Behandel informatie als een waardevolle asset

De wereld anno 2024 is afhankelijk van systemen, data en netwerken. Een organisatie en ook de maatschappij liggen op hun gat als een essentieel IT-systeem niet beschikbaar is. In gesprek met Koen Sandbrink-Schuur, cybersecurityadviseur bij het Nationaal Cyber Security Centrum (NCSC), over het belang van digitale weerbaarheid.

Wat doet het NCSC?

“Het NCSC helpt om de cybersecurity van organisaties in de vitale infrastructuur te versterken. Het NCSC is onderdeel van het ministerie van Justitie en Veiligheid en is actief op drie terreinen, namelijk incident response, preventief advies en relatiemanagement. We geven preventief advies op basis van maatwerk, maar stellen ook generieke factsheets op en agenderen zaken als we dat nodig vinden. Als ik wat nader inzoom op incident response dan houden we internet in de gaten, we bekijken openbare bronnen, lezen wat experts schrijven en we analyseren de informatie van softwaremakers als bijvoorbeeld Microsoft over kwetsbaarheden in hun software. Dit zetten we dan vervolgens om in beveiligingsadviezen op het laagste operationeel-technische niveau. Verder hebben we een helpdesk om organisaties die met een incident kampen per mail en per telefoon te helpen.”

Welke organisaties vallen onder die vitale infrastructuur?

“Op dit moment zijn ongeveer driehonderd organisaties actief in de vitale infrastructuur, waaronder ook rijksoverheden. De vitale organisaties bevinden zich in tien verschillende sectoren, onder meer de energievoorziening, drinkwatervoorziening, telecom, waterkeringen, spoorwegen, de haven van Rotterdam, en luchthaven Schiphol. De minister bepaalt vervolgens welke organisaties als vitaal worden aangemerkt.”

“Organisaties mogen onze hulp weigeren en ook de uitkomsten van ons onderzoek mogen ze terzijde schuiven”

Zijn jullie adviezen vrijblijvend?

“Deelnemers aan de vitale infrastructuur vallen onder de Wet beveiliging netwerk en informatiesystemen. Onder deze wet dienen incidenten boven een bepaalde drempelwaarde (bijvoorbeeld in geld of aantal mensen) te worden gemeld. Maar vrijwillig een melding maken van incidenten mag altijd. Als er incidenten zijn dan bieden we hulp aan. We kunnen forensisch onderzoek doen. Organisaties mogen onze hulp weigeren en ook de uitkomsten van ons onderzoek mogen ze terzijde schuiven. We zijn geen autoriteit die moet ingrijpen bij risico’s. We leggen ook geen boetes op. Je kunt ons vergelijken met de brandweer die hulp biedt bij incidenten.”

Hoe digitaal weerbaar is de Nederlandse samenleving?

“Deze vraag is moeilijk om goed te beantwoorden, omdat weerbaarheid lastig meetbaar is. Evengoed rapporteren wij jaarlijks aan de minister hierover. Organisaties met een eigen securityafdeling hebben vaak dashboards, waardoor zij inzicht hebben in hun informatiesystemen en informatiestromen. Zij kunnen monitoren of er incidenten, aanvallen of verstoringen zijn. Een organisatie kan op basis hiervan haar eigen weerbaarheid in kaart brengen. De weerbaarheid bij organisaties met een IT-beheer op een hoog volwassenheidsniveau ziet er dan vaak heel ‘oké’ uit. Maar de ideale wereld waarin organisaties de informatievoorziening centraal organiseren, is vaak niet de praktijk.”

Want?

“Vaak is de informatievoorziening versnipperd, omdat er wel ergens een programma loopt, of omdat een directie haar informatievoorziening in eigen beheer houdt. Of omdat vanuit een behoefte om aan te sluiten bij een afwijkende praktijk eigen software wordt opgezet, of er is een hobbyist die zelf iets bouwt. Deze praktijk noemen we de ‘schaduw-IT’. Dit betekent dat de organisatie geen centraal zicht heeft op alle IT, waardoor er ook geen waterdichte grip is op de IT-risico’s. Het is dan onbekend of de geldende IT-processen zijn doorlopen en de laatste updates tijdig zijn uitgevoerd. Hierdoor hebben organisaties met kwetsbaarheden te maken die onbekend zijn.”

Is schaduw-IT het grootste probleem?

“Er zijn er meer. Naast schaduw-IT zijn ook leveranciers en uitbestedingspartners een risico, zeker als het om kleinere organisaties in het mkb gaat. Deze toeleveranciers hebben het IT-beheer vaak op een laag volwassenheidsniveau. Via een toeleverancier die toegang heeft tot de IT van organisaties in de vitale infrastructuur worden zo risico’s geïntroduceerd. En een derde belangrijk risico is dat security mensenwerk is. Iedere medewerker die werkt met IT systemen kan fouten maken waardoor problemen ontstaan voor organisaties.”

Welke vormen van cyberaanvallen zijn er zoal?

“Er zijn vele manieren om cyberaanvallen te categoriseren. Wij kijken vaak naar de motivatie die achter de cyberaanvallen zitten. Deze motivatie bepaalt ook het type dader. Deze daders zijn in te delen in cybercriminelen, statelijke actoren, activisten en interne incidenten.”

Hoe zien de aanvallen van cybercriminelen eruit?

“Cybercriminelen zijn in aantal de grootste groep. De motivatie is geld verdienen en dat doen ze door afpersing. De belangrijkste methode is het plaatsen van ransomware. Door ransomware worden data versleuteld zodat organisaties daar niet meer bij kunnen. Pas na een afkoopsom worden data vrijgegeven. Vooral voor mkb-organisaties is dit de grootste dreiging op dit moment. Ook grotere organisaties hebben hier last van, alleen hebben zij vaak betere back-up- en responseprocedures, waardoor zij hier beter mee kunnen omgaan. Een andere vorm van afpersing is het stelen van persoonsgegevens, die vervolgens delen met de eigenaar, met de dreiging alles online te zetten mits betaald wordt. De afkoopsommen worden door de criminelen gebaseerd op jaarrekeningen dus ze weten exact wat ze kunnen vragen.”

En de statelijke actoren?

“De statelijke actoren zijn buitenlandse overheden dan wel organisaties gesponsord vanuit een overheid die data willen verkrijgen van Nederlandse organisaties. Ze zetten vaak geavanceerde technieken in om te kunnen spioneren. Vanuit China gaat het meestal om het stelen van intellectueel eigendom om zo in eigen land een betere concurrentiepositie te krijgen. Een ander voorbeeld is de spionage vanuit Rusland. Rusland doet dit met als doel politieke en militaire informatie te krijgen. Zo willen ze weten hoe Nederland functioneert en informatie ophalen over Oekraïne. De Russen willen vooral voet aan de grond krijgen om dit op een later tijdstip te kunnen toepassen, mocht er een conflict ontstaan tussen Rusland en de NAVO. Zo pogen ze bij energiebedrijven binnen te dringen in hun netwerk om zo een ‘knop’ in te bouwen om het energienetwerk op een later moment plat te kunnen leggen. Dit deden ze in Oekraïne al voordat de oorlog daar begon, daaruit kun je opmaken dat ze dit vooral doen als voorbereiding en nu proberen zij dit ook in het Westen.

“We zien dat 90% van de cyberaanvallen begint met een e-mail met een link of een bijlage met een virus erin”

En de aanvallen door activisten?

“Activisten willen organisaties niet expliciet duperen, maar een boodschap aan de wereld achterlaten. Dat doen ze vaak door zogeheten DDoS-aanvallen. Hiermee wordt bijvoorbeeld de website een tijd vastgezet of wordt een bepaalde activistische boodschap geplaatst op de website. Dit wordt ook wel ‘defacement’ genoemd. Ten slotte zijn er de interne incidenten. Dit betreft medewerkers en gebruikers van het netwerk die per ongeluk dan wel opzettelijk een incident veroorzaken waardoor de integriteit of vertrouwelijkheid van data in het geding komen. Met opzet wordt met name gedoeld op sabotage, bijvoorbeeld omdat er een arbeidsconflict is.”

Hoe kun je je wapenen tegen cyberaanvallen?

“Criminele en statelijke daders hebben veel geld en mogelijkheden. Om als organisatie goed weerbaar te zijn tegen cyberaanvallen, moet de algehele weerbaarheid goed op orde zijn: alle poorten dicht, patches tijdig gedraaid en gebruikers bewust. We zien dat 90% van de cyberaanvallen begint met een e-mail met een link of een bijlage met een virus erin. Zo’n mail wordt naar legio medewerkers gestuurd. Er hoeft er maar een te zijn die ‘op de automatische piloot’ erop klikt. Natuurlijk moeten er bewustwordingstrainingen worden gegeven, maar medewerkers blijven de zwakste schakel binnen de organisatie. Het allerbelangrijkste is daarom een goede spamfilter, niet alleen tegen reclame maar vooral tegen oplichting, vervalsing en phishing. Daarnaast moeten ook de gebruikers goed worden geïnstrueerd. Verder is het belangrijk dat er plannen en procedures zijn uitgedacht als zich een incident voordoet. Hoe zorg je ervoor dat niet meteen alle informatie openstaat, hoe moet je als organisatie reageren, hoe krijg je de data terug?”

Welke trends zien jullie in cyberaanvallen?

“De oorlog in Oekraïne is een belangrijke trend. Heel veel cybercriminelen werken vanuit Rusland. Ze hebben vanuit Rusland vrij spel omdat de Russische politie niets doet tegen cybercriminelen zolang Russische doelen geen slachtoffer zijn. Er zijn zelfs scripts in virussen dat het virus zichzelf uitschakelt zodra het een Russisch ‘cyrillisch’ toetsenbord identificeert, zodat alleen niet-Russische computers worden aangevallen. Ook zien we meer aanvallen van activisten, zoals in 2023 bij het UMC in Groningen, uitgevoerd door een pro-Russische hackersgroep. Ook in dit soort gevallen zijn het vaak Russische activisten die een boodschap willen delen.”

Wat zijn de belangrijkste tips voor organisaties?

“Het is van belang dat organisaties zich realiseren dat informatie een belangrijke asset is, je kunt je geen laksheid veroorloven. Veel grote organisaties leggen de verantwoordelijkheid voor de beveiliging van informatie neer bij de security officer, maar die is geen eigenaar van de informatie. De eigenaar van informatie heeft zelf echt een belang dat de noodzaak van informatiebeveiliging binnen een organisatie erkend wordt. Voor informatie en richtlijnen kan hij zich uiteraard altijd wenden tot de security officer. Met de security officer van vitale organisaties heeft het NCSC veelal contact.”

Hoe verhoog je het bewustzijn van medewerkers?

“Bewustwording creëer je met voorlichting en met positieve enforcement. Slecht gedrag moet niet direct afgestraft worden, al geldt dit tot op zekere hoogte. Een voorbeeld: als een politieagent voor het eerst een vuurwapen in zijn bezit krijgt, dan wordt hem duidelijk uitgelegd wat de gevaren en consequenties kunnen zijn als hij hiermee niet goed omgaat. Een vuurwapen is een levensgevaarlijk instrument. Dit geldt ook voor medewerkers die toegang hebben tot kritische data, bijvoorbeeld in het primaire proces van energienetbeheerders. Dit zijn ook ‘levensgevaarlijke instrumenten’ en dus moeten deze medewerkers weten wat de consequenties zijn van verkeerd handelen. Tegelijkertijd kun je als organisatie niet zo streng zijn voor iedereen binnen de organisatie. Medewerkers van organisaties hebben een constructieve boodschap nodig en moeten ondersteund worden om min of meer automatisch het goede te doen. Een belangrijke boodschap voor de medewerker is: niet meteen reageren wanneer hij het gevoel heeft dat hij onder druk wordt gezet, maar even nagaan: is dit logisch?”

“De checklists om te voldoen aan een proces kunnen door de auditor worden beoordeeld, maar inhoudelijk iets vinden van een systeem is lastig als je geen securitykennis hebt”

Wat kan de rol van de auditor zijn?

De auditor toetst aan een normenkader, deze kunnen cybersecuritynormen bevatten, zoals de ISO 270001. Maar deze norm is zo alomvattend dat het voor grotere organisaties een flink karwei is om gecertificeerd te worden voor deze norm. Andere normenkaders kunnen ook cybersecuritynormen bevatten en kunnen dus nuttig zijn. De checklists om te voldoen aan een proces kunnen door de auditor worden beoordeeld, maar inhoudelijk iets vinden van een systeem is lastig als je geen securitykennis hebt. Om echt te toetsen of een norm ook werkt is technische kennis nodig. Wat eigenlijk altijd moet is dat securitytester de systemen testen. Dat zijn penetratietesten, configuratietesten of codereviews. Hierbij wordt gekeken of een systeem gehackt kan worden. Deze securitytesters hebben technische kennis, maar vaak geen auditkennis. Als zij een technische rapportage opleveren, kan een auditor die gebruiken tijdens de audit. Belangrijk is dat de auditor kritisch doorvraagt over dit rapport. Wat heeft de organisatie ermee gedaan, wat zijn de openstaande punten, zijn punten echt opgevolgd?”

Welke tips hebt u voor de lezer?

Het is een algemene boodschap, maar geldend voor iedereen. Voor ieder privépersoon: zeg altijd ‘ja’ tegen alle nieuwe software-updates die beschikbaar komen. Die verhelpen vaak beveiligingsproblemen. Op het werk: blijf alert en laat je niet onder druk zetten.”