Erno Doorenspleet legt je het vuur na aan de schenen. Hij is securityadviseur X-Force Command van IBM, en leidt een cyberaanval op een fictieve bank. Het groepje journalisten probeert hakkelend een uitweg te vinden. De wijze les: maak nu een draaiboek, repareer het dak als het droog is.
We zitten in een glanzend nieuwe truck. De zijwanden zijn opzijgeschoven, zodat er een ruim trainingslokaal ontstaat. Recht voor ons een groot scherm met een beeld van Amsterdam erop. Aan de zijwanden vooraan rechts een scherm waarop een grafiek aangeeft hoe het met de aandelenkoers van de ‘bank’ is gesteld, linksvoor een white board. Op de bureaubladen telefoons. Nederlandse journalisten zijn uitgenodigd om te ervaren hoe het is wanneer een bedrijf doelwit is van digitale boeven.
De Deense Aleksandra Kroon, veiligheidsexpert bij IBM Duitsland, vergelijkt het met een vliegsimulator voor piloten in spe. Zij leidt de groep door het ‘spel’, samen met Doorenspleet. Zoals het tweetal dat ook doet bij zijn Europese klanten.
Gehackt
Terwijl Kroon nog aan het vertellen is over hoe zij met groepen te werk gaan, rinkelt de telefoon voor me. Een Engels sprekende journalist uit Italië aan de lijn. Hij vraagt mij een reactie op het feit dat onze bank is gehackt. Weet niet goed wat te zeggen, weet niet eens dat het bedrijf slachtoffer is. Dat zeg ik hem ook, en op dat moment verschijnt op het grote scherm voor ons een krantenartikel dat meldt dat ‘onze’ bank doelwit is van een cyberaanval. Vertel de journalist nu dat het inderdaad klopt en dat mijn collega’s uiteraard druk doende zijn de aanval te pareren. De reporter houdt een spiegel voor: ‘Eerst zegt u niet te weten dat er een inbraak is en nu weet u het wel. Wat gaan jullie doen?’ Ik noteer zijn naam en telefoonnummer en zeg hem dat ik terugbel zodra wij weten wat er aan de hand is en hoe we dit gaan oplossen.
Maersk
Doorenspleet en Kroon leggen de ‘war game’ even stil om in te gaan op de manier hoe Maersk een cyberaanval op 27 juni 2017 doorleefde. Een attaque die de grootste scheepscontainervervoerder ter wereld zo’n driehonderd miljoen euro heeft gekost.
Jim Hageman Snabe, bestuursvoorzitter van A.P. Møller Maersk, vertelde erover tijdens het World Economic Forum 2017 in Davos (terug te kijken op Youtube). Hoe hij die ochtend om vier uur wakker werd gebeld met de mededeling dat het bedrijf was geraakt door het Not-Petyua-virus. Een belangrijke les die hij had geleerd: wees transparant, vertel iedereen (vooral klanten en partners) openlijk wat er aan de hand is.
En vertrouw op de medewerkers. Geef ze ruimte en middelen om datgene te doen wat nodig is. Maar wel met een algemene richtlijn. Dit is het zogenaamde Commanders Intent, een term uit de krijgsmacht. Daar weten ze dat een operatie niet tevoren minutieus is te plannen; er zijn altijd onvoorziene omstandigheden. Dus geeft de aanvoerder in algemene zin weer wat de bedoeling is: Het Commanders Intent. Al vergeten de troepen al het andere, al gaat alles totaal anders dan verwacht, het Commanders Intent is de ultieme richtlijn dat aangeeft hoe je moet handelen.
In het geval van Maersk: ‘Do what you think is right to serve the customer. Don’t wait for the HQ, we’ll accept the cost.’ Zorg dat je als organisatie zo’n algemene richtlijn hebt, aldus het IBM-tweetal.
Prioriteiten stellen
Ze zijn nog niet uitgepraat of bij elke deelnemer begint wel een telefoon te rinkelen. Ik krijg iemand aan de lijn die zegt dat de lift in het hoofdkantoor het niet meer doet en dat er mensen opgesloten zijn. Voor enkele bitcoins kan hij het probleem verhelpen. Een ander krijgt de melding dat de geldautomaten een vervelende boodschap melden en dat ze niet werken. De ellende stapelt zich op.
Iedereen praat door elkaar. Doorenspleet grijpt in. ‘Je moet iemand aanstellen als coördinator. In de praktijk, bij eerdere trainingen met organisaties, blijkt dat de meesten pas een regisseur benoemen op het moment dat zich problemen voordoen. Om te voorkomen dat je hier te veel tijd aan kwijt bent. Meestal wil niemand die rol vervullen. Maar we hebben ook wel meegemaakt dat twee mensen erom gaan ruziën om die leidende taak op zich te nemen. Daar speelt bedrijfspolitiek in mee.’
Onze regisseur loopt naar het white board en schrijft op wat de meldingen zijn. De grote vraag is welke acties daarbij horen. Allereerst precies in kaart brengen wat er allemaal gebeurt. Vervolgens proberen te achterhalen wie deze aanval op zijn geweten heeft. Dat kan bijvoorbeeld een ontevreden (ex-)werknemer zijn. Vandaar dat ook iemand van hr bij het responseteam hoort.
Je kunt niet alles tegelijk doen. Het is volgens Doorenspleet noodzakelijk prioriteiten te stellen. Een gekakel barst los. ‘Het belangrijkste is altijd de menselijke factor’, doceert hij. ‘Die mensen moeten zo snel mogelijk uit de lift worden gehaald. Dat is prioriteit nummer één. Je wilt niet op sociale media lezen dat de bank eerst die vervelende mededeling van de geldautomaten heeft verwijderd, terwijl mensen onwel worden in de lift.’
De breach heeft gevolgen voor de aandelen van de bank. Zorg ervoor, aldus Doorenspleet, dat geen enkele medewerker nog in eigen aandelen handelt. En zo geven de twee trainers voortdurend tips over hoe en wanneer te handelen.
Draaiboek
De belangrijkste boodschap is dat je een draaiboek moet hebben klaar liggen. Daarbij moet je niet alleen naar de it-afdeling kijken, maar naar de volledige breedte van het bedrijf. Want iedereen krijgt te maken met de gevolgen van een aanval. De marketeer moet bijvoorbeeld beoordelen of advertentie-uitingen op dat moment nog wel passend zijn. Stel ook een reddingsteam samen en train minstens één keer per jaar. Zoals de brandweer en militairen voortdurend trainen, zodat je zonder diep nadenken meteen het gewenste doet.
Bij het verlaten van de vrachtwagen kijkt Kroon me monter aan. ‘Je had dat eerste telefoongesprek goed aangepakt’, zegt ze. Zo voelt het niet, maar je moet mensen natuurlijk niet gedesillusioneerd van een training laten vertrekken. Er is hoop.
Dit artikel verscheen eerder in Computable Magazine nummer 4 2019.
Vrachtwagen
Erno Doorenspleet is verantwoordelijk voor X-Force Europa bij IBM. Hij vertelt dat Big Blue in Boston een ruimte heeft waar trainingen voor cyberaanvallen worden gegeven. Voor Europa met zijn verschillende landen en talen is volgens hem een vrachtwagen handiger. IBM heeft hem speciaal hiervoor laten maken. ‘Er is er maar één in de wereld’, benadrukt hij.
Met de truck gaan ze naar bedrijven om er ter plekken trainingen te verzorgen. Maar hij is ook inzetbaar als mobiele SOC bij grote evenementen bijvoorbeeld. En ten slotte wil hij met het voertuig bij scholen en universiteiten langs om studenten het idee te geven dat security een mooie baan kan zijn.
Scenario’s
Slechts een kwart van de organisaties heeft een plan hoe te handelen bij een cyberaanval. Een training is zo gek nog niet. IBM heeft drie standaardscenario’s uitgewerkt: voor een bank, een ziekenhuis en een vliegtuigmaatschappij. Het aantal scenario’s groeit naar tien. Maar elke soort organisatie heeft baat bij deze ‘war game’.
IBM heeft een team van zeven mensen dat de trainingen verzorgt in zes verschillende Europese landen en in negen talen. Organisaties dienen geld te reserveren voor een training én voor herhalingen.
