de securityteams daarop reageren. Bij JenV gaan we een Computer Security Incident Response Team (CSIRT) als permanent instrument inzetten.” Zoals gezegd werkte bij Financiën het alarm goed, nu wordt gewerkt aan de menselijke respons daarop. “We zijn nog te klantgericht en niet wantrouwend genoeg”, zegt Blonk. “Mensen hebben de neiging tot toegeeflijkheid om een ander te helpen, maar we moeten ons echt aan protocollen houden. Ter vergelijking: iedereen die ons gebouw binnenkomt moet zijn identificatie laten zien. Dat staat keihard in de regels en dat gebeurt ook. In de digitale wereld moeten we ook streng zijn bij het verifiëren van identiteiten, zeker als het gaat om dienstverlening rondom toegang. Medewerkers moeten leren om daar strikter in te zijn.” Waarom Red Teaming bij JenV en Financiën? De ministeries van JenV en Financiën wilden beide inzicht krijgen in de mate van weerbaarheid van geselecteerde doelwitten tegen specifieke aanvalsscenario’s, en op basis van de verkregen inzichten adviseren over het verbeteren van de bestaande verdedigingsmaatregelen. JenV wilde ook de waarde beoordelen van Red Teaming en op basis daarvan adviseren over het inrichten van Red Teaming-activiteiten in de toekomst, zodat het ministerie structureel meer inzicht krijgt in zwakke plekken en daarop adequate mitigerende maatregelen kan nemen. Sylvia Cammeraat: “Daarnaast zie ik een belangrijke meerwaarde in de lessen die medewerkers in de informatiebeveiliging leren ten aanzien van de effectiviteit van de verdedigingsmechanismen van JenV tegen de geteste aanvalsscenario’s.” Ted Blonk: “Het periodiek uitvoeren van Red Teamingacties laat zien dat gedane investeringen in informatiebeveiliging concreet bijdragen aan de verbetering van de effectieve bescherming van informatie.” Nummer 41, januari 2022 Ook bij JenV is aandacht voor de verbinding tussen technologie, organisatie en mens. “Wachtwoordenbeleid lijkt eenvoudig, maar dat is het helemaal niet”, weet Cammeraat. “Mensen gebruiken nog steeds woorden die in het woordenboek staan. Het uitroepteken is nog steeds het meest gebruikte teken aan het einde van een wachtwoord. Zomer21! bestaat nog steeds. Doe het niet!” Zijn we veilig? JenV zegt te willen doorgroeien naar een stevig beheer van accounts met hoge beheerrechten door inzet van Privileged Access Management (PAM)-technologie. Het programma Weerbaar JenV beoogt het veiligheidsbewustzijn van de medewerkers te verhogen. Cammeraat: “We zien de medewerker als sterkste schakel. Ook essentieel in het veiliger worden is het opschonen van toegangsrechten.” De uitkomsten van Red Teaming leidden tot meer steun door de top van de organisatie. “Het testen van de feitelijke veiligheid is een extra impuls voor onze beveiligingsambities”, stelt Cammeraat. Net als bij Financiën zijn bij JenV meer middelen beschikbaar gesteld voor maatregelen. Blonk deelt zijn ervaring: “We beseffen dat een hack ons allemaal kan overkomen. Dat de deur op slot zit betekent niet dat we zorgeloos kunnen slapen. We moeten alert blijven op nieuwe dreigingen. Red Teaming is een van de middelen die we als overheid moeten toepassen om verder te verbeteren.” Hij citeert securitygoeroe Bruce Schneier: “Informatiebeveiliging is een proces, geen product. Dat betekent continu investeren in de eerdergenoemde elementen van identificeren, beschermen, detecteren, reageren en herstellen, om voldoende veiligheid te realiseren. De vraag: ‘zijn we veilig?’ kan volgens Schneier alleen worden beantwoord met de tegenvraag ‘veilig van wie en tegen wat?’. Ofwel, we moeten informatiebeveiliging altijd beschouwen in de context van de dreiging, en daar de middelen op afstemmen.” 35
36 Online Touch Home