Hoe meer computers, netwerken en software we gebruiken, hoe vaker we te maken zullen krijgen met incidenten die de voortgang van ons werk belemmeren of crises die het voortbestaan van onze organisaties bedreigen. Alles kan stukgaan of moedwillig worden gekaapt, gegijzeld of openbaar gemaakt door lieden met boze plannen. Security en safety zijn nauw verweven als het gaat om informatietechnologie. Integraal veiligheidskundige en business security consultant bij Fox-IT Joep Kaiser speurt naar kwetsbaarheden in organisaties en adviseert ze over de preventieve, detectieve en responsieve maatregelen die ze kunnen nemen.
Biografie
Joep Kaiser (1991, Leidschendam) is een gestructureerd en georganiseerd man die doelgericht te werk gaat en zich niet gemakkelijk laat overvallen door een incident of een crisis. Hij is opgeruimd, voorbereid en beschikt over een lenige geest waar het gaat om het vinden, benoemen, wegen en bestrijden van cyberrisico’s in de systemen en werkprocessen van anderen. Terug kunnen vallen op alternatieve opties is een vaardigheid die hoort bij resilience; de veerkracht die ervoor zorgt dat organisaties tegen een stootje kunnen. Dat veel van die stootjes welbewust door kwaadwillenden worden uitgedeeld fascineerde Joep al op jonge leeftijd, net als de manieren waarop je dat venijn kunt bestrijden. Als leerling in het Daltononderwijs leerde hij al jong zelf zijn weg uit te stippelen. Op zeventienjarige leeftijd zocht hij in de richting van de marechaussee of defensie, maar uiteindelijk koos hij de opleiding Integrale Veiligheidskunde aan de Haagse Hogeschool. Niet alleen omdat Den Haag dicht bij Leidschendam ligt en vanwege de oriëntatie op publieke dienstverlening, maar vooral vanwege het duale karakter: in het derde en vierde studiejaar zijn alle colleges samengebracht op één dag in de week, zodat je vier dagen kunt werken en praktijkervaring opbouwt. Via een medestudent werd hij getipt om contact te leggen met beveiligingsbedrijf Securitas (waar hij Bram de Bruijn ontmoette). Joep heeft zodoende al meerdere jaren werkervaring opgebouwd als hij zijn carrière verlegt van het fysieke naar het cyberdomein bij het toonaangevende computer- en netwerkbeveiligingsbedrijf Fox-IT. Het zetelt nota bene ‘om de hoek’. Na drie jaar als projectmanager te hebben gewerkt bij de afdeling Managed Security Services (‘monitoring’) is hij Business Security Consultant geworden. Sinds 2019 helpt hij grote klanten bij het opzetten en handhaven van hun cyberdefensie. Zijn nevenbezigheden: Joep heeft twee kinderen (4 en 7 jaar), tennist vrij fanatiek en is voetbalcoach bij de junioren. Deze week geniet hij met zijn gezin van een korte vakantie terwijl zijn collega’s de hackers onder de duim houden.
Zodra je met deskundigen in gesprek raakt over ICT en cybersecurity, valt er een Engelstalige boekenkast om. Dat werpt soms een drempel op in de communicatie. De ‘talige waterscheiding’ bestaat vaak al doordat ICT’ers bèta’s zijn en hun ‘klanten’ meestal alfa’s (of bèta’s met duidelijke grenzen). Joep benadrukt dat de techniek weliswaar complex kan zijn, maar dat het geen reden mag zijn om ICT geheel aan de faciliteerder over te laten; daarvoor is het te belangrijk. Zelf is hij van oorsprong niet technisch maar hij heeft flink bijgeleerd en probeert een voorbeeld te zijn waar het de communicatie tussen alle belanghebbenden betreft. De genoemde drempel wordt in stand gehouden door interne of externe uitbesteding van de automatisering. Wat ook niet meewerkt in de communicatie is de weloverwogen radiostilte waar het kwetsbaarheden in systemen aangaat: de beveiliger wil de hacker tenslotte niet de weg naar de achterdeur wijzen.
Joep Kaiser is degene die door organisaties graag wordt binnengelaten om de wegen naar de achterdeur te vinden, niet als ethisch hacker maar als consultant, voornamelijk met het interview als gereedschap. Die ethische hacker heeft hij wel achter de hand, maar cybercrisis readiness, zijn expertise, zit hem niet in het hang- en sluitwerk. Het gaat hem vooral om het vermogen om adequaat te reageren op een inbraak, want ook bij een gebarricadeerde of dichtgemetselde achterdeur kun je nog naar binnen. ‘Het bewustzijn van cyberrisico’s is de laatste jaren zeker gegroeid’, zegt Joep. ‘Het gaat er mij om dat je als organisatie plannen hebt, dat je getraind bent om je cybercrisis het hoofd te bieden. Want dat je er ooit een gaat meemaken is namelijk vrijwel zeker.’
Hoe slecht staan we ervoor aan het computerfront? Er klinken regelmatig noodkreten door in de media. Stokoude systemen, lekken van persoonsgegevens, diefstal van bedrijfsgeheimen, enzovoorts. Is dat stemmingmakerij?
Joep: ‘In de media verschijnen af en toe verschrikkelijke verhalen en ja, dit is maar het topje van de ijsberg aan incidenten. Toch moeten we ons niet gek laten maken want iedereen werkt keihard aan het treffen van beveiligingsmaatregelen en we zien daarom ook veel groei over de jaren heen. Heel oude software in COBOL of programmatuur op een oud Windows-platform hoeft op zich helemaal geen probleem te zijn als het om kwetsbaarheid en weerbaarheid gaat. Het is maar net waar het is toegepast en wat de functie is. Of het blootgesteld is aan de buitenwereld. Met de juiste maatregelen is het veilig. Natuurlijk komen we bij organisaties waar we ons de tandjes schrikken, maar vaak zijn de risico’s snel onder controle te brengen of blijken de mogelijke gevolgen van een incident aanvaardbaar; dat moet je ook afwegen. Toen je me gisteren belde voor een afspraak was ik net op de terugweg van een bezoek aan een organisatie waar we twee jaar geleden vrij ingrijpende preventieve, detectieve en responsieve adviezen hadden uitgebracht. Het was mooi om te zien hoe ze zich zelfstandig op al die gebieden hadden aangepast. Jammer dat we daar zo weinig ruchtbaarheid aan kunnen geven, maar dat hoort bij de aard van ons werk.’
Waar begin je als je bij een organisatie binnenkomt?
Joep: ‘Bij risicomanagement. Dat bespreken we met het senior management, met de bestuurders. Wij prediken de ‘assumed breach’; de aanname dat je vroeg of laat het slachtoffer zult worden van cybercrime. Dat betekent dat je voorbereid moet zijn. We brengen eerst de bedrijfsprocessen en de assets van een organisatie in kaart. Assets zijn hardware, software en de data. Het zoeken naar de bestaande structuur kun je in vijf dagen doen, maar het kan ook in anderhalf uur als je genoeg hebt aan een globaal beeld. Het is afhankelijk van de opdracht en uiteraard van het budget. We moeten vaststellen of beschikbaarheid, integriteit en vertrouwelijkheid van informatie voldoende zijn gewaarborgd en waar het eventueel beter kan.’
Zie jij verschil tussen commerciële bedrijven en overheidsorganisaties in hun voorbereiding?
Joep: ‘Ik kom bij allebei, maar over het segment mkb kan ik vanuit eigen ervaring niet oordelen, want daar heb ik minder ervaring mee. Er is zeker verschil: overheidsorganisaties worden vaker gedreven vanuit de gedachte dat ze compliant moeten zijn, wat zich uit in omvangrijke, abstract en algemeen geformuleerde documenten. Bij commerciële klanten is het vaak pragmatischer, meer customized, gericht op de eigen processen en daardoor directer toepasbaar. Maar beide zijn zich in toenemende mate bewust van de dreiging.’
Die ook groeit, want ook hackers worden slimmer, toch?
Joep: ‘De kwaadwillende actoren in de buitenwereld worden inderdaad slagvaardiger. Ze zijn sneller, leren voortdurend bij en gebruiken ook nieuwe tools zoals kunstmatige intelligentie bij hun activiteiten. Waar ze zich vroeger bij wijze van spreken handmatig op één bedrijf richtten worden nu geautomatiseerd honderden aanvallen tegelijk uitgevoerd; ze werken efficiënter.’
Jij komt dus bij een organisatie als consultant en moet ervoor gaan zorgen dat ze weerbaarder worden. Je bevraagt het senior management en verdiept je in documentatie.
Joep: ‘Ja, ik probeer uit te vinden welke maatregelen ze al nemen, welke sleutelfiguren er zijn en of bestaande procedures in de organisatie bekend zijn en ook effectief. Ik vraag werknemers bijvoorbeeld wat ze doen als ze een bepaalde melding krijgen van een Security Operations Centre. Aan de reactie merk je snel of ze voorbereid zijn of niet, of ze op de hoogte zijn van processen en de achtergronden van procedures, iets wat we awareness noemen. Zo tast je allerlei aspecten en onderdelen af. Als ik er na een paar vragen van overtuigd ben dat bijvoorbeeld de monitoring van de laptops prima onder controle is, dan ga ik door naar het volgende onderwerp. Waar ik twijfel prik ik door tot het gaat bloeden. Proces, techniek en menselijk gedrag komen in die interviews allemaal aan bod.’
Je komt onherroepelijk uit bij pijnpunten. Heb je een top drie van zwakke punten?
Joep, na enig nadenken: ‘Awareness op één, detectie van indringers op twee, de voorbereiding van de crisis response op drie. En als ik een vierde mag toevoegen: de toepassing van PoLP; het Principle of Least Privilege, wat betekent dat gebruikers precies genoeg netwerktoegang krijgen voor het uitvoeren van hun werk en niet meer dan dat. Vervolgens zul je alle toegang ook nog moeten loggen. Het benoemen van de kwetsbaarheden hoort nu eenmaal bij een algemene assessment van de weerbaarheid. De ernst zal per organisatie verschillen. En soms heb ik een heel gerichte opdracht en moet ik focussen op bijvoorbeeld de crisis readiness of op monitoring. Soms wil een organisatie dat we werken aan de hand van een bestaand framework, soms werken we free format.’
Geven jullie een certificaat of kwaliteitskeurmerk af? En wat is er eigenlijk verplicht?
Joep: ‘Nee, dat doen we bewust niet. De vraag ‘zijn wij veilig?’ zal ik niet met een stellig ‘ja’ of ‘nee’ beantwoorden. Het is aan bestuurders om te definiëren wat ze veilig genoeg vinden. Alleen wetten zoals bijvoorbeeld de AVG zijn bindend. Daarnaast is er nieuwe regelgeving in ontwikkeling. Denk aan NIS2 en DORA voor bepaalde sectoren, zoals overheden, nutsbedrijven en banken. Als je daartoe behoort moet je compliant zijn. Private partijen hebben daarnaast te maken met eisen van klanten, verzekeraars of eigen standaarden.’
Moeten bestuurders van organisaties goede risicomanagers zijn?
Joep: ‘In elk geval probeer ik ze wel bewust te maken van hun verantwoordelijkheden en taken. Grofweg kun je op vier manieren omgaan met cyberrisco’s; je kunt ze vermijden, mitigeren, overdragen of accepteren. Dat komt erop neer dat je óf iets niet doet, er de risico’s van onder controle brengt, het risico belegt bij bijvoorbeeld een leverancier, of weloverwogen aanvaardt dat het mis kan gaan. Voor de derde wil ik waarschuwen: je kunt een ander wel verantwoordelijk stellen, bijvoorbeeld in een overeenkomst, maar jij blijft wel het primaire slachtoffer.’
Je gebruikte de term monitoring. Wat bedoel je daarmee?
Joep: ‘In relatie tot het fysieke domein kun je dat het beste vergelijken met een inbraakalarm. Je houdt de zaak in de gaten. Maar ook predictive profiling, het observeren en signaleren van afwijkend gedrag, kan op cybergebied toegepast worden door het analyseren van patronen. Daarbij wordt response vaak in één adem genoemd met monitoring, wat dan ook vaak proactief is en direct volgt op een trigger.’
Je wilt de inbreker al signaleren voor hij inbreekt.
Joep: ‘Juist. Omdat je dan meer tijd hebt om in te grijpen.’
Maar met de huidige snelle servers en netwerken ben je toch altijd te laat?
Joep: ‘Niet per se. Ken je het MITRE ATT&CK (spreek uit ‘attack’, red.) framework? Dat beschrijft onder andere de technieken die kwaadwillenden op hun slachtoffers loslaten om ergens binnen te komen. Als je deze technieken en tactieken herkent kun je de activiteit vroegtijdig detecteren. Je krijgt tevens een idee van hun aanvalsplannen en in welke fase ze (de hackers, red.) zijn. Dat begint nog voordat de inbreker een voet over de spreekwoordelijke drempel heeft gezet. Als hackers eenmaal toegang hebben dan zijn ze niet direct bij je gevoelige of waardevolle data. Hun verkenning van de infrastructuur loopt nog en misschien moeten ze hun rechten vergroten om te komen waar ze willen zijn. Dat kan langere tijd duren, hoewel het met slimme software steeds sneller kan. Maar die tijd –soms minuten, soms uren – heeft de organisatie om maatregelen te nemen, mits je de inbraak hebt gedetecteerd. Zo niet dan kan de indringer zich langdurig in je systemen verbergen. Soms zien we een aanvaller al, maar kijken we eerst wat die gaat doen, bijvoorbeeld om te weten op welke data hij uit is. Maar weet wel; elk scenario is anders. Monitoring is cruciaal om een potentiële crisis vroegtijdig te detecteren en niet te wachten tot het een uitslaande brand is geworden.’
Moet een organisatie zelf monitoren of is dat een dienst die door een externe partij geleverd wordt?
Joep: ‘Dat is een keuze. Veel organisaties kiezen ervoor om de monitoring extern te beleggen omdat er veel bij komt kijken. Denk onder andere aan de eerste triage (filtering op ernst, red.) die 24 uur per dag moet plaatsvinden. Daarnaast moeten deze personen ook getraind zijn en veel kennis hebben om de getoonde alerts uit de monitoring systemen te kunnen duiden. Liever worden organisaties genotificeerd wanneer er écht iets aan de hand is en krijgen daarbij direct advies om de situatie te mitigeren. Het is uiteraard wel belangrijk het proces van monitoring en response naadloos aansluit bij de opvolging die binnen de organisatie dient plaats te vinden. Let wel: binnen de operatie van de organisatie hoeft er dan nog helemaal niets te merken te zijn. Een aanvaller die toegang heeft gekregen tot systemen maar nog geen schade heeft aangericht is eveneens een serieus incident, ook al waren we er gelukkig vroegtijdig bij.
En wie ga je dan bellen als er echt iets groots aan de hand is?
Joep: ‘Een aangewezen functionaris bij die organisatie; iemand met een stekkermandaat.’
Wat is een stekkermandaat?
Joep: ‘Dat is de bevoegdheid om in te grijpen; om bijvoorbeeld een server uit te schakelen of fysiek een glasvezelkabel of netwerkverbinding los te koppelen. Bij voorkeur is het een vertrouwd iemand die weet wat hij of zij doet. Die handeling kan zeer ingrijpende gevolgen hebben voor de processen, maar je grijpt liever zelf in dan dat je het door een hacker laat doen. Het is een uiterste redmiddel waar je duidelijke afspraken over moet maken, mensen voor moet opleiden en iets dat je ook moet oefenen.’
Mijn ervaring is dat organisaties nauwelijks te porren zijn voor simulaties en oefeningen omdat die de operatie zouden kunnen verstoren.
Joep: ‘Gelukkig zijn er genoeg manieren om te oefenen zonder in de buurt te komen van de operatie. Crisisteams kunnen we laten oefenen met een realistisch scenario in tabletopvorm, waarbij vooral de interactie en de onderbouwing van keuzes aandacht krijgen. Ik vind het belangrijk dat je vooraf een oefendoel definieert. Organisaties willen soms oefenen ‘om het oefenen’. Zonder expliciete doelen zal de oefening nooit slagen omdat je niet weet waarop je deze conclusie zou moeten baseren.’
En welk bedrijfsproces stel je centraal tijdens zo’n oefening?
Joep: ‘Dat komt weer uit de risico-inventarisatie waar we het eerder over hadden. Ik vraag bestuurders altijd welke processen zij het belangrijkste vinden en welke je dus het eerste weer overeind zou moeten hebben. Die keuze kan niet door business-unitmanagers worden gemaakt, want die hebben al snel een voorkeur voor hun eigen onderdeel. Daarnaast worden bestuurders tijdens een cybercrisis met veel meer specifieke dillema’s geconfronteerd. Tijdens de oefeningen kunnen we bestuurders alvast laten nadenken over welke aspecten en argumenten hun keuzes beïnvloeden. Dat gaat om het al dan niet betalen van losgeld en de prioriteiten voor instandhouding of hervatting van processen. Zo snel mogelijk back-to-business is meestal de wens, maar soms is downtime noodzakelijk om kwetsbaarheden weg te nemen en zaken veilig te stellen. Dat kost tijd en daarmee wordt het een dilemma dat strategische overweging vergt. Ik wil dat daar een richtlijn voor is en vooral niet weer een procedure. Een procedure past namelijk nooit bij de specifieke omstandigheden, terwijl een richtlijn altijd een kompas blijft. Bovendien respecteer je het vakmanschap van de operationele werkers door ze beslissingsruimte te geven.’
Ten slotte: wat kan of moet de ‘klassieke veiligheidskundige op S3-veiligheidsschoenen’ betekenen op het gebied van cybersecurity?
Joep: ‘Het eerste waar ik aan denk is ambassadeur zijn. Geef in elk geval het goede voorbeeld, ook als je niet de Senior Information Security Officer bent. Cybersecurity is net als veiligheid ook een kwestie van cultuur en gedrag in je eigen organisatie. Dat uit zich vanzelf: slingeren er overal usb-sticks, gebruikt iedereen WeTransfer, logt men in op privé-mail? Als basisregels worden overtreden of ontbreken en er overal olifantenpaadjes zijn dan mag een veiligheidskundige dat best signaleren. En als je hecht aan een complete RI&E: kijk eens of er iets in staat over cybersecurity. Misschien is er meer beheersing dan je denkt, misschien valt er nog heel veel te verbeteren. Stuur me gerust een berichtje op LinkedIn. Als het schikt maak ik tijd voor een bak koffie. En mocht je meer willen weten: in maart 2024 begin ik met een serie webinars over cyber crisis readiness.’