exercitie moet uiteraard zeer grondig worden voorbereid, met een professionele partner en met duidelijke afspraken over wat wel en wat niet kan en mag. Beide ministeries gebruikten de TIBER-methodologie, wat staat voor Threat Intelligence Based Ethical Red-teaming. TIBER heeft zijn oorsprong in de financiële wereld, waar instellingen hun systemen ieder jaar laten testen onder begeleiding van De Nederlandsche Bank. Het ministerie van Justitie en Veiligheid ondernam Red Teaming voor een aantal uitvoeringsorganisaties. Het ministerie van Financiën deed dit voor de tweede keer voor de eigen organisatie. Om te zeggen dat het voor hun CISO Ted Blonk het hoogtepunt van het jaar was, gaat wat ver. “Maar ik was verheugd om te zien dat het werk dat we na de eerste aanval hebben verzet, zijn vruchten afwierp tijdens de tweede keer.” Ook voor JenV was het een leerzaam gebeuren. Initiatiefnemer Sylvia Cammeraat, manager Concern-control Informatievoorziening en Security (integrale informatiebeveiliging en privacy): “In rapporten staat altijd dat bestuurders de Van beschermen tegen aanvallen naar detecteren en volwassen reageren ernst van de dreiging beter zien wanneer dat binnen de eigen organisatie gebeurt. Een inbraak in eigen huis komt harder aan dan een bij de buren. Een oefening als deze maakt ons nog veel bewuster van het gevaar, en de rapportages van de rode en blauwe teams hebben impact gehad binnen JenV. We hebben hiermee een gemeenschappelijke basis gecreëerd om informatiebeveiliging binnen JenV naar een hoger plan te tillen.” Realistisch aanvallen De essentie van Red Teaming is dat een realistisch aanvalsscenario wordt gebruikt. Cammeraat: “Het is heel belangrijk dat dit goed wordt geregeld. Actief en robuust risicomanagement is nodig om te voorkomen dat de productieomgeving niet echt gecompromitteerd wordt Nummer 41, januari 2022 33
34 Online Touch Home