Wat als de pc's niet meer aangaan?

Cybersecurity is complex. Wie het niet snapt, moet de juiste vragen stellen. Wie het wel denkt te snappen, baseert zich mogelijk op ontoereikende informatie, zoals het geval was bij de hack van Hof van Twente. Maar waar te beginnen? Wat kan er misgaan? Is een 'hertest' nodig? Hier acht vragen om het te snappen (of erachter te komen dat u het toch niet snapt).

1. Welk risico lopen we?

‘Eigenlijk moet je dagelijks of wekelijks jezelf de vraag stellen: welk risico lopen we?’ zegt Esther Apperloo, Chief Information Security Officer (CISO) van Hof van Twente. De gemeente werd eind vorig jaar getroffen door een schadelijke hack. ‘Er zal niet één antwoord op zijn, maar de top vijf is het interessantst om op door te gaan. Welke maatregelen moeten op basis daarvan worden genomen?’

Zwakste schakel

‘Er is bijvoorbeeld altijd het risico op menselijk falen. De mens is de zwakste schakel; als medewerkers niet digitaal vaardig genoeg zijn, maakt het misschien niets uit dat alles goed is geregeld. Zorg voor opleiding en bewustwording. Vraag wat medewerkers zelf kunnen doen om de informatie te waarborgen.’

2. Had de hacker de vrijheid?

De penetratietest, ook wel de pentest genoemd, raakt steeds meer ingeburgerd. Daarbij checkt een ethische hacker op verzoek van de gemeente de beveiliging. Maar welke grenzen stel je aan die test? ‘Als je een pentester de ruimte geeft om kwetsbaarheden daadwerkelijk te misbruiken, dan kun je de (gelaagde) beveiliging goed in de praktijk testen’, vertelt ethisch hacker Wouter van Dongen, die zulke tests onder andere voor gemeenten uitvoert (en eigenlijk altijd het computersysteem binnenkomt). ‘Je wilt namelijk niet alleen weten of de voordeur dichtzit, maar ook of er aanvullende maatregelen zijn en of deze naar behoren werken.’

Hertest

Let op de vrijheid en kwaliteit van de pentester, beperk de onderzoekstijd niet te veel en zorg voor begrijpelijke rapportage. ‘Daarnaast is het belangrijk de reikwijdte niet te ver beperken.’ Soms krijgt Van Dongen verzoeken om zich te beperken tot bijvoorbeeld de beveiliging van het sociaal domein. Maar zo’n beperking heeft een onethische hacker natuurlijk niet. Tot slot vindt Van Dongen het belangrijk om een fatsoenlijke ‘hertest’ uit te voeren. ‘Heel vaak blijken de genomen maatregelen niet afdoende te zijn.’

3. Monitoren we onze systemen?

Het hebben van een firewall tegen inbraken is één ding, maar daarbovenop hoort monitoring. In het geval van Hof van Twente was er bijvoorbeeld sprake van een aanval met brute force, wat inhoudt dat er grote hoeveelheden aanvallen op de systemen worden uitgevoerd. Met aanvullende monitoring had dit kunnen worden voorkomen. Cyberveiligheidsbedrijf NFIR oordeelde in het forensisch rapport over de hack, dat de gemeente hier tekortschoot: ‘Deze situatie had voorkomen kunnen worden door SOC-dienstverlening te introduceren die monitoring op beveiligingsniveau toepast.’ Het acroniem SOC (Security Operations Center) wordt vaak gebruikt, maar inmiddels is Managed Detection & Response de veelgebruikte term, laat Apperloo weten. ‘Elke organisatie hoort de systemen te monitoren, maar dit wordt vaak niet gedaan.’

4. Wat als morgen om 9 uur de computers niet meer aangaan?

‘Maatregelen als tweefactorauthenticatie zijn heel belangrijk, maar er is geen heilige graal’, zegt Remco Groet van de Informatiebeveiligingsdienst van de Vereniging van Nederlandse Gemeenten (VNG). ‘Daarom raad ik CISO’s aan om deze vraag te stellen, want dan kom je op maatregelen waarmee je zo’n scenario kunt voorkomen: je gaat nadenken over je bedrijfscontinuïteitsplan, over de volgorde waarin je processen moet opstarten. Dan heb je het automatisch over de vele dingen die je moet doen en over de technische beveiligingsmaatregelen die daarbij horen.’

Als eerste

Voor een uitgebreide lijst maatregelen heeft de VNG twee mindmaps opgesteld, die te vinden zijn op haar website. ‘Leg die voor aan je CISO – hoe staat het hiermee? Als we hierin keuzes maken, wat moeten we dan als eerste doen? Dat hoeft niet voor elke organisatie hetzelfde te zijn. Volgens mij is de kunst voor bestuurders en directeuren om in control te komen van de risico’s. Met zo’n vraag kun je die risico’s veel beter doordenken.’

Lees de overige vier vragen in het volledige verhaal in nummer 13 van Binnenlands Bestuur.