Tijdens een ontspannen diner bijgepraat worden over recente ontwikkelingen rond ict-beveiliging. Met daarbij tips en trucs. Dat stond de organisatoren Ultimum, Denit, Guardian 360 en Vest voor ogen. Zij nodigden klanten en relaties uit, de debatteerders Chris van 't Hof en Mary-Jo de Leeuw plus discussieleider én tegenwoordig cybercrimebestrijder Peter R. de Vries. Meest opvallende adviezen: zorg voor een crisismanagementteam (cmt) en oefen eens een cybercrisis.
‘Door hier aanwezig te zijn, verschaft u zichzelf een alibi’, zegt misdaadonderzoeker én gespreksleider Peter R. de Vries monter tegen de gasten van het Cybersecurity-diner, met als titel: ‘Gevaren loeren niet alleen. Uw it-security op de korrel’. De gespreksleider vervolgt: ‘Vanavond bent u ooggetuige van de tips en trucs die worden gedeeld over cybercrime.’
Plaats delict: het Yanmar-stadion, thuisbasis van voetbalclub Almere City FC. Én een thuiswedstrijd voor De Vries. De misdaadspecialist heeft met zijn zoon een sportadviesbureau dat onder meer aan Almere City FC verhuurd jong talent van Feyenoord begeleidt. ‘Ons bureau is een sponsor van deze club.’ Maar De Vries is vooral als spreekstalmeester aangetrokken omdat hij de laatste paar jaar zijn vizier heeft gericht op de ‘crime-de-la-crime’ van internetcriminaliteit.
Laagdrempelig
De avond is georganiseerd door it-beheerder Ultimum, hostingaanbieder Denit en de it-beveiligers Guardian 360 en Vest. Zij willen hun klanten en relaties op een andere, laagdrempelige en aansprekende manier informeren over zaken rond ict-beveiliging. In de business lounge van de Jupiler League-club worden de aanwezigen tijdens het diner aan de hand van stellingen bijgepraat over een aantal recente ontwikkelingen in de it-beveiligingswereld.
De vier organisatoren hebben daarvoor twee debatteerders aangetrokken: internetsocioloog en techpublicist Chris van ’t Hof en cybersecurity-adviseur Mary-Jo de Leeuw. De genodigden vallen met hun neus in de boter; het diner vindt plaats op 21 maart, de dag van de gemeenteraadverkiezingen én het referendum over de sleepwet (Wiv: Wet op de inlichtingen- en veiligheidsdiensten).
‘Wie is eigenlijk voor en wie is tegen?’, wil De Vries gelijk middels handopsteking weten. Een meerderheid van de disgenoten lijkt voor. Een tegenstander laat zich horen, vindt de bewaartermijn (drie jaar) van de gegevens te lang en noemt de overheid ‘niet te vertrouwen’. Voorstanders wijzen op de ingebouwde controlemechanismes en de klachtenmodule die stukken beter zijn dan bij de huidige aftapwet. Chris van ’t Hof constateert dat het referendum in ieder geval voor een brede publieke discussie heeft gezorgd. Dat is in zijn ogen al winst als het gaat om het bewust maken van mensen voor privacy- en it-beveiligingsrisico’s.
WhatsUp
Discussieleider De Vries haakt hier op in door cijfers van het ministerie van Justitie aan te halen: op jaarbasis grijpen er 2,4 tot 2,6 miljoen cybercrime-delicten plaats; de schade, inclusief de kosten om het te voorkomen worden geschat op tien miljard euro. De Vries: ‘Dat is vergelijkbaar met de begroting van het ministerie van Defensie.
Hij kaart de onwetendheid aan die bij consumenten en bedrijven, maar ook bij opsporingsdiensten bestaat over cybercrime. ‘Wij kregen voor ons tv-programma duizenden meldingen van consumenten binnen; een verontrustend beeld waarbij de slachtoffers ook nog eens door de politie worden afgepoeierd. Er was bijvoorbeeld een slachtoffer, van wie naaktfoto’s via Whatsapp waren verspreid, die aangifte deed bij haar politiekantoor in een klein dorp in Groningen. De dienstdoende agent maakte proces verbaal op en vroeg: ‘Whatsup, wat is dat?’
Crisismanagementteam
De Vries gooit er nog maar eens een vraagstelling tegenaan: Wie bel je bij een groot ict-incident? ‘Bel de directie’, roept een dinerganger’. ‘Logisch’, vindt Van ’t Hof, ‘maar bel liever eerst het hoofd van het cmt – het crisismanagementteam. Mijn ervaring is dat die te laat wordt ingelicht. Omdat it onder het hoofd financiën blijkt te vallen of onder de facilitaire dienst.’
Mary-Jo de Leeuw constateert dat zo’n cmt, door haar aangeduid als de digitale brandweer, dikwijls ontbreekt. Aan tafel steken zo’n tien man hun hand op bij de vraag of er in de eigen organisatie zo’n team bestaat; onder meer een kleinbank, een betaalverwerker en een zbo hebben een cmt.
Van ’t Hof vindt zo’n team, naast dat het de interne acties coördineert, waardevol voor de communicatie met de buitenwereld. In het team heeft iemand bijvoorbeeld de bevoegdheid om externe hulp in te schakelen, zoals een digitaal recherchebureau bij een hack, of de politie tegemoet te treden wanneer die bijvoorbeeld apparatuur vordert. ‘Vaak bestaat het beeld dat ‘it het wel oplost’. Maar dat is meestal niet zo georganiseerd.’
Cybercrisis en rollenspel
Een idee van De Leeuw: ‘oefen een keer een cybercrisis. Laat medewerkers scenario’s bedenken en de it-afdeling daarop reageren. Dat werkt vaak verhelderend over hoe zaken al dan niet worden aangepakt.’ De gast van de kleinbank haakt hier op in met de tip om aan ‘security-visualisation’ te doen. ‘Met gebruikmaking van visualisatietools en gamification is dit voor een it-organisatie een nuttig instrument om aan collega’s te laten zien hoe het zit met de beveiliging in het bedrijf.’
Van ’t Hof vult aan: ‘ Schakel eens een ethische hacker in of een pentester. Of doe een rollenspel: een blauw team met ict’ers en een rood team met non-ict’ers die moeten uitleggen waarom een software-update belangrijk is en het wijzigen van wachtwoorden.’
Nog meer tips van De Leeuw: kijk eens op de website Have I been pwnd, om te kijken of je e-mailadres is gehackt. Of op Internet.nl, een website van Platform Internetstandaarden waar je eenvoudig kan testen of je internet up-to-date is. Volgens haar zijn daar ook gratis beveiligingstools te verkrijgen. ‘En gebruik je gezond verstand: vertrouw nooit iemand op zijn blauwe ogen.’
Organisatoren
Ultimum – shirtsponsor van Almere City FC – is een ict-dienstverlener uit Almere.
Denit is een leverancier van cloudoplossingen uit Amsterdam.
Guardian 360 is een netwerkbeveiliger uit Rotterdam.
Vest is een informatiebeveiliger uit Naarden.
Schaamte voor een hack
Op de vraag van De Vries of deelnemers zelf een groot incident hebben meegemaakt, houden de meeste de kaarten op de borst. Een voorbeeld van een phisingmail met een KPN-nepfactuur komt voorbij, alsook een firewall die een leverancier voor zijn klant niet goed had geconfigureerd. Daarop volgende een geslaagde inbraak die echter weinig kwaads uitrichtte omdat de geïnfecteerde server snel kon worden geïsoleerd. ‘Zo’n incident vergroot wel het bewustzijn; dat was de gelukkige keerzijde’, aldus de getroffen invité.
Van ’t Hof maakt daarbij wel de kanttekening dat een grootschalige hack iedereen kan overkomen. Er hoeft maar een zwakke link te zijn, zoals een software-update die nog niet is doorgevoerd, of een zwakke schakel – bijvoorbeeld een medewerker die een besmet usb-stickje die bij de ingang van een kantoor is neergelegd, meeneemt en denkt ‘handig, die stop ik even in mijn pc – én hackers zijn binnen. ‘Die scannen – de goede en de slechte – dag en nacht netwerken af op zoek naar zwakke plekken.
‘Mensen schamen zich nog voor een hack’, vervolgt hij. ‘Langzamerhand zie je echter een omslag en is men minder bang om ervaringen te delen. Een cybersecurity-aanval kan namelijk ook leerzaam zijn. Een fout die veel mensen maken is dat zij denken niet interessant te zijn voor een hacker. Dat is een misvatting: dat bepaalt de aanvaller, vaak vorm je een opstapje om ergens binnen te komen.’
Laksheid uit den boze
Nu de avond vordert en we volgens De Vries al ‘in de tweede helft zitten’ poneert hij nog even de stelling dat informatiebeveiliging te ingewikkeld is. Hijzelf vindt het inderdaad ‘re-te-in-ge-wikkeld’. Van ’t Hof erkent dat en stelt vast dat niemand een goed overzicht heeft van het speelveld, terwijl hackers steeds gespecialiseerder worden.
Toch benadrukt hij dat een directie zijn bedrijf kan wapenen door onder andere een ciso (chief information security officer) aan te stellen. ‘En door als leiding van het bedrijf te laten zien dat je bewust bent van het belang van goede ict-beveiliging. Bewustzijn hangt grotendeels af van ’the tone at the top’. Als bazen laks omgaan met databeveiling en privacy, doen medewerkers dat ook. Een directeur die niet zo’n houding heeft, mag eigenlijk niet meer aan de top zitten. Daar is iedereen het nu wel over eens.’
Gastsprekers
Peter R. de Vries legt zich als misdaadbestrijder en -publicist de laatste tijd toe op de aanpak van cybercrime. Eerst via het tv-programma ‘Internetpesters aangepakt’, waarin hij met zijn team twee jaar lang online uitwassen bestreed.
Als uitvloeisel hiervan startte hij in 2016 een burgerparticipatie-initiatief waarmee hij genoeg handtekeningen ophaalde om een aanpassing van de privacywetgeving op de agenda van de Tweede Kamer te kunnen zetten. Doel: zorgen dat internetaanbieders en sociale media, zoals Facebook, zich niet meer op privacyregels kunnen beroepen en gegevens moeten overhandigen zodat daders van cyberpesten makkelijker opgespoord kunnen worden.
Sinds oktober 2017 is hij medeoprichter van het advocatenkantoor De Vries & Kasem, dat onder meer slachtoffers van cybercrime bij staat.
Chris van ’t Hof heeft zijn eigen bureau Tek Tok, een maandelijks praatprogramma Hack Talk (te zien op YouTube) en diverse publicaties op zijn naam staan, waaronder het meest recente boek ‘Helpende hackers/Helpful Hackers’. Zijn adagium luidt: ‘hoe werken mensen en apparaten met elkaar samen en hoe leg ik ingewikkelde kwesties simpel uit.’
Mary-Jo de Leeuw is ‘associate partner’ en cybersecurity-expert van ict-adviesbureau Revnext. Ook is zij oprichter van het standaardisatieplatform ‘Internet of Toys’, medeoprichter van de stichting Women in Cyber Security en initiatiefnemer van de Cyberwerkplaats. Zij zegt al van kinds af aan gefascineerd te zijn door de wereld van 0-len en 1-nen. In de afgelopen 25 jaar heeft zij naar eigen zeggen vrijwel al het digitale speelgoed uitgeprobeerd, onderzocht, gemanipuleerd en waar mogelijk gehackt.