Rood team tegen cybercrimineel

Onmacht en ongemak tijdens een digitale crisis

Overheden hebben niet altijd door hoe digitaal kwetsbaar ze zijn. En ze vinden het tijdens een crisis moeilijk de situatie in te schatten. Oefenen met red teaming helpt, een simulatie die teruggrijpt naar de Koude Oorlog.

Een waterschap belt in paniek op. Er loopt een tunnel onder water, maar de controlesystemen laten niets zien. Ze bellen een ander waterschap om te vragen hoe het daar is, maar die hebben nergens last van. Is er sprake van een cyberaanval? Er blijkt een kwetsbaarheid in Microsoft Office te zitten die door kwaadwillenden is misbruikt om medewerkers een gecompromitteerd document te sturen. Zo kregen de hackers toegang tot meerdere gemalen. De klok tikt en beslissingen moeten worden genomen. Wat te doen? De deskundigen buigen zich over de penibele situatie van dit fictieve waterschap.

Om hen heen, in het midden van de Jaarbeurs in Utrecht, zitten zeshonderd mensen die soms moeten meebeslissen. Af en toe loopt de spelleider met een microfoon het publiek in. Er is een chat waar mensen ideeën kunnen spuien – soms behoorlijk kritisch. Het is 2019, het eerste jaar dat de overheidsbrede cyberoefening plaatsvindt en de eerste keer dat zo veel overheidspartijen op deze manier met elkaar oefenen.

‘Het eerste jaar maakte heel veel los’, vertelt projectmanager Margot van der Linden van ICTU, dat jaarlijks namens het ministerie van Binnenlandse Zaken (BZK) de overheidsbrede cyberoefening organiseert. ‘De slogan was: wat zou jij doen? Telkens kreeg het publiek die vraag voorgelegd en dan moesten ze kiezen uit verschillende mogelijkheden.’ Komende maandag vindt de derde editie plaats.

Sinds de vorige oefening is alleen maar duidelijker geworden dat overheden kwetsbaar zijn. Neem bijvoorbeeld de ingrijpende hack van Hof van Twente en de kwetsbaarheid van de controlsystemen van overheden, waar Binnenlands Bestuur en AG Connect onderzoek naar deden. Met deze SCADA-systemen besturen overheden bijvoorbeeld verkeerslichten, rioleringen en sluizen, dus zo’n scenario dat een tunnel onder water loopt is zeer relevant. Alle reden om te oefenen. Wat zou de organisatie in petto hebben?

Verrassing

‘Ik kan er niet al te veel over vertellen, want het moet wel een verrassing blijven voor de deelnemers’, vertelt Van der Linden. Er zijn 1.240 aanmeldingen, waarvan een groot deel van gemeenten komt, en dat aantal blijft toenemen. ‘Ook dit jaar proberen we het zo realistisch mogelijk te doen. We hebben een scenario laten ontwikkelen waarin een fictieve overheidsorganisatie wordt getroffen door ransomware en dit jaar ligt de nadruk op business continuity. Er komt veel op je af, dus waar ga je je op richten? Natuurlijk hebben we gekeken naar praktijkvoorbeelden zoals de gemeente Hof van Twente.’

Zoek nou eens uit waar bij medeoverheden behoefte aan is, vroeg BZK eind 2018 aan ICTU. Het bleek dat de bewustwording begon te komen – inmiddels wisten de meesten wel dat openbare wifi niet veilig is en dat sterke wachtwoorden belangrijk zijn (alhoewel ernaar handelen een ander verhaal is). Maar medeoverheden hadden moeite het college te bereiken en er was onzekerheid over wat te doen als het misgaat. Een oefening zou een manier zijn om een complex onderwerp onder de aandacht van het bestuur te brengen. En oefenen is de beste manier om de onmacht en het ongemak van een crisissituatie te ervaren.

Gemeenten die alvast zelf aan de slag willen, kunnen beginnen met red teaming, een simulatie van een realistische digitale aanval. In aanloop naar de cyberoefening publiceerden de partijen achter de oefening een whitepaper hierover. Het is een oefening waarbij het rode team uit de titel de organisatie aanvalt, aan de hand van aanvalscenario’s gebaseerd op actuele dreigingsinformatie. Het blauwe team verdedigt, het witte team coördineert.

‘De term red team vindt zijn oorsprong in de Koude Oorlog’, legt de whitepaper uit. ‘In oorlogssimulaties van het Amerikaanse leger was het red team de groep die de agressor speelde en het blue team de groep die de verdediging op zich nam. De agressor probeerde daarbij buiten de bestaande paden te treden om de verdediging te verrassen.’ Mooi detail: ‘De kleur rood zou zijn gekozen omdat dat de kleur van de vlag van de Sovjet-Unie was. Ook de Sovjet-Unie hield overigens dergelijke oefeningen, waarbij de kleur van de agressor blauw was en de verdediger rood.’

Kill chain

Een red-team-oefening is diepgaander dan bijvoorbeeld een penetratietest, want de oefening is organisatiebreed en behalve de techniek worden ook de beveiligingsprocedures, het gedrag van het personeel, de reactie op de aanval en de herstelfase onder de loep genomen. ‘De opdracht voor het red team kan hierbij bijvoorbeeld zijn om toegang tot de kroonjuwelen van een organisatie te krijgen.’

Eén zwakheid kan tijdens de oefening voldoende zijn, net zoals het voor een hacker voldoende kan zijn om van daaruit verder te werken. Het rode team gebruikt de stappen die een aanvaller ook zou nemen – de zogeheten kill chain. De eerste fase: verkenning, ontwikkeling, hacken en social engineering (mensen manipuleren om infor matie prijs te geven). De tweede fase: binnen het netwerk bewegen. De derde fase: met ransomware de aanval uitvoeren en bedrijfsgeheimen versleutelen.

‘Volgend jaar willen wij in onze regio met red teaming oefenen’, zegt burgemeester Kees van Rooij van Meierijstad. ‘Ik heb begrepen dat het een heel waardevolle oefening is.’ Van Rooij is een van de momenteel zeventien cyberburgemeesters in het land die het digitale overheidsbeleid proberen aan te scherpen. Ze pleiten bijvoorbeeld voor één bewindspersoon en één beleidsdepartement die de landelijke regie voeren op dit gebied.

Een van de andere cyber burgemeesters, Iris Meerts van Wijk bij Duurstede, benadrukte de problematiek in een webinar in aanloop naar de overheidsbrede oefening: het is moeilijk voor een kleine gemeente om een expert te worden op dit gebied, overheidscommunicatie komt altijd te laat en een coördinerende rol van het rijk is onontbeerlijk.

Uitdaging

Van Rooij onderschrijft wat Meerts zegt. ‘Voor elke gemeente is het een uitdaging om het eigen huis op orde te hebben, om geëquipeerd te zijn en de gevolgen te bestrijden. Met het vele thuiswerken is het nog belangrijker om te zorgen voor digitale veiligheid. Daarom pleiten we voor structurele financiering. De zwakste schakel bepaalt de sterkte van de keten.’

Oefenen dan maar. Van Rooij was bij de vorige editie van de overheidsbrede cyberoefening in 2019 en zal ook maandag die van dit jaar volgen. ‘Ik verwacht te horen wat de nieuwe ontwikkelingen zijn, de nieuwe trends. En wat de ervaringen van een aantal sprekers zijn. Als burgemeester kijk ik er dan naar wat men in het eerste uur doet. Ik zie vaak, bijvoorbeeld tijdens oefeningen, dat het een tijd duurt voordat men onderkent dat het een cyberaanval is. Storingen en spam zijn er continu, dus hoe herken je dat het om een cyberaanval gaat? Bij elke oefening haal je zo weer allerlei leerpunten op. Wat mij betreft kan er bij dit onderwerp niet voldoende worden geoefend.’