BINNENLANDS BESTUUR - WEEK 43 | 2021 ACHTERGROND 27 ‘ Er komt veel op je af, dus waar ga je je op richten?’ den zoals de gemeente Hof van Twente.’ Zoek nou eens uit waar bij medeoverheden behoefte aan is, vroeg BZK eind 2018 aan ICTU. Het bleek dat de bewustwording begon te komen – inmiddels wisten de meesten wel dat openbare wifi niet veilig is en dat sterke wachtwoorden belangrijk zijn (alhoewel ernaar handelen een ander verhaal is). Maar medeoverheden hadden moeite het college te bereiken en er was onzekerheid over wat te doen als het misministerie van Binnenlandse Zaken (BZK) de overheidsbrede cyberoefening organiseert. ‘De slogan was: wat zou jij doen? Telkens kreeg het publiek die vraag voorgelegd en dan moesten ze kiezen uit verschillende mogelijkheden.’ Komende maandag vindt de derde editie plaats. Sinds de vorige oefening is alleen maar duidelijker geworden dat overheden kwetsbaar zijn. Neem bijvoorbeeld de ingrijpende hack van Hof van Twente en de kwetsbaarheid van de controlsystemen van overheden, waar Binnenlands Bestuur en AG Connect onderzoek naar deden. Met deze SCADA-systemen besturen overheden bijvoorbeeld verkeerslichten, rioleringen en sluizen, dus zo’n scenario dat een tunnel onder water loopt is zeer relevant. Alle reden om te oefenen. Wat zou de organisatie in petto hebben? VERRASSING ‘Ik kan er niet al te veel over vertellen, want het moet wel een verrassing blijven voor de deelnemers’, vertelt Van der Linden. Er zijn 1.240 aanmeldingen, waarvan een groot deel van gemeenten komt, en dat aantal blijft toenemen. ‘Ook dit jaar proberen we het zo realistisch mogelijk te doen. We hebben een scenario laten ontwikkelen waarin een fictieve overheidsorganisatie wordt getroffen door ransomware en dit jaar ligt de nadruk op business continuity. Er komt veel op je af, dus waar ga je je op richten? Natuurlijk hebben we gekeken naar praktijkvoorbeelgaat. Een oefening zou een manier zijn om een complex onderwerp onder de aandacht van het bestuur te brengen. En oefenen is de beste manier om de onmacht en het ongemak van een crisissituatie te ervaren. Gemeenten die alvast zelf aan de slag willen, kunnen beginnen met red teaming, een simulatie van een realistische digitale aanval. In aanloop naar de cyberoefening publiceerden de partijen achter de oefening een whitepaper hierover. Het is een oefening waarbij het rode team uit de titel de organisatie aanvalt, aan de hand van aanvalscenario’s gebaseerd op actuele dreigingsinformatie. Het blauwe team verdedigt, het witte team coördineert. ‘De term red team vindt zijn oorsprong in de Koude Oorlog’, legt de whitepaper uit. ‘In oorlogssimulaties van het Amerikaanse leger was het red team de groep die de agressor speelde en het blue team de groep die de verdediging op zich nam. De agressor probeerde daarbij buiten de bestaande paden te treden om de verdediging te verrassen.’ Mooi detail: ‘De kleur rood zou zijn gekozen omdat dat de kleur van de vlag van de Sovjet-Unie was. Ook de Sovjet-Unie hield overigens dergelijke oefeningen, waarbij de kleur van de agressor blauw was en de verdediger rood.’ KILL CHAIN Een red-team-oefening is diepgaander dan bijvoorbeeld een penetratietest, want de oefening is organisatiebreed en behalve de techniek worden ook de beveiligingsprocedures, het gedrag van het personeel, de reactie op de aanval en de herstelfase onder de loep genomen. ‘De opdracht voor het red team kan hierbij bijvoorbeeld zijn om toegang tot de kroonjuwelen van een organisatie te krijgen.’ Eén zwakheid kan tijdens de oefening voldoende zijn, net zoals het voor een hacker voldoende kan zijn om van daaruit verder te werken. Het rode team gebruikt de stappen die een aanvaller ook zou nemen – de zogeheten kill chain. De eerste fase: verkenning, ontwikkeling, hacken en social engineering (mensen manipuleren om infor matie prijs te geven). De tweede fase: binnen het netwerk bewegen. De derde fase: met ransomware de aanval uitvoeren en bedrijfsgeheimen versleutelen. ‘Volgend jaar willen wij in onze regio met red teaming oefenen’, zegt burgemeester Kees van Rooij van Meierijstad. ‘Ik heb begrepen dat het een heel waardevolle oefening is.’ Van Rooij is een van de momenteel zeventien cyberburgemeesters in het land die het digitale overheidsbeleid proberen aan te scherpen. Ze pleiten bijvoorbeeld voor één bewindspersoon en één beleidsdepartement die de landelijke regie voeren op dit gebied. Een van de andere cyber burgemeesters, Iris Meerts van Wijk bij Duurstede, benadrukte de problematiek in een webinar in aanloop naar de overheidsbrede oefening: het is moeilijk voor een kleine gemeente om een expert te worden op dit gebied, overheidscommunicatie komt altijd te laat en een coördinerende rol van het rijk is onontbeerlijk. UITDAGING Van Rooij onderschrijft wat Meerts zegt. ‘Voor elke gemeente is het een uitdaging om het eigen huis op orde te hebben, om geëquipeerd te zijn en de gevolgen te bestrijden. Met het vele thuiswerken is het nog belangrijker om te zorgen voor digitale veiligheid. Daarom pleiten we voor structurele financiering. De zwakste schakel bepaalt de sterkte van de keten.’ Oefenen dan maar. Van Rooij was bij de vorige editie van de overheidsbrede cyberoefening in 2019 en zal ook maandag die van dit jaar volgen. ‘Ik verwacht te horen wat de nieuwe ontwikkelingen zijn, de nieuwe trends. En wat de ervaringen van een aantal sprekers zijn. Als burgemeester kijk ik er dan naar wat men in het eerste uur doet. Ik zie vaak, bijvoorbeeld tijdens oefeningen, dat het een tijd duurt voordat men onderkent dat het een cyberaanval is. Storingen en spam zijn er continu, dus hoe herken je dat het om een cyberaanval gaat? Bij elke oefening haal je zo weer allerlei leerpunten op. Wat mij betreft kan er bij dit onderwerp niet voldoende worden geoefend.’
28 Online Touch Home