Als je pc het ineens begeeft
Cybersecurity is complex. Wie het niet snapt, moet de juiste vragen stellen.
Cybersecurity is complex. Wie het niet snapt, moet de juiste vragen stellen. Wie het wel denkt te snappen, baseert zich mogelijk op ontoereikende informatie, zoals het geval was bij de hack van Hof van Twente. Hier acht vragen om het te snappen (of om erachter te komen dat u het nog steeds niet snapt).
Hoe is de gemeente eraan toe wat betreft cybersecurity? Het kan moeilijk zijn om grip op dit onderwerp te krijgen – ten eerste om de juiste vragen te stellen en vervolgens om de antwoorden op die vragen te snappen. Waar te beginnen? Wat kan er misgaan? Wat betekent SOC? Is er een ‘hertest’ nodig?
1 welk risico lopen we?
‘Eigenlijk moet je dagelijks of wekelijks jezelf de vraag stellen: welk risico lopen we?’ zegt Esther Apperloo, Chief Information Security Officer (CISO) van Hof van Twente. De gemeente werd eind vorig jaar getroffen door een schadelijke hack. ‘Er zal niet één antwoord op zijn, maar de top vijf is het interessantst om op door te gaan. Welke maatregelen moeten op basis daarvan worden genomen?’ ‘Er is bijvoorbeeld altijd het risico op menselijk falen. De mens is de zwakste schakel; als medewerkers niet digitaal vaardig genoeg zijn, maakt het misschien niets uit dat alles goed is geregeld. Zorg voor opleiding en bewustwording. Vraag wat medewerkers zelf kunnen doen om de informatie te waarborgen.’
2 Had de hacker de vrijheid?
De penetratietest, ook wel de pentest genoemd, raakt steeds meer ingeburgerd. Daarbij checkt een ethische hacker op verzoek van de gemeente de beveiliging. Maar welke grenzen stel je aan die test? ‘Als je een pentester de ruimte geeft om kwetsbaarheden daadwerkelijk te misbruiken, dan kun je de (gelaagde) beveiliging goed in de praktijk testen’, vertelt ethisch hacker Wouter van Dongen, die zulke tests onder andere voor gemeenten uitvoert (en eigenlijk altijd het computersysteem binnenkomt). ‘Je wilt namelijk niet alleen weten of de voordeur dichtzit, maar ook of er aanvullende maatregelen zijn en of deze naar behoren werken.’
Let op de vrijheid en kwaliteit van de pentester, beperk de onderzoekstijd niet te veel en zorg voor begrijpelijke rapportage. ‘Daarnaast is het belangrijk de reikwijdte niet te ver beperken.’ Soms krijgt Van Dongen verzoeken om zich te beperken tot bijvoorbeeld de beveiliging van het sociaal domein. Maar zo’n beperking heeft een onethische hacker natuurlijk niet. Tot slot vindt Van Dongen het belangrijk om een fatsoenlijke ‘hertest’ uit te voeren. ‘Heel vaak blijken de genomen maatregelen niet afdoende te zijn.’
3 Monitoren we onze systemen?
Het hebben van een firewall tegen inbraken is één ding, maar daarbovenop hoort monitoring. In het geval van Hof van Twente was er bijvoorbeeld sprake van een aanval met brute force, wat inhoudt dat er grote hoeveelheden aanvallen op de systemen worden uitgevoerd. Met aanvullende monitoring had dit kunnen worden voorkomen. Cyberveiligheidsbedrijf NFIR oordeelde in het forensisch rapport over de hack, dat de gemeente hier tekortschoot: ‘Deze situatie had voorkomen kunnen worden door SOC-dienstverlening te introduceren die monitoring op beveiligingsniveau toepast.’ Het acroniem SOC (Security Operations Center) wordt vaak gebruikt, maar inmiddels is Managed Detection & Response de veelgebruikte term, laat Apperloo weten. ‘Elke organisatie hoort de systemen te monitoren, maar dit wordt vaak niet gedaan.’
4 Wat als morgen om 9 uur de computers niet meer aangaan?
‘Maatregelen als twee-factorauthenticatie zijn heel belangrijk, maar er is geen heilige graal’, zegt Remco Groet van de Informatiebeveiligingsdienst van de Vereniging van Nederlandse Gemeenten (VNG). ‘Daarom raad ik CISO’s aan om deze vraag te stellen, want dan kom je op maatregelen waarmee je zo’n scenario kunt voorkomen: je gaat nadenken over je bedrijfscontinuïteitsplan, over de volgorde waarin je processen moet opstarten. Dan heb je het automatisch over de vele dingen die je moet doen en over de technische beveiligingsmaatregelen die daarbij horen.’ Voor een uitgebreide lijst maatregelen heeft de VNG twee mindmaps opgesteld, die te vinden zijn op haar website. ‘Leg die voor aan je CISO – hoe staat het hiermee? Als we hierin keuzes maken, wat moeten we dan als eerste doen? Dat hoeft niet voor elke organisatie hetzelfde te zijn. Volgens mij is de kunst voor bestuurders en directeuren om in control te komen van de risico’s. Met zo’n vraag kun je die risico’s veel beter doordenken.’
5 In welke mate zijn de servers gesegmenteerd?
Apperloo vergelijkt het segmenteren van servers met het beveiligen van een huis: het wachtwoord is de sleutel en als er daarna geen verdere hindernissen zijn, komt de inbreker helemaal tot in de kluis. Is er wel segmentatie, dan staat de inbreker ook als die binnen is, voor afgesloten deuren. Het is iets waar Hof van Twente nu meer gebruik van maakt tijdens de wederopbouw. Er zijn verschillende niveaus van segmentatie. ‘We ontdekten laatst dat alles van een grote applicatie voor financiën op één plek stond. Bij een hack zou dat allemaal kwijt zijn, dus we zijn nu segmentatie binnen de applicatie aan het aanbrengen. Sommige gemeenten zullen bijvoorbeeld alles van het sociaal domein op een plek hebben. De vraag of je moet segmenteren, is een kwestie van afwegen van de risico’s, de kosten, en welke maatregelen je kunt nemen. Je moet het niet te ingewikkeld maken.’
6 Wat staat er precies in de rapportage?
‘De ENSIA-zelfevaluatie is een manier om te kijken naar informatiebeveiliging’, zegt Groet. ‘Het is geen garantie dat je niet wordt gehackt; ook een auto met apk-keuring kan een week later met een kapotte accu staan. Doe je genoeg om de risico’s te verminderen? ENSIA is bedoeld om inzage te geven in de mate waarin je voldoet aan de normen voor informatiebeveiliging. Als je de ENSIA-rapportage ziet als een verantwoording richting de raad, dan zou het goed zijn als iemand in een besloten setting toelicht wat de vragen en de bijbehorende antwoorden betekenen.’
7 Wat valt onder de back-up?
Hof van Twente was ook de werkschijf kwijt na de hack. Apperloo: ‘De grote brongegevens zijn landelijk, dus die krijg je terug. De eigen aantekeningen waren we kwijt en dat is niet fijn, maar gelukkig hebben we de data terug kunnen halen voor een deel van de getroffen vakgebieden als financiën en werk en inkomen. De G-schijf, waar iedereen op werkt, waren we echter helemaal kwijt.’ Vraag je dus af wat er allemaal onder de back-up valt, en of bijvoorbeeld de G-schijf daar ook bij hoort. Het enige lichtpuntje bij deze affaire, zegt Apperloo, is dat ze die schijf net aan het opschonen waren. ‘Wat dat betreft waren we dus in één keer in lijn met de AVG.’
8 Wat houdt jou ’s nachts wakker?
‘Wat de grootste zorg is, kan voor elke CISO anders zijn. Maar stel dat die zegt dat het om netwerksegmentatie gaat, of dat de backups niet goed zijn, of dat er geen tweefactorauthenticatie is, dan weet je dat het moet worden opgepakt. Het is een goede vraag om te stellen als je wilt weten wat je volgende week zou kunnen doen.’
Plaats als eerste een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.