Vergroot je cyberveiligheid met red teaming



Yosta Dammen
Communitymanager bij CIP

Hoe goed is jouw organisatie bestand tegen een digitale aanval? Naast het inzetten van ethische hackers en een penetratietest is ook red teaming een efficiënte manier om de cyberveiligheid te vergroten. Om overheidsorganisaties te stimuleren deze oefening uit te voeren, heeft het Centrum Informatiebeveiliging en Privacybescherming (CIP) in opdracht van het ministerie van BZK samen met overheidsprofessionals en Northwave security de handreiking ‘Red teaming in de praktijk’ ontwikkeld. De handreiking is één van de producten rondom de Overheidsbrede Cyberoefening. Yosta Dammen is communitymanager bij CIP en één van de ontwikkelaars.

Handreiking

Yosta Dammen: “Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) heeft het CIP opdracht gegeven een handreiking over red teaming te ontwikkelen. In deze zogenoemde whitepaper worden alle facetten rondom een red-teamoefening uitgelegd. Het geeft antwoord op vragen als: wat is het, hoe gaat het in zijn werk, aan welke kosten moet je denken, wat is een goed aanvalsscenario en welke juridische afspraken moeten er worden gemaakt? Met deze handreiking inclusief voorbeelden uit de praktijk, hopen we organisaties te stimuleren om zelf met red-teamoefeningen aan de slag te gaan. En zo uiteindelijk hun cyberveiligheid te vergroten.”

Digitale weerbaarheid in kaart

Wat is red teaming precies? Dammen: “Je moet het zien als oefenen met een realistisch aanvalsscenario. Met een aanvalssimulatie wordt aangetoond of je beveiliging up-to-date is. Je digitale weerbaarheid wordt goed in kaart gebracht en kwetsbaarheden worden blootgelegd. En ja, er worden vrijwel altijd zwakke plekken gevonden. Daarnaast zorgt red teaming voor een stukje ervaring in een crisissituatie, zorgt het voor awareness bij je medewerkers en stimuleert het om na te denken over je eigen cyberveiligheid.”

Drempels

De CIP medewerker adviseert om regelmatig, elke drie tot vijf jaar, een red-teamoefening op te zetten. Toch merkt Dammen soms weerstand: “Het kostenplaatje kan een drempel zijn om een red-teamoefening op te zetten. Als er kwetsbaarheden worden gevonden kan het geld kosten om die te repareren. Maar bedenk wel dat een ransomware-aanval of hack nog veel duurder kan uitvallen. Daarnaast kost een oefening tijd, want een groot deel van de organisatie wordt bij de oefening betrokken. Niet alleen de ICT-afdeling, ook bestuurders en medewerkers doen mee. In mijn ogen wegen deze nadelen echter niet op tegen de enorme voordelen. Cybercriminaliteit gaat nooit meer weg. Testen, toetsen en oefenen zijn mogelijkheden om je hier tegen te beschermen.”

Succes

De handreiking is gelanceerd tijdens het cyberwebinar van CIP over red-teaming op 5 oktober. Dat hier behoefte aan is bleek al tijdens de voorbereiding laat Dammen weten: “Eén provincie die van de komst van handreiking hoorde heeft het als aanleiding gezien om met al hun gemeenten een red-teamactie op te zetten. Wij blijven met ze in contact om te kijken of de handreiking toereikend en goed werkbaar is. Om zo veel mogelijk organisaties te bereiken met de handreiking wordt deze breed gepubliceerd. Laten we de kennis met zo veel mogelijk mensen delen. Red teaming is een effectief middel om te zorgen dat je als organisatie digitaal weerbaar blijft.”

Veilige digitale toekomst

Dit initiatief van het ministerie van BZK ziet Dammen als een goede ontwikkeling. Naast red teaming zouden onderstaande punten volgens haar hoog op de digitale veiligheidsagenda moeten staan.

  1. De risico’s die cyberdreigingen meenemen voor de organisatie zouden veel nadrukkelijker onderwerp op de bestuurs-/directietafel moeten zijn. Informatieveiligheid is chefsache.
  2. We hebben meer ICT-specialisten in Nederland nodig. Er zijn nu kwetsbaarheden omdat men onvoldoende goede mensen in dienst kan nemen om deze op te lossen.
  3. De dreiging van ransomware neemt toe en daarom zou er meer voorlichting rondom dit onderwerp moeten komen. Leg iedereen uit wat ransomware is, wat je kunt doen om het te voorkomen, en hoe je de schade beperkt in het geval het toch een keer fout gaat.
  4. Het onderwerp digitale veiligheid moet nog veel meer aandacht krijgen bij de niet ICT-specialisten. Een groot deel van de incidenten komt door onoplettendheid van een medewerker. Iedereen in een organisatie zou een bepaalde minimale kennis moeten hebben om de juiste afwegingen te kunnen maken. In die digitale bewustwording kunnen nog grote stappen worden gezet.