De coronacrisis voedt de perceptie dat alles om ons heen drastisch verandert. Kijk bijvoorbeeld naar het versnelde tempo waarin de digitalisering toeneemt. Virtueel vergaderen is binnen enkele maanden tijd de standaard geworden – niet tot ieders tevredenheid overigens. ICT/Magazine sprak met drie veteranen op het gebied van cybersecurity. Of alles op hun vakgebied ook verandert, valt te bezien.
De experts
Met bijna 35 jaar ervaring als professioneel hacker is Edwin van Andel de senior in deze expertsessie. Vanaf 2003 is hij zelfstandig ondernemer en momenteel is hij de CEO van Zerocopter. Hij is een veelgevraagd spreker.
Don Eijndhoven is al ruim twintig jaar actief in het cybersecurity vakgebied. In 2008 richtte hij Argent Consulting op van waaruit hij voor diverse bedrijven optreedt als interim CISO. Daarnaast is hij de oprichter van de Dutch Cyber Warfare Community en geeft geregeld lezingen en colleges op conferenties.
Ook Godert-Jan van Manen heeft een schat aan cybersecurity-ervaring. Twintig jaar geleden begonnen bij Defensie als Technisch Security Consultant was hij in 2007 medeoprichter van Northwave. Intelligent Security Operations. Van Manen verleende zijn kennis en expertise aan organisaties als NCSC, NATO, Ziggo, Philips, DICTU en Robeco. Daarnaast wordt van Manen regelmatig gevraagd als spreker op nationale en internationale conferenties.
Op de vraag of de nieuwe fase van de digitale samenleving de urgentie tot cyberweerbaarheid verhoogt, reageren de experts nogal laconiek. “Deze insteek is weliswaar relevant”, meent Godert-Jan van Manen. “Maar,” voegt hij er direct aan toe, “anderzijds zijn cyberdreigingen van alle tijd. Sommige ernstige gaten komen nu misschien sneller naar voren zoals we zagen met Citrix eind vorig jaar en meer recent met Pulse VPN.”
“Dat klopt,” haakt Edwin van Andel in. “Maar het gekke is dat juist nu bedrijven hun budgetten voor security weer gaan inkrimpen.”
“Vanuit businessperspectief is dat wel begrijpelijk”, meent Van Manen. “In crisistijd wil je vooral je bedrijf draaiende houden. Waar je kosten kan besparen, doe je dat. Voor het geld dat ze aan cybersecurity besteden, zien ze in hun optiek zelden iets concreets terug. Dus daar wordt als eerste in gesneden.”
Don Eijndhoven: “Precies! Budget en corona, what else is new? Het is niet dat we helemaal niets hebben geleerd de afgelopen jaren, maar kennelijk is dit mechanisme – het knijpen van het securitybudget tijdens een crisis – erg krachtig.”
Weinig verandering
Veel van wat de heren tien, twintig jaar geleden voorbij zagen komen in hun vakgebied, komen ze ook nu weer tegen. “Alles herhaalt zich”, constateert Van Andel. “We blijven dezelfde fouten maken. Nieuwe bedrijven die rap iets op de markt willen brengen, huren jonge developers in. Die zijn goedkoop, enthousiast en willen dag en nacht voor je werken. Alleen hebben ze nu eenmaal niet de benodigde basiskennis om goede security-by-design toe te passen.” Volgens Eijndhoven verschilt het niveau enorm per werkgever. “Een van mijn klanten heeft hele goede developers in dienst. Ze hebben het wereldwijd werven van talent echt tot kunst verheven. Uiteraard heeft het bedrijf hier ook de middelen voor, maar dan nog gaat het erom dat getrainde professionals vrijwel automatisch securityminded zijn.” Van Manen beaamt dat er weinig is veranderd in hun vakgebied de afgelopen jaren. “Kwetsbaarheden blijven kwetsbaarheden en hoewel er vele variaties zijn, blijven ze ook in zekere zin hetzelfde. Er komt niet ieder jaar een hoos aan nieuwe manieren op om iets te exploiten. Heel veel van die technieken zijn op hoofdlijnen nog steeds hetzelfde.”
Bewustzijn
Wat er wel verandert, zij het heel erg traag, is dat het bewustzijn rondom cybersecurity groeit. Daar helpt een initiatief als de Cyber Security Raad zeker aan mee. Toch staan de drie veteranen hier nu niet direct bij te juichen. Op de vraag of ze moegestreden zijn, reageren ze stellig ontkennend. Eijndhoven geeft toe dat er op bepaalde fronten wel sprake is van een zekere verzuring. “Nog regelmatig verbaas ik mij over het niveau waar we soms nog op bezig zijn. Wat ik met name teleurstellend vind is dat het binnen onze vakgroep wel eens ontbreekt aan wat ik ‘broederschap’ noem. Als iemand iets bijzonders zegt, staan er soms meerdere mensen klaar om dat neer te sabelen.” Van Andel: “Binnen de community gebeuren er ook heel veel goede dingen,” weet hij. “Mensen ondersteunen elkaar wel, alleen treedt er af en toe iemand op de voorgrond die geen goed doet voor het imago van de securityindustrie. Denk bijvoorbeeld aan Rian van Rijbroek die niet voor niets een cybercharlatan wordt genoemd.” (Zie hieronder ‘Het geval Van Rijbroek’.)
Het geval Van Rijbroek
Rian van Rijbroek (1969) zat op 29 januari 2018 als cybersecurity expert bij Nieuwsuur naar aanleiding van DDOS-aanvallen op Nederlandse bankinstellingen en de Belastingdienst. Aanleiding om haar als expert uit te nodigen was het boek dat ze samen met oud-minister en staatssecretaris Willem Vermeend schreef ‘De wereld van Cybersecurity en Cybercrime’. Tijdens deze uitzending verkondigde Van Rijbroek de meest klinkklare onzin. Achteraf werd duidelijk dat deze zelfbenoemde expert haar cv bij elkaar had gefantaseerd. Bovendien zat het boek vol met plagiaat.
Bedrijfsrisico
Van Andel geeft toe dat het voor de buitenwereld misschien lijkt alsof mensen binnen de community vooral bezig zijn elkaar vliegen af te vangen. Volgens hem hangt dat samen met de manier waarop veel mensen de community benaderen. “Wij krijgen dagelijks tientallen mailtjes die neerkomen op de vraag: ‘Leer mij hacken’. Dat is te gemakkelijk. Wij schermen ons het liefst af voor luie sensatiezoekers. Ook staan wij niet graag in de spotlights met wat wij doen. Zoals inmiddels wel bekend is, heb ik ooit met een paar andere leden van de Guild of Grumpy Old Hackers, Donald Trumps Twitteraccount overgenomen. Ook toen werden we van alle kanten belaagd. Mensen die het niet geloofden en zo. We kwamen ermee op TV, al wilden we dat helemaal niet. We deden dat omdat we op die manier nog enige controle hadden op wat er in de kranten geschreven zou worden.” (Zie kader ‘Trump en Twitter.)
Er zal altijd onbegrip blijven voor wat wij doen, vindt Van Manen. “Dat komt ook omdat mensen de materie inhoudelijk niet helemaal begrijpen. Ze denken dat je een goocheltruc doet of zo. Een gemiddeld persoon die mij het bootscreen van Linux ziet openen, denkt al dat ik het Pentagon ben binnengedrongen of zo.”
“Toch lijkt erop alsof wij zelf niet helemaal goed beseffen dat wij daadwerkelijk een beroepsgroep zijn”, vertelt Eijndhoven. “Wij maken vaak deel uit van IT, maar binnen IT zijn we ook een specialisatie. Wij rapporteren meestal aan de CIO, terwijl we eigenlijk aan de CFO zouden moeten rapporteren.”
Deze indeling is vaak ook de reden voor de budgettaire beperkingen. IT moet van hun totale budget alles doen, kabels, computers, licenties, updates, helpdesk en, o ja, we doen ook security. Aangezien cybersecurity een bedrijfsrisico is, hoort het vakgebied eigenlijk helemaal niet bij IT. Aan dit besef ontbreekt het bij verreweg de meeste organisaties. “Op de webwinkel vakdagen worden tweehonderd presentaties gegeven”, vertelt Van Andel. “Alleen mijn verhaal gaat over cybersecurity. En dan zit mijn zaal ook nog maar halfvol.”
Trump en Twitter
Op 27 oktober 2016 kwamen drie Nederlandse hackers tot hun eigen stomme verbazing binnen in het Twitteraccount van Donald Trump. (Eerder was dat al eens in 2013 gebeurd.)
Een in 2012 gestolen LinkedIn databestand was recent publiekelijk beschikbaar gekomen, wat voor hackers uiteraard onweerstaanbaar is. Dat bestand bevatte 120 miljoen gebruikersnamen en hashes van wachtwoorden. Via security researchers kreeg de Guild of Grumpy Old Hackers (GGOH) dit bestand in handen. Zij zouden nooit iets dergelijks kopen, aangezien dat heling is. Ook Trump stond op die lijst en via de wachtwoordhash was al snel het wachtwoord ‘yourefired’ achterhaald. Kennelijk had Trump niet de moeite genomen om zijn wachtwoord na de hack van 2013 te veranderen.
Deze inlogpoging kon worden beschouwd als een cyberaanval op een Amerikaanse presidentskandidaat. Er was geen tijd te verliezen. Als iemand anders nu het Twitteraccount van Donald Trump zou hacken, zouden zij potentieel de schuld in de schoenen geschoven kunnen krijgen. Dus moesten de Nederlandse hackers hun ethische intenties aantonen. Daartoe moesten ze volledig inbreken op het account van Trump, zodat ze konden bewijzen dat ze echt binnen waren geweest én niks hadden gedaan. Dus zochten ze naar het juiste emailadres dat Trump gebruikte voor zijn Twitteraccount en moesten ze via een open proxyserver in New York inloggen. Dat lukte, waarop ze alles binnen Trumps twitteraccount konden veranderen en alles uit zijn naam konden tweeten wat ze maar wilden. Uiteraard deden ze niets. Uit voorzorg maakten ze een gedetailleerd persbericht met daarin alle screenshots en alle loggegevens. Daarna stuurden ze een mailbericht naar Trump met de mededeling dat ze zijn inloggegevens hadden en de suggestie om zijn wachtwoord zo spoedig mogelijk te veranderen. Er kwam geen reactie maar via-via hoorden ze dat hun boodschap was ontvangen. Trump mocht enige tijd niet meer twitteren en daar was hij niet blij mee. Jarenlang hebben de grumpy hackers dit avontuur stil gehouden. Inmiddels is het een mooi voorbeeld van responsible disclosure, het ongevraagd melden van een veiligheidsrisico.
Integrale aanpak
“Toch groeit de community wel en er is veel enthousiasme voor het vak, ook vanuit opleidingen”, biedt Van Manen tegenwicht. “Conventies als BlackHat, DEF CON en BruCON zijn enorm goed bezocht. Voordat corona toesloeg moesten ze tijdens de laatste DEF CON op zoek naar een andere locatie, omdat het hotel in Las Vegas het niet meer kon herbergen. Het blijft alleen de vraag of deze aandacht ook doordringt tot de bestuurslagen. Beslissingen daar worden vooral gedreven vanuit compliancy. Je moet de boel niet gaan over reguleren, maar richtlijnen als de AVG en de NIS Directive zetten cybersecurity zonder meer steviger op de kaart.”
Van Andel: “Dat komt omdat de board dan wel begrijpt dat niet voldoen aan de AVG een bedrijfsrisico is. Security in algemene zin is nu eenmaal veel lastiger uit te leggen.”
“Er wordt ook actief gewerkt aan het verbinden van techneuten met businessmensen”, aldus Van Manen. “Juist die integrale aanpak is zo belangrijk, want je hebt techneuten nodig én de business, maar ook een beheerteam. Het is het hele spectrum, je kan niet alleen dit doen en het andere laten. De board begrijpt de zin van de meest fantastische technische oplossingen alleen als die naar hun taal worden overgebracht, naar bedrijfsrisico’s, potentieel verlies of de impact op de continuïteit.”
“Leiders in de informatiebeveiliging moeten de moeite nemen om de taal te spreken van de mensen die ze dienen”, stelt Eijndhoven. “Want net als IT hoort cybersecurity in dienst te staan van de organisatie. Als je het op macroniveau bekijkt volgt security dezelfde weg als IT. Het gaat tergend langzaam maar het slaat beter aan, het wordt beter begrepen dat er geld verdiend of bespaard kan worden.”
Van Manen: “Het helpt ook dat de tooling toegankelijker wordt. Wie voorheen het netwerkverkeer wilde monitoren op zoek naar afwijkende patronen, had daar een heel team voor nodig. Nu koop je een SOC in een stapel doosjes en ben je al praktisch geautomatiseerd.”
Vertrouwen en een lange adem
Van Andel wijst op wat hij ‘het menselijke probleem’ noemt. “Als je een mooie SOC neerzet met monitoring, dan kijken de meesten daar twee dagen naar voordat ze zich weer op andere dingen gaan focussen.”
Eijndhoven: “Je zal altijd mensen nodig blijven hebben aan het einde van de keten die écht begrijpen waar het over gaat. Anders ben je gewoon kansloos.”
“Security werkt alleen als er vertrouwen is en een lange adem”, vindt Van Andel. “Het opbouwen van vertrouwen is een langdurig proces. Ik doe geen enkele sale zonder dat een bedrijf of een persoon mij volledig vertrouwt. Wij hebben eens een belteam met een script neergezet voor onze sales. Nadat ze ik weet niet hoeveel mensen hadden gebeld, was het resultaat: de helft heeft geen enkele interesse, want ‘die worden nooit gehackt’. 30 procent kende ons maar had geen budget. En de overige 20 procent kende mij wel en beloofde te bellen als er wat was. Het werkt gewoon niet zo. Alleen op basis van vertrouwen kun je ergens op een zinvolle manier aan de slag gaan. Dat verloopt via vele schijven zodat wij vaak na driekwart jaar praten een handtekening hebben en kunnen beginnen.”
“Als security specialist is persoonlijke integriteit zo ongelooflijk belangrijk”, voegt Eijndhoven hieraan toe. “We zitten op uitzonderlijke posities en hebben toegang tot informatie die bijvoorbeeld alleen voor HR, vertrouwenspersonen of de board zijn bestemd. Onze toegevoegde waarde valt of staat met onze reputatie en dat kan door rotte appels zoals een Rian van Rijbroek flink worden verpest.”
Van Manen: “In die zin zijn wij eigenlijk nog een hele jonge beroepsgroep. We zijn net begonnen met het vormen van organisaties en belangengroepen, zoals Cyberveilig Nederland of de Dutch Cyber Warfare Community.”
Human capital
De skills van een CISO beperken zich niet tot een rijtje certificeringen. Van Manen vertelt dat je inhoudelijk moet kijken naar waar die jongens en meiden goed in zijn. “Laat ze maar los in een hacklab. Onze nieuwe medewerkers doen een assessment van drie uur. Maar dan weet je wel wat je aan iemand hebt.”
“Zo moet het ook”, vindt Van Andel. “Wij kijken bij nieuwe mensen niet per se naar de skills, maar vooral naar de interesse die ze hebben en hun puzzelgevoel. Certificaten zijn dan minder belangrijk.”
Eijndhoven: “Inderdaad, je moet gek zijn op puzzels en een passie hebben voor het vak. Geef ze bijvoorbeeld bij een sollicitatie gewoon een netwerkschema met als opdracht: zoek maar uit welke fouten erin zitten.”
Helaas begrijpt niet iedere organisatie dat. Van Andel vertelt over iemand die wat had zitten klooien in de app van een bank. “Daarbij had hij de private key eruit gehaald. Daarmee kon hij alles van die bank dat met betalingen te maken had in Nederland onklaar maken. Hij heeft toen responsible disclosure gedaan en zijn acties aan hun techneuten uitgelegd. Daarvoor kreeg hij een bedankje, een Amazonbon van € 25 en een uitnodiging voor een sollicitatiegesprek. Die HR-meneer of -mevrouw had geen idee wat hij had gedaan en nam hem niet aan. Dan denk ik: WTF! Dat speelt gewoon nog. Hij werkt nu voor mij.”
Het gesprek komt terug op corona en de commotie rondom de videoapp Zoom. Over de perceptie dat Zoom onveilig zou zijn, wil Van Andel nog wel wat zeggen. “Je moet niet kijken naar hoe veilig een bedrijf is op een bepaald moment, je moet kijken naar hoe ze omgaan met de bugs die ze krijgen. Zoom heeft er een volledig nieuw team opgezet, die allerlei bugs hebben gefixt. Je kan hun CVE’s (red: Common Vulnerabilities and Exposures) lezen als je geïnteresseerd bent. Hoe sneller een bedrijf de boel fixt en hoe opener zijn ze over wat ze doen, hoe volwassener ze zijn. Geen enkele product is 100 procent veilig, en bovendien is alles te hacken.”
