6 oktober: webinar CyberSafeHavens

Verslag CyberSafeHavens 2020: cyberweerbaarheid in havens

07 Oktober 2020

Op dinsdag 6 oktober vond het CyberSafeHavens webinar plaats. Deze online bijeenkomst stond geheel in het teken van de digitale weerbaarheid van havens. In dit artikel lees je een verslag van het webinar.

Verslag door: Ferm Rotterdam

Binnen de voor Nederland essentiële knooppunten is er sprake van een grote mate van onderlinge (keten)afhankelijkheid. Dit vraagt om intensieve samenwerking. Het webinar is samen met het ministerie van Infrastructuur en Waterstaat georganiseerd door partners Port of Amsterdam (Cyber Security Programma NZKG), Port of Rotterdam (FERM) en luchthaven Schiphol (CYSSEC).

CyberSafeHavens

Port of Rotterdam, Port of Amsterdam en Luchthaven Schiphol bieden met veel succes bedrijvigheid, banen en economische kansen binnen (en buiten) Nederland. Dit succes is grotendeels afhankelijk van digitale innovatie, want zonder digitale middelen komen veel bedrijfsprocessen zelfs letterlijk stil te liggen. Deze enorme afhankelijkheid onderstreept het belang van de digitale weerbaarheid van bedrijven tegen cyberdreigingen en uitval van de digitale middelen.

Samen met het Ministerie van Infrastructuur en Waterstaat zijn we in dit evenement daarom ingegaan op de actuele digitale cyberdreigingen en cybersecuritydiensten om deze dreigingen het hoofd te bieden. Waarom is bewustwording alleen bijvoorbeeld niet genoeg? En hoe kunnen bedrijven zich voorbereiden op de gevolgen van hacks en digitale ontwrichting? Deze en andere vraagstukken omtrent cybersecurity stonden centraal. In dit verslag nemen we je in vogelvlucht mee door het programma.

Kick-off

De opening van het programma werd verzorgd door dagvoorzitter Barend Frans van Politie Amsterdam. Sinds 1987 is Barend Frans werkzaam bij de politie. Vanaf dag 1 stond en staat de burger voor hem op de allereerste plaats. Voor hen is hij bij de politie gegaan om zijn steentje bij te dragen aan een veiliger Nederland. Frans is ervan overtuigd dat, door het samenwerken met partners, in gezamenlijkheid de strijd aangegaan kan worden om Nederland digitaal veiliger en bewuster te maken. Ook is hij initiatiefnemer van de website internetsporen.nl waar hij slachtoffers van gedigitaliseerde criminaliteit en cybercrime adviezen geeft hoe bepaalde digitale sporen veiliggesteld kunnen worden. In zijn introductie stond Frans, tevens lid van de ISAC van Haven Amsterdam, ook even stil bij de drie harde werkers die het evenement (mede) mogelijk gemaakt hebben: Fokko Dijksterhuis, Sarah Olierook en Belle Webster.

Naast het voorwoord van Barend Frans was er ook een digitale introductie van minister Cora van Nieuwenhuizen van Infrastructuur en Waterstaat, waarin ze onder meer een cyberawareness-campagne aankondigt. Ook was er een boodschap van Havenmeesters Milembe Mateyo (Amsterdam) en René de Vries (Rotterdam) en CISO Erik Scherff (Schiphol). Deze kun je op YouTube bekijken.

Hack your boardroom: Edwin van Andel

Hoe overtuig je de directie om cybersecurity (voldoende) hoog op de agenda te zetten? De keynote sessie werd vandaag verzorgd door Edwin van Andel, met de pakkende titel 'Hack your boardroom'. Van Andel is hacker van het eerste uur, CEO bij Zerocopter en begeleider van jonge hackers door de ‘Guild of the Grumpy Old Hackers’. In 2003 startte hij samen met een collega het bedrijf Yafsec, met als doel het ondersteunen van bedrijven en dealers in de IT en security wirwar. Sinds 2016 werkt hij voor Qbit Cyber Security en Zerocopter, waar hij onder meer verantwoordelijk is voor het verder uitbouwen van het 'continuous security' platform. In 2017 werd hij CEO van Zerocopter.

In zijn sessie was er uitgebreid aandacht voor het binnenhalen van (meer) hackers om de beveiliging te testen. Een onderwerp dat de bestuurskamer zeker zal opschudden. Als je besluit dit onderwerp te introduceren, bereid je case dan ook zorgvuldig voor! Van Andel legt uit waarom het onderwerp beveiliging niet (alleen) onder de verantwoordelijkheid van je IT-afdeling moet vallen, met aandacht voor de stromen en processen die nodig zijn binnen jouw organisatie om succesvol een hoger beveiligingsniveau te bereiken. Ondertussen probeert hij zich met alle macht in te houden om niet op de vele knopjes en toestellen in de presentatieruimte van het World Port Center te drukken, grapt Van Andel, terwijl hij ook nog even laat weten dat we hem niet moeten verwarren met Eric Corton – wat hem in de dagelijkse praktijk vaak overkomt. Om ons bij de les te houden, volgt direct een mooi voorbeeld: Van Andel was een van de hackers die toegang wist te verkrijgen tot het Twitteraccount van Donald Trump. Dat was overigens de opstap naar een project rond responsible / coordinated vulnerability disclosure, waar zijn bedrijf Zerocopter groot in geworden is. Hij neemt daarom ook graag de negatieve vooroordelen over hackers en toch in ieder geval ethical hackers even weg: "Wij máken geen gaten, maar we vinden ze – en zorgen dat ze worden opgelost."

Na een introductie over de praktijkervaringen van Van Andel en de mogelijkheden en adviezen vanuit Zerocopter, zoomt de presentatie in op het thema 'hack your boardroom'. Want (ook) daar leeft vaak de vraag; 'wat moeten wij met security?'. Daar zitten een hoop oorzaken achter, waaronder het feit dat de gedachte 'mijn bedrijf loopt weinig risico' nog altijd erg leeft bij veel organisaties. De aanleiding en vooral noodzaak worden daarmee veel te laag ingeschat. En als er een keer iets gebeurt, dan wordt dat veelal nog onder het tapijt geveegd. Een inbraak wordt direct gemeld bij de politie, maar van een digitaal incident wordt nog veel te weinig aangifte gedaan.

Om het belang van cyberweerbaarheid op een toegankelijke manier voor het voetlicht te krijgen, heeft Van Andel een aantal ludieke voorbeelden over hoe zijn organisatie dat zoal gedaan heeft. Bijvoorbeeld met deze leuke actie: hang op een willekeurige afdeling eens een lijst op met de namen van alle medewerkers en het verzoek om zowel hun oude als hun gewenste nieuwe wachtwoord voor hun computeraccounts op te schrijven, zodat 'IT' de nieuwe versies in kan voeren. "Het zal je verbazen hoe serieus zo'n lijst vervolgens ingevuld wordt..." Dat voorbeeld doet het vast goed bij je presentatie voor het management.

Ander voorbeeld: het 'hacken' van een ingewikkeld, met een slim ontworpen app te bedienen slot dat met een simpele vismagneet wordt omzeild... De clou daar is overigens dat men in alle lagen van de organisatie ook moet blijven waken voor oude kwetsbaarheden, want een smart lock lost een hele ouderwetse inbraakmethode dus niet op(!).

Risico hittekaart

Uiteraard zijn er ook praktische(re) tips om de board te benaderen. Bijvoorbeeld door heel concreet bepaalde risk management heat maps te maken, met de waarschijnlijkheid van een x-aantal incidenten afgezet tegen de impact in termen van ernst, financiële schade en bedreigingen voor de continuïteit. Een risk heatmap is een grafische weergave van cyberrisicodata, waarbij de individuele waarden in een matrix worden weergegeven als kleuren die de betekenis ervan aangeven. Risico maps worden gebruikt om de resultaten van de cyberrisicobeoordeling te presenteren in een gemakkelijk te begrijpen, visueel aantrekkelijk en beknopt formaat. Dergelijke grafieken en tabellen weten de ongrijpbare cyberwereld in realistische dagelijkse scenario's te vangen waar vaak wel oren voor zijn.

Daarnaast een hele interessante vraag: waar zit je CISO, binnen de organisatie? Onder IT? Of onder Finance? "Want ik ben er stellig van overtuigd dat deze security-functie niet onder IT hoort. Daar hebben ze het al druk genoeg met service, communicatie, netwerken onderhouden, routers plaatsen, et cetera et cetera." Plus dat onderschrijft enkel het achterhaalde paradigma dat cybersecurity de verantwoordelijkheid is van IT. "Security hoort thuis onder de CFO, want het is een bedrijfsrisico, geen IT-risico, en moet dus op een vooraanstaande positie in het bedrijf worden geplaatst."

Iedere CFO staat in deze snel evoluerende technologische wereld voor een reeks uitdagingen. De moeilijkheid met het innoveren van de manier waarop het dagelijkse werk wordt gedaan, is het in lijn houden van de kosten met de resultaten. Maar ook het innoveren met en implementeren van nieuwe technologie brengt bepaalde risico's met zich mee, wat eveneens een goed argument is om de CISO in de organisatiestructuur in de omgeving van de CFO te plaatsen.

Tot slot: hackers, eng? Nee, je moet dat omdraaien, stelt Van Andel. Je bent al overal en altijd verbonden met internet en allerhande IT-communicatiesystemen, en je loopt juist al heel veel risico's. Stel jezelf open voor de mogelijkheden om dat eens door een professional te laten testen op kwetsbaarheden, want het kan je cyberweerbaarheid alleen maar verhogen. Don't panic, keep calm and hug a hacker!

Dreigingslandschap van de vitale infrastructuur in het 'nieuwe' normaal - Dave Maasland

De tweede helft van CyberSafeHavens stond in het teken van twee parallelle break-out sessies, waar de aanwezige deelnemers van tevoren voor werden ingeschreven. We beginnen met de presentatie van Dave Maasland, een stukje verderop lees je over de sessie van Elsine van Os.

Dave Maasland is CEO bij ESET Nederland en heeft een passie voor IT en technologie. Hij wil digitale angst door onwetendheid wegnemen. Dat deed hij onlangs al in zijn webinar over cybercrime. In het tijd van abnormaliteit, is het belangrijker dan ooit om de vitale infrastructuur van onze samenleving stabiel te houden. Maar wat betekent de huidige crisis voor het huidige dreigingslandschap? Heeft het überhaupt impact? Welke trends zien we in andere landen? En waar zouden we kunnen beginnen om weerbaarheid van binnenuit op te bouwen? Aan de hand van internationale voorbeelden, prikkelende ideeën en gedachten gaf deze presentatie inzicht in hoe we in rare tijden kunnen bouwen aan vertrouwen.

Maasland houdt een inspirerend maar vooral praktisch verhaal over het dreigingslandschap van vitale infrastructuur, zoals we inmiddels van hem gewend zijn met veel informatieve slides en beeldmateriaal. Aan het begin worden we bijvoorbeeld al geconfronteerd met een slide rond met een nieuwsbericht uit december van 2015 – 'Hackers caused a blackout for roughly a quarter million Ukrainians' – en aansluitend videofragmenten van de toenmalige hack bij een van de doelwitten van die aanval, een elektriciteitscentrale in het westen van het land. "Dat is natuurlijk een grote nachtmerrie: wat als hackers onze vitale infrastructuur met een paar slimme trucs overnemen?

Om dat onderwerp aan te vliegen, stelt Maasland in zijn sessie een aantal doelen.

  1. kennis delen omtrent het huidige dreigingslandschap
  2. advies geven omtrent de te nemen acties
  3. een visie op een duurzame weg vooruit

Om bij 1 te beginnen, is het inmiddels iedereen wel bekende onderzoek van de WRR: 'Voorbereiden op digitale ontwrichting'. In die categorie deelt Maasland nog een aantal onderzoeken, waaronder een rapport van de Amerikaanse NSA met het nadrukkelijke advies aan alle vitale infrastructuur faciliteiten in de VS om per direct hun OT veilig te stellen. Vooral het IT en OT-verhaal zijn daarin bepalend, zoals in een aantal van de recente Port Cyber Café's ook naar voren is gekomen. Wat daarin de risico's zijn wordt in de volgende minuten aangetoond met een aantal praktijkvoorbeelden van (spear) phishing, waarmee aanvallers in het verleden geslaagd zijn om het digitale poortje te kunnen openen, onder meer in de energiesector in Polen en Oekraïne. Het slagen daarvan was in grote delen mogelijk door een combinatie van slimme aanvalstactieken en openstaande, oude kwetsbaarheden om zich binnen het netwerk verder te kunnen verspreiden. Het betreft overigens onderzoeken die ESET graag met de havens wil delen, dus de informatie komt ook op andere manieren beschikbaar.

Maasland wil specifiek het onderwerp ransomware nog even belichten, want er is daarin een serieuze professionaliseringsslag gemaakt aan de kant van de cybercriminelen. "Je ziet steeds meer onderhandeling, je wordt geholpen met de betaling en de bitcoins, iedereen in die leveranciersketen is onderdeel geworden van een professionele dienstverlening." Ze geven zelfs tips! Uiteraard zijn ook daar tal van voorbeelden bij.

Samenvattend kunnen we vanuit de presentatie het volgende stellen, in het verlengde van het dringende advies van de NSA: het huidige dreigingslandschap is serieuzer dan ooit, er moet onmiddellijk actie ondernomen worden. Spear phishing is aanvalsvector nummer 1, er worden veel gegevens buitgemaakt bij bedrijven en organisaties, aanvallers gebruiken de IT-omgeving als springplank voor OT. Ransomware is nog altijd de grootste dreiging!

Om dat in een advies te gieten, kun je volgens Maasland voor de volgende zaken zorgen:

  • zorg voor een weerbaarheidsplan, voor IT én OT
  • oefen het Incident Response Plan
  • verstevig je netwerk: je hoeft niet direct allerlei nieuwe hard- en software aan te schaffen, maar kijk wat je in huis hebt en zorg voor de juiste maatregelen (patches, updates, filters, kwetsbaarheden, et cetera et cetera)
  • maak een OT netwerkkaart en evalueer alle risico's op OT-middelen
  • monitoring, monitoring, monitoring

Zoals gezegd kunnen we binnenkort over de input en waar mogelijk een aantal onderzoeken beschikken, dus voor nu gaan we er niet verder op in. Hetzelfde geldt voor de visie op de toekomst en de afsluiting van Maasland, dus: wordt vervolgd!

Van hacken naar lekken: Elsine van Os

In de tweede parallelle sessie was de microfoon voor Elsine van Os, oprichtster en CEO van Signpost Six. Klinisch psychologe en met haar jarenlange ervaring in het veld van militaire en commerciële inlichtingen integreert zij psychologie in de aanpak van interne dreigingen, zoals spionage, sabotage en datadiefstal. Van Os werkte jarenlang in de olie- en gassector, een omgeving met een hoog risico voor (cyber)veiligheidsdreigingen. Ze constateerde een grote afhankelijkheid van technologische oplossingen ten koste van de menselijke factor. Dit leidde ertoe dat ze zich concentreerde op gedragsprogramma’s en dreigingsanalyses als een integraal onderdeel van het Insider Risk programma van Signpost Six.

De focus van de presentatie: van dreiging van buiten naar schade van binnen. Welke factoren spelen hierin een rol? Denk bijvoorbeeld aan onbewuste (bijvoorbeeld door het klikken op een phishing e-mail) of bewuste (bijvoorbeeld uit onvrede data meenemen uit een organisatie) activiteiten van medewerkers. De factoren mens, proces en techniek passeerden de revue, met steevast een focus op preventie. Wat kunnen we doen om dit soort incidenten te voorkomen?

Insider risk – waar hebben we het dan over? Er is om te beginnen een toegenomen afhankelijkheid van digitale technologie, in combinatie met een toegenomen waarde van data. Daarnaast zijn er veel meer hybride contracten tussen werkgevers en werknemers, waarbij de werknemersbetrokkenheid in het geding komt. Op een grotere schaal hebben we bovendien te maken met geopolitieke spanningen en competitie. Wat we zien, is dat de technologische verdediging van IT wordt versterkt om kwetsbaarheden op te vangen, terwijl er intern weinig tot geen verdere maatregelen worden genomen, met als gevolg dat de dreiging van insiders toeneemt en dus noodzakelijkerwijze moet worden aangepakt. Signpost Six richt zich daarom op de mensen- en procesaspecten; gegevensdiefstal of andere kwaadaardige daden van spionage, fraude of geweld gebeuren niet zomaar spontaan. Het is een proces dat zich in de loop van de tijd voltrekt en dat een aantal gemeenschappelijke factoren en vergelijkbare patronen van individueel en organisatorisch gedrag met zich meebrengt die tot dergelijke handelingen leiden. Dat impliceert gelukkig mogelijkheden voor interventies in een vroeg stadium, zowel binnen de organisatie als voor het individu.

Nu zien we vaker dat bedrijven zich focussen op de menskant van informatieveiligheid, omdat – afhankelijk van het onderzoek dat je erbij pakt – 6 tot wel 9 van de 10 beveiligingsincidenten beginnen bij een menselijke fout. Human error speelt dus een grote rol in cybersecurity, maar het verschil met de presentatie van Van Os is dat de insiders waar zij over spreekt geen onbewuste foutjes maken – zoals de verkeerde CC op een e-mailtje, of een printje met gevoelige informatie laten slingeren – maar doelgericht te werk gaan om informatie te bemachtigen. Van Os vraagt ook het publiek om zich eens te verplaatsen in het hoofd van een insider. Stel dat je een datadiefstal aan het voorbereiden bent, wat zou dan een drijfveer voor je kunnen zijn? Wat kan de laatste druppel vormen? Hoe zou je het doen, en hoe zou je je voelen? En: hoe zouden anderen het bij jou kunnen zien?

Van Os spreekt daarbij over het 'critical path' van een insider naar ontsporing; variabelen in bijvoorbeeld gedrag waaraan je af kunt leiden dat er rondom deze persoon risico's zijn. Denk bijvoorbeeld aan interpersoonlijk gedrag, het sociale netwerk, geestelijke gezondheid en verslavingen, technische of financiële variabelen, en reisgedrag. Want: meer dan 97 procent van de insiders uit een onderzoek was al eens officieel onder de aandacht van leidinggevenden wegens zorgwekkend gedrag (breken van regels, beleid of gedrag in het interpersoonlijke domein). Ook communiceerden 58 procent van hen negatieve gevoelens, wrok of de intentie om schade toe te brengen nog voor het plegen van het incident. In 31 procent was er in de directe omgeving van de insider bovendien al kennis van deze intenties. De eerste stap naar een oplossing begint met een nulmeting van het risicoprofiel van een organisatie en de bereidheid om risico's te voorkomen en te beperken. Deze beoordeling vormt de basis voor de op maat gemaakte routekaart die risicogebaseerde verbeteringen binnen je organisatie mogelijk maakt.

Signpost Six biedt zelf ook een 'critical path' e-learning programma voor werkgevers en werknemers dat zich richt op collega's en leidinggevenden; die zich bewust zijn van de gedragsrisico's. Dit wordt opgezet binnen de context van het kritieke pad naar ontsporing, inclusief de vereiste managementactiviteiten en -inspanningen. Het programma ondersteunt de vroegtijdige herkenning van gedragspatronen en daarmee de beperking van het risico van insiders binnen een organisatie.

Afsluiting

Het laatste kwartier van het CyberSafeHavens seminar werd ingeruimd voor een panelsessie aan de hand van een Q&A met Elsine van Os en Edwin van Andel. Deze vragen kwamen zowel van onze dagvoorzitter als van de aanwezige deelnemers die op voorhand hun vragen via het registratieformulier konden toesturen. Dank aan alle betrokkenen en natuurlijk de vele digitale deelnemers!