of schade oploopt. We hebben de externe partij duidelijk aangegeven wat wel en niet mag: het is ethisch verantwoord testen. Wet- en regelgeving wordt uiteraard in acht genomen.” Cammeraat vroeg aan CIO’s en CISO’s wie vrijwillig een rode vlag wilde planten bij de kroonjuwelen van zijn of haar organisatie. Aan animo geen gebrek. “Het niveau van informatiebeveiliging kan altijd hoger, hoe goed het ook is. Het is hartverwarmend dat dit besef leeft in de organisaties.” Om begrijpelijke redenen vermeldt dit artikel niet wat de beoogde doelwitten waren, maar het ging om primaire processen, ook bij Financiën. JenV handelde vanuit de gedacht dat wie wil, altijd binnenkomt. Cammeraat: “Dat is een gegeven en dus hebben wij iemand van de externe partij een medewerkersaccount gegeven. We hadden ook kunnen kiezen voor phishing om die gegevens boven tafel te krijgen, want er is altijd iemand die op zo’n e-mail klikt. Die medewerker zou zich super rot voelen als hij of zij degene was die de ‘inbreker’ had binnengelaten.” Financiën koos een andere weg en deelde alleen de doelen. Blonk: “Onze partij deed onderzoek op internet naar wat er over onze organisatie te vinden was en baseerde de aanval daarop. Via social engineering zijn ze een behoorlijk eind gekomen in de organisatie: de aanvallers maakten gebruik van de behulpzaamheid van onze servicedesks.” Niet alle doelen werden gehaald bij Financiën; de ‘inbrekers’ werden meerdere malen gedetecteerd. De afspraak was dat ze daarna verder konden gaan vanaf het punt van detectie. Blonk vertelt dat het rode team de eerste keer, twee jaar geleden, aardig ver was doorgedrongen in de beveiliging. “We kregen toen niet de meldingen die we hadden gewild. In analogie met huisbeveiliging; ons hang- en sluitwerk op deuren en ramen was goed, maar we hadden onvoldoende bewegingssensoren in de kamers geïnstalleerd.” Eenmaal binnen waren afwijkende bewegingen dus niet goed zichtbaar. Dit tweede bezoek van het rode team was om te testen of de sensoren deze keer wel goed afgesteld waren. “We 34 worden steeds beter. We zijn nooit klaar, maar kunnen op een steeds hoger niveau afwijkingen detecteren. We gaan hiermee door en het wordt steeds interessanter.” Rood en blauw is paars In de laatste fase van Red Teaming stellen de blauwe en rode teams rapporten op over hun acties en bevindingen. In sessies genaamd Purple Teaming nemen ze We zijn nog te klantgericht en niet wantrouwend genoeg samen door welke stappen zijn gezet en wat de acties en reacties waren. Op basis daarvan worden verbeteracties gedefinieerd en uitgevoerd. Tot slot volgt een compromise assessment, waarin wordt nagegaan of er nog digitale sporen zijn achtergebleven en om te checken of aanvallers niet al binnen zitten. Cammeraat legt uit dat informatiebeveiliging wereldwijd altijd een sterk preventief karakter had, maar dat dit aan het verschuiven is. “Cybersecurity kent volgens het NIST CSF (National Institute of Standards and Technology Cyber Security Framework) vijf elementen: identificeren, beschermen, detecteren, reageren en herstellen. Omdat we weten dat 100 procent veilig niet bestaat, bewegen we meer van beschermen tegen aanvallen naar het detecteren en het volwassen reageren. Het gaat erom hoelang het duurt voor de aanvaller wordt gezien en hoe
35 Online Touch Home