Een ‘hack à la carte’: DNB breidt cyberbeveiligingsproject uit

Geen zorgen, DNB doet geen dingen die niet mogen. Grote financiële instellingen zoals banken, vermogensbeheerders en pensioenuitvoerders, worden door DNB aangemoedigd om zich periodiek aan te laten aanvallen door zogeheten ‘ethische hackers’, bureaus die – binnen specifieke regels – aanvallen van cybercriminelen minutieus naspelen.

Dit is bedoeld om eventuele gaten in de digitale verdedigingsmuren te vinden en vervolgens te dichten. DNB bewaakt dat dit ‘gesimuleerde hacken’ veilig en volgens de regels van het TIBER-programma gebeurt. TIBER is de Engelse afkorting voor het ethische hackprogramma op basis van realistische dreigingsinformatie van DNB.

TIBER is vrijwillig, maar deelname niet voor iedereen weggelegd. Instellingen komen in aanmerking als ze onmisbaar zijn voor de stabiliteit en het functioneren van de Nederlandse economie. Denk daarbij aan grote banken en verzekeraars zoals ING en NN of een pensioenuitvoerder van het formaat APG. In Nederland gaat het om een kring van ongeveer 30 namen. Als één van dit soort instellingen wankelt door een cyberaanval, kan dat de economie in korte tijd volledig ontwrichten.

Hack à la carte

Voor kleinere instellingen kan het interessant zijn om hun cyberweerbaarheid met behulp van dit soort ethische hacks te laten testen. Ook zij kunnen doelwit worden van een cyberaanval en ook zij willen weten hoe ze zich daar effectief tegen kunnen wapenen. TIBER is voor de meeste echter een brug te ver omdat ze de middelen noch de mankracht paraat hebben om het hele simulatieprogramma, dat tot twaalf maanden kan duren, te doorlopen.

Vanaf 10 april komt daar verandering in. ‘Vanaf dan kunnen ook de kleinere instellingen die iets minder cruciaal zijn zich aanmelden voor een vergelijkbare hacksimulatie', zegt Rogier Besemer, hoofd Cyber Resilience en Crisismanagement bij DNB. Op 10 april gaat namelijk het zogeheten ART-programma van start. Dat staat voor Advanced Red Teaming, oftewel: ethisch hacken voor gevorderden. Red Teaming is hackerjargon voor het eerdergenoemde simuleren van cyberaanvallen.

ART laat deelnemers een deel van het proces doorlopen waar de grotere instellingen helemaal doorheen moeten. Besemer maakt de vergelijking met een menukaart. ‘Met TIBER moet je het volledige zesgangendiner uitzitten, van het voorgerecht tot het zoetje achteraf. Kleinere banken, verzekeraars en pensioenfondsen kunnen vanaf nu juist één of twee gangen uitkiezen en het daarbij laten. Een hack à la carte, zeg maar.’ Dat kan voor de instelling wel een opmaat zijn naar TIBER.

Daarmee wil Besemer beslist niet zeggen dat ART, dat minimaal acht weken duurt, een peulenschilletje is. ‘Het blijft best eng voor een instelling om mee te doen. Wij gaan met onze cyberaanval net zo ver als een hacker met Russische of Noord-Koreaanse staatssteun zou gaan. Het verschil is dat wij stoppen voordat de cruciale systemen op zwart gaan. We trappen de deur in, maar gaan vervolgens niet naar binnen. De betaal-app die de klanten gebruiken blijft ondertussen werken.’

De ethische hackers baseren hun methodes op de technieken die criminelen in de echte wereld gebruiken. Dat maakt de aanvallen levensecht. ‘Wat het extra spannend maakt, is dat binnen de instelling hooguit vijf mensen op de hoogte zijn van het feit dat er een aanval aankomt.’

Afgezien van het hoofd cyberbeveiliging (‘CISO’ in jargon), een handjevol medewerkers en het topbestuur is niemand vooraf ingelicht. Zo kan ‘natuurgetrouw’ getest worden hoe de medewerkers op een aanval reageren.

Interessante vacature

Die blijken regelmatig een zwakke schakel. Medewerkers worden door criminelen, of tijdens de simulatie door de ethische hackers, benaderd met e-mails, vacatures en telefoonberichtjes waarvan het lijkt alsof ze van een officiële instantie komen maar die in werkelijkheid een valstrik zijn. Phishing, in jargon.

‘Klik hier om een goedbetaalde topbaan te bekijken die precies bij jouw werkervaring past’, noemt Besemer als voorbeeld. ‘Als iets te goed klinkt om waar te zijn, is het dat vaak ook, maar mensen klikken er uit nieuwsgierigheid vaak toch op.’ En wie op een verkeerde link klikt, kan zijn laptop opdracht geven om spionagesoftware te installeren. ‘Dat zulke zwaktes naar boven komen tijdens een simulatie is precies de bedoeling, want het toont aan waar de lekken zitten’, herhaalt Besemer.

Ondanks de soms confronterende uitkomsten, zijn de meeste mensen die tot nu toe betrokken zijn geweest bij ART-simulaties lovend. Besemer: ‘We hebben het programma de afgelopen maanden getest bij een aantal instellingen. Een medewerker stuurde me achteraf een appje waarin hij schreef hoe blij hij was met hoe het gegaan was en dat ze een aantal zwakke plekken uit de beveiliging konden halen die ze anders misschien wel nooit hadden ontdekt.’

Het ART-project krijgt op 10 april ook een vervolg buiten de financiële sector. Zowel de Rijksoverheid als de zorg gaan hun digitale beveiliging laten controleren middels deze manier van ethisch hacken.