Onmacht en ongemak tijdens een digitale crisis
Overheden hebben niet altijd door hoe digitaal kwetsbaar ze zijn. En ze vinden het tijdens een crisis moeilijk de situatie in te schatten. Vandaag vindt de derde editie van de overheidsbrede cyberoefening plaats, die gemeenten op dit soort situaties moet voorbereiden. Gemeenten kunnen ook zelf aan de slag, met red teaming, een simulatie die teruggrijpt naar de Koude Oorlog.
Overheden hebben niet altijd door hoe digitaal kwetsbaar ze zijn. En ze vinden het tijdens een crisis
moeilijk de situatie in te schatten. Vandaag vindt de derde editie van de overheidsbrede cyberoefening plaats, die gemeenten op dit soort situaties moet voorbereiden. Gemeenten kunnen ook zelf aan de slag, met red teaming, een simulatie die teruggrijpt naar de Koude Oorlog.
Verrassing
‘Ik kan er niet al te veel over vertellen, want het moet wel een verrassing blijven voor de deelnemers’, vertelt projectmanager Margot van der Linden van ICTU, dat jaarlijks namens het ministerie van Binnenlandse Zaken (BZK) de cyberoefening organiseert. Er zijn 1.240 aanmeldingen, waarvan een groot deel van gemeenten komt, en dat aantal blijft toenemen. ‘Ook dit jaar proberen we het zo realistisch mogelijk te doen. We hebben een scenario laten ontwikkelen waarin een fictieve overheidsorganisatie wordt getroffen door ransomware en dit jaar ligt de nadruk op business continuity. Er komt veel op je af, dus waar ga je je op richten? Natuurlijk hebben we gekeken naar praktijkvoorbeelden zoals de gemeente Hof van Twente.’
Duidelijker
‘Het eerste jaar maakte heel veel los’, vertelt Van der Linden. ‘De slogan was: wat zou jij doen? Telkens kreeg het publiek die vraag voorgelegd en dan moesten ze kiezen uit verschillende mogelijkheden.’ Sinds de vorige oefening is alleen maar duidelijker geworden dat overheden kwetsbaar zijn. Neem bijvoorbeeld de ingrijpende hack van Hof van Twente en de kwetsbaarheid van de controlsystemen van overheden, waar Binnenlands Bestuur en AG Connect onderzoek naar deden.
Red teaming
Gemeenten die alvast zelf aan de slag willen, kunnen beginnen met red teaming, een simulatie van een realistische digitale aanval. In aanloop naar de cyberoefening publiceerden de partijen achter de oefening een whitepaper hierover. Het is een oefening waarbij het rode team uit de titel de organisatie aanvalt, aan de hand van aanvalscenario’s gebaseerd op actuele dreigingsinformatie. Het blauwe team verdedigt, het witte team coördineert.
Agressor
‘De term red team vindt zijn oorsprong in de Koude Oorlog’, legt de whitepaper uit. ‘In oorlogssimulaties van het Amerikaanse leger was het red team de groep die de agressor speelde en het blue team de groep die de verdediging op zich nam. De agressor probeerde daarbij buiten de bestaande paden te treden om de verdediging te verrassen.’ Mooi detail: ‘De kleur rood zou zijn gekozen omdat dat de kleur van de vlag van de Sovjet-Unie was. Ook de Sovjet-Unie hield overigens dergelijke oefeningen, waarbij de kleur van de agressor blauw was en de verdediger rood.’
Gedrag
Een red-team-oefening is diepgaander dan bijvoorbeeld een penetratietest, want de oefening is organisatiebreed en behalve de techniek worden ook de beveiligingsprocedures, het gedrag van het personeel, de reactie op de aanval en de herstelfase onder de loep genomen.
Eén zwakheid
‘De opdracht voor het red team kan hierbij bijvoorbeeld zijn om toegang tot de kroonjuwelen van een organisatie te krijgen.’ Eén zwakheid kan tijdens de oefening voldoende zijn, net zoals het voor een hacker voldoende kan zijn om van daaruit verder te werken. Het rode team gebruikt de stappen die een aanvaller ook zou nemen – de zogeheten kill chain. De eerste fase: verkenning, ontwikkeling, hacken en social engineering (mensen manipuleren om informatie prijs te geven). De tweede fase: binnen het netwerk bewegen. De derde fase: met ransomware de aanval uitvoeren en bedrijfsgeheimen versleutelen.
Cyberaanval herkennen
‘Volgend jaar willen wij in onze regio met red teaming oefenen’, zegt burgemeester Kees van Rooij van Meierijstad. ‘Ik heb begrepen dat het een heel waardevolle oefening is. Ik zie vaak, bijvoorbeeld tijdens oefeningen, dat het een tijd duurt voordat men onderkent dat het een cyberaanval is. Storingen en spam zijn er continu, dus hoe herken je dat het om een cyberaanval gaat? Bij elke oefening haal je zo weer allerlei leerpunten op. Wat mij betreft kan er bij dit onderwerp niet genoeg geoefend.’
Dit is een ingekorte versie van het artikel uit Binnenlands Bestuur nummer 20. Lees hier het volledige verhaal.
Plaats als eerste een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.