Hoe bescherm je de kroonjuwelen? Huur eens een inbreker in De ministeries van Justitie en Veiligheid (JenV) en Financiën lieten dit jaar hun eigen ICT-systemen deskundig aanvallen door een ingehuurde partij. Deze exercitie staat bekend als Red Teaming en is een erkende manier om de informatiebeveiliging van een organisatie te testen. De acties leverden een berg aan interessante informatie aan over veiligheid, technologie en menselijk gedrag. Sylvia Cammeraat van JenV: “Het is een teken van volwassenheid dat we dit als organisatie hebben willen doen.” Door Karina Meerman Beeld Shutterstock/iBestuur 32 rofessioneel werkende cybercriminelen en kwaadwillende statelijke actoren zijn constant op zoek naar de achilleshiel in de ICT-beveiliging van organisaties. De Wetenschappelijke Raad voor het Regeringsbeleid (WRR), Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en Nationaal Cyber Security Centrum (NCSC) waarschuwen in diverse recente rapporten over de gevolgen van een cyberaanval en sporen organisaties aan om de weerbaarheid verder te verhogen. Eén van de middelen die kan helpen is Red Teaming. Dit is een methode om de eigen ICT-systemen en processen te testen door ze op een realistische manier te laten aanvallen door een externe partij die daarin is gespecialiseerd. Een aanval door het rode team is geen theoretische oefening in een veilige omgeving, maar gericht op de ‘kroonjuwelen’ van een organisatie en wordt uitgevoerd in de productieomgeving. De verdedigende partij, het blauwe team, weet dat een aanval aanstaande is, maar meestal niet waar en zeker niet wanneer. Een dergelijke P
33 Online Touch Home