maar het geeft wel aan dat we niet altijd technisch moeten denken. We moeten de hele criminaliteitsketen begrijpen en bestuderen om effectief in te grijpen. Dat is nodig om nog beter te worden in de preventie en bestrijding van cybercriminaliteit.

Kimberly Hengst: adviseur cybersecurity bij het NCSC.

Organisaties maken tegenwoordig gebruik van vele verschillende diensten en producten. Dit brengt allerlei uitdagingen met zich mee, waar organisaties zich vaak niet van bewust zijn. Het is makkelijk en vaak goedkoop om een dienst in te kopen, maar op het gebied van veiligheid leg je je lot wel in de handen van een externe partij. Een incident bij de aanbieder, betekent ook een risico voor jou. Gedegen risicoanalyse is daarom nodig, zegt Kimberly Hengst.

Je zegt dat het een risico is als je als organisatie gebruik maakt van producten en diensten van externe partijen. Waarom?

“Het helpt om eerst stil te staan bij: wat is een supply chain? In klassieke zin gaat het bijvoorbeeld om een bakker. Die maakt brood en heeft een leverancier voor meel nodig. De supply chain bestaat dan uit meel, daar zat vroeger weinig IT in. Maar tegenwoordig zijn die ketens zo complex geworden, ook voor een bakker. Die bestelt zijn meel inmiddels waarschijnlijk online via een systeem. De bakker is daarmee afhankelijk geworden van dat systeem, maar ook zijn klanten. Klanten die thuis brood op de plank willen zijn afhankelijk geworden van digitale informatiestromen tussen de bakker en zijn leveranciers. Een actueel voorbeeld is de zogenaamde Kaas-hack. Logistiek bedrijf Bakker werd getroffen door een ransomware aanval, waardoor het bedrijf geen orders meer kon aannemen en niet meer kon zien welke producten waar in het magazijn stonden. Ook konden transporten niet meer gepland worden, waardoor de supermarkten zonder kaas zaten.”

‘Ze moeten naar het hele plaatje kijken, niet alleen naar IT-producten en leveranciers’

TNO onderzoek risico’s en vraagstukken bij ICT-supply chains

Naar schatting vindt zo’n 80% van de cyberaanvallen wereldwijd plaats via supply chains. In opdracht van het NCSC onderzocht TNO daarom wat de risico’s en vraagstukken zijn op dit gebied. Hieruit blijkt dat Nederlandse organisaties heel verschillend kijken naar de risico’s. Hun beeld van ICT-supply chains is uiteenlopend vanwege de grote complexiteit van digitale ketens. Benieuwd naar het rapport? Lees meer op onze website.

“Je bent als bedrijf afhankelijk van bijvoorbeeld de makers van dat inkoopsysteem. Als er een incident plaatsvindt bij de makers, dan moet je er op kunnen rekenen dat zij het fixen. Of stel dat er door een derde partij onderhoud moet worden uitgevoerd op jouw systemen. Dan laat je een buitenstaander binnen in jouw systeem. Kun je erop vertrouwen dat dit geen onverwachte risico's met zich meebrengt? En wat zijn dan de eventuele risico’s? Dat soort vragen moeten bedrijven zichzelf stellen. Risico’s zijn onvermijdelijk, maar je moet ze vanuit meerdere perspectieven in kaart brengen en afwegen voordat je ze al dan niet neemt.”

“Om nog een voorbeeld te geven. Onlangs werd er ingebroken bij SolarWinds, een Amerikaans bedrijf dat software maakt waar vele overheden gebruik van maken. Kwaadwillenden hadden een Trojan ingebouwd in de software updates. Je moet je dus voorstellen dat klanten van SolarWinds een update toegestuurd kregen, die ervoor zou moeten zorgen dat kwetsbaarheden en problemen verholpen worden. Als ze die update installeerden, haalden ze malware binnen. Dat is een typisch voorbeeld van een supply chain issue. En in 2019 hadden we bijvoorbeeld ook de kwetsbaarheid in Citrix. Hierdoor ontstonden zelfs files op de weg, omdat mensen niet meer thuis konden werken.”

Hoe zorg je dat je als organisatie verantwoord gebruik maakt van externe producten en diensten?

“Bedrijven moeten weten welke afhankelijkheden ze hebben. Ze moeten het hele systeem in kaart brengen en daarna risicoafwegingen maken. Wat zijn bijvoorbeeld de kritieke assets van het bedrijf: welke diensten zijn écht essentieel voor de bedrijfsvoering? Wil het bedrijf gebruik maken van bijvoorbeeld clouddiensten, dan is het goed om de afweging te maken welke data ze wel en niet in de cloud zet. Als het bedrijf hele gevoelige data bezit, dan beheren ze dat misschien liever zelf.”

“Daarnaast moeten bedrijven een plan B klaar hebben liggen. Hoe reageren ze op een incident? Zijn er mogelijkheden om hun hele systeem bijvoorbeeld offline te halen, of kunnen ze overgaan op een andere dienst? Dit begint bij het maken van een risicoanalyse. Daarin wordt beschreven welke risico’s acceptabel zijn en welke maatregelen daarbij horen. Kijk bij een risicoanalyse niet alleen vanuit de eigen producten en diensten, maar breng ook afhankelijkheden in kaart: welke rol speelt het bedrijf in een keten, hoe gaan anderen met jouw producten en diensten om en welke data is cruciaal voor het bedrijf? Welke eisen stelt het bedrijf aan de security van een leverancier? Organisaties moeten inzien dat er meerdere perspectieven zijn. Ze moeten naar het hele plaatje kijken, niet alleen naar IT-producten en leveranciers.”

Leon van der Eijk: senior duiding specialist bij het Fusion Center van het NCSC.

Hackers worden vaak gezien als kwaadwillenden. Maar hackers hebben niet altijd slechte bedoelingen. Deze ethische hackers kun je inzetten om je eigen beveiliging te verbeteren. ‘Zet hackers niet altijd gelijk weg als crimineel,’ bepleit Leon van der Eijk.

Vind je het terecht dat hackers vaak worden gezien als kwaadwillenden?

“De term hacking heeft over tijd een criminele lading gekregen. De term is ontstaan in de jaren ’60 binnen een hobbyclub van de MIT die zich bezighield met modeltreinen. Het manipuleren van de werking van die treinen noemden ze hacken. De betekenis is door de jaren heen veranderd. De term bestaat dus al lang, maar de meeste mensen weten nog steeds niet wat hacking inhoudt. Hackers zijn in de basis nieuwsgierige mensen die de grens opzoeken. Dat moeten we niet gelijk criminaliseren.”

Hoe gaan jullie daar dan mee om?

“Wij coördineren het Coordinated Vulnerability Disclosure-programma voor de Rijksoverheid. Dat maakt het mogelijk voor een hacker of onderzoeker om anoniem een melding te doen van een kwetsbaarheid. Het NCSC verifieert vervolgens de melding. Is er inderdaad sprake van een kwetsbaarheid, dan melden wij dat weer aan de organisatie. Zodra het gefixt is, treden wij in contact met de melder. We bieden dan een T-shirt aan met de tekst: ‘I hacked the Dutch government and all I got was this lousy T-shirt.’ Zo bedanken we ze voor hun hulp. We houden de waarde van zo’n T-shirt wel hoog. De melding moet echt goed zijn, voordat je er een krijgt.”

“Deze mensen helpen zo onze Rijksoverheid en vitale organisaties om beter beveiligd te zijn. En dat voor de prijs van een T-shirt. Maar binnen de hackersgemeenschap is het meer dan een simpel T-shirt: het is echt een statussymbool en een toevoeging aan hun cv. Ze dragen die T-shirts naar hacker conferenties en krijgen daar reacties op. Doordat we de community serieus nemen, nemen ze ons ook serieus en kunnen we iets voor elkaar betekenen.”

“De Rijksoverheid kan dit soort hackers natuurlijk niet betalen, dus moet er een andere manier gevonden worden om ze te bedanken. Er was ooit een jongen die wel meer dan 20 T-shirts van ons heeft gekregen. Dat was wel heel bijzonder. Die jongen heeft een speciale challenge coin gekregen. Je geeft ze zo toch een bepaalde mate van erkenning. In plaats van ze te straffen, ga het gesprek aan en realiseer dat ze de vinger op de zere plek kunnen leggen.”

Heb je nog tips voor andere sectoren en landen om hiermee aan de slag te gaan?

“Organisaties voelen zich al snel aangevallen als ze gehackt worden, ook al gaat het om een ethische hacker met de beste bedoelingen. Ze zien het als crimineel en negatief. Maar feitelijk word je – in het geval van een ethische hacker - gewoon geholpen. Mijn ervaring is dat door het vertrouwen te geven, ook hackers de grenzen van de wet niet overschrijden. Ze doen melding met gepaste terughoudendheid, ze willen zelf de wet namelijk ook niet overtreden. Het zijn echt volwassen meldingen die goed gedocumenteerd en goed onderbouwd zijn. Mijn advies is daarom: ga met hackers met goede bedoelingen in gesprek, want het kan een win-win situatie opleveren. Als het aan mij ligt gaan we in de toekomst meer onderzoeken hoe we samen kunnen werken aan een betere digitale veiligheid van Nederland.”