Fusiegemeenten zijn mooie doelwitten voor hackers

Red teaming is nadrukkelijk geen krachtmeting tussen ethische hackers en een organisatie, maar een manier om de hele organisatie voor te bereiden op een cyberaanval. De rijksoverheid wil vanaf 2025 dit soort oefeningen als standaardtest invoeren. Het Overheidsbreed Cyberprogramma organiseerde daarom een masterclass waarin een cyberaanval op een fictieve gemeente werd geanalyseerd.

Aanval uitbreiden

Wanneer is een redteaming-oefening geslaagd? Het zal in bijna alle gevallen het rode team, de aanvallers, wel lukken om binnen te komen. Dus dat is de opgave niet. Zo’n oefening moet een organisatie leren om te gaan met alle aspecten van zo’n aanval. Het zal bijvoorbeeld betekenen dat het team ethische hackers zich minder richt op binnenkomen (zoals bij een pentest), vertelt de ethische hacker Tijme Gommers tijdens de masterclass. Maar het team zal de boel verkennen, toegang proberen te krijgen en uit te breiden en dan de aanval afronden.

Digitale voetafdruk

De fictieve gemeente voor de oefening was ‘Huiswijkerdam’. ‘Het leuke is dat het een fusiegemeente is’, vindt Tom Wolters, eveneens een ethische hacker. Zo’n fusiegemeente laat een grote digitale voetafdruk achter van allerlei domeinen die voorgaande gemeenten hadden. Die informatie is nog steeds op het internet te vinden en hackers kunnen dat gebruiken om toegang te verkrijgen.

Wit

Behalve het aanvallende rode team en het verdedigende blauwe team is er een wit team. Het witte team bestudeert wat er gebeurt en het rode team kan bijvoorbeeld met het witte team overleggen hoe ver ze mogen gaan tijdens de simulatie. Ted Blonk, Chief Information Security Officer (CISO) van het ministerie van Financiën, diende tijdens de masterclass als het witte team. Hij legt uit dat het kroonjuweel van een gemeente de Basisregistratie Personen (BRP) is, dus dat zullen de hackers in handen willen krijgen.

Log4j

Dat lukt het rode team. Er werd een oud IP-adres gevonden dat nog steeds online is, er werd door de gemeente ergens een simpel wachtwoord gebruikt (zoals bij Hof van Twente), er bleek een Log4j-kwetsbaarheid te zijn (wat nog steeds actueel is) en het rode team kreeg de handen op de BRP. Vanuit de chat komt de vraag of er tijdens zo’n oefening ook weleens leveranciers worden uitgenodigd. Wolters vertelt dat hij dat zelf niet heeft meegemaakt, maar dat hij zich best kan voorstellen dat organisaties dat zouden doen.

Geen afrekencultuur

‘Eigenlijk moet zo’n simpel wachtwoord niet eens kunnen’, vertelt Blonk tijdens de evaluatie - de techniek zou dat niet toe moeten laten. Verder is het volgens de CISO dat er geen afrekencultuur is bij organisaties, maar een leercultuur waar mensen elkaar erop aan kunnen spreken dat er dingen anders moeten. Voor zo’n oefeningen moeten goede afspraken worden gemaakt – het rode team moet niet met de angst werken dat ze verantwoordelijk worden gehouden voor onbedoelde schade. En na afloop moet er worden gerapporteerd aan de top – aan de mensen die verantwoordelijk zijn.