Red teaming, het door ethische hackers laten testen van de veiligheid van systemen, wordt standaard bij de rijksoverheid. De ambitie is dit soort testen uiterlijk in 2025 volledig in te bedden in de rijksbrede manier van werken. Dan zullen red-teaming-tests vast zijn opgenomen in de test-planning en begrotingscyclus.
Staatssecretaris Alexandra van Huffelen (Digitalisering) schrijft dit in een brief aan de Tweede Kamer. Ze streeft ernaar om in 2025 ook een normenkader beschikbaar te hebben voor security-testen. Daarbij wordt ook naar ketens gekeken.
Overigens passen diverse onderdelen van overheid thans al red-teaming-testen toe. Van Huffelen noemt als voorbeeld van testen het Tiber-NL programma van De Nederlandsche Bank (DNB).
Tiber staat voor Threat Intelligence Based Ethical Red-teaming. Binnen dit programma testen financiële instellingen hoe weerbaar ze zijn tegen geavanceerde cyberaanvallen. Dit gebeurt met test-aanvallen die zijn gebaseerd op realistische dreiging. Een klein team van DNB coördineert, maar de instellingen zelf voeren de testen uit.
Van Huffelen merkt op dat testen geen doel op zich is. Het gaat om het delen van de geleerde lessen en opvolging geven aan de gevonden kwetsbaarheden en risico’s.
Cio Rijk
De Cio Rijk heeft onderzocht of de resultaten van dit soort testen breder zijn te delen. Dat kan als een vertrouwde omgeving (fysiek, digitaal en sociaal) beschikbaar is. Verder moeten de uitkomsten en bevindingen zo worden geformuleerd dat ze voor andere overheidsdiensten bruikbaar zijn. Informatie over specifieke kwetsbaarheden blijft in principe vertrouwelijk.
Een fictief voorbeeld is een kwetsbaarheid in mailservers. Als deze informatie in verkeerde handen zou komen, zou die gebruikt kunnen worden om daadwerkelijke aanvallen uit te voeren op het mailsysteem van de betrokken organisatie, zolang de verbetermaatregel nog niet is doorgevoerd.
Door het risico van de kwetsbaarheid generiek te formuleren, is dit in een veilige omgeving wel deelbaar. Andere organisaties kunnen checken of dit in hun omgeving ook aan de hand is en een risico vormt. Zij kunnen dan gericht verbeteren zonder ook zelf getest te zijn.
