Fox-Files-2013-1-NL_web

nr 1 maart 2013
India Rigoureus onderzoek
voor staatsveiligheid
for a more secure society

colofon
Redactieadres
fox-it Afdeling Marketing
Postbus 638
2600 AP Delft
+31 (0)15 284 79 99
marketing@fox-it.com
www.fox-it.com
Vormgeving
viervier strategisch ontwerp
Interviews en teksten
Sabel Communicatie
Full Circle Communications
fox-it
Gratis abonnement
Meld je aan op fox-it.com
column
De hypocrisie van ethisch hacken
Het lijkt zo’n mooie gedachte: ‘ethische’ hackers die ons behoeden
voor kwetsbare databases met privacygevoelige gegevens.
Daar kun je toch niet tegen zijn?
Lektober in 2011 openbaarde vele incidenten en toonde aan dat de
gegevensbeveiliging in ons land beter moet. Het was een wake-upcall.
Daarna maakten Robin Hood-verhalen over hacks de stap uit
het tech-nieuws naar de voorpagina’s.
De waardering voor ethische hackers is gelukkig gegroeid. Ze lopen
echter nog hetzelfde risico voor vervolging. Ook al vindt een hacker
zelf dat hij ethisch bezig is, de geraakte bedrijven en de wet zien dit
vaak anders.
Twee zaken haalden onlangs het nieuws. Zowel bij het ‘Groene
Hart Ziekenhuis’ als ‘Diagnostiek voor U’ waren patiëntengegevens
toegankelijk voor hackers, die via media de publiciteit zochten. In
beide gevallen ging het Openbaar Ministerie over tot vervolging. In
eerste instantie leek het de wereld op zijn kop: als iemand hier iets
fout heeft gedaan, dan zijn dat toch de organisaties die onzorgvuldig
met de gegevens van hun cliënten omgaan?
Daar is zeker iets voor te zeggen. Maar bij nadere bestudering
blijken de hackers minder ethisch dan gedacht. In het geval van
het GHZ stapte de hacker direct naar de media in plaats van het
ziekenhuis. Ethische hackers plaatsten op social media veel vraagtekens
bij de tijd tussen ontdekking en melding, de gebruikte middelen
en de hoeveelheid data die was ontvreemd. Bij ‘Diagnostiek
voor U’ brak de hacker – Henk Krol – met een gestolen password in
op een Elektronisch Patientendossier (EPD). Hij zocht vervolgens
in de database naar vrienden en stapte kort na de melding bij de
organisatie naar de media. Belangrijke details voor de vervolging
hoorde ik vanaf de publieke tribune van de rechtbank, niet uit de
anders zo goed geïnformeerde media.
Een mediale schandpaalcultuur tegenover bedrijven die de sjaak
zijn geworden, zonder redelijke discussie over de ethiek van de
hacker, mist het doel. Het is tijd om met z’n allen eens goed in de
spiegel te kijken. En daar hoort naast de ethiek van hackers en
bedrijven ook die van de media bij.
Ronald Prins, directeur fox-it
10
17
25
04
22
actueel
04 India accepteert DataDiode
De Fox DataDiode heeft voldaan aan de strengste
veiligheidseisen in India. Veel Indiase overheidsorganisaties
kunnen nu hun high-security netwerken en vitale
infrastructuren beter beschermen.
praktijk
10 Mobiel digitaal
sporenonderzoek
De politie in Twente heeft een bus met Tracks Inspector,
en kan op een plaats delict direct digitaal sporenonderzoek
doen.
opinie
12 CCO naast de CEO
Topman Ad Scheepbouwer pleit voor een nieuwe
specialist in de directies van grote organisaties:
de Chief Cybersecurity Officer.
praktijk
15 Jong geleerd is oud gedaan
Regelmatig verzorgen Foxers gastcolleges, trainingen en
begeleiden ze stage- en afstudeeropdrachten.
interview
17 Cyberwar
Kolonel Hans Folmer en Ronald Prins in gesprek over de
cyberstrategie van Defensie.
praktijk
22 Rouwverwerking
De emotionele achtbaan van gehackte organisaties heeft
veel parallellen met de vijf fasen van rouwverwerking.
opinie
25 Responsible disclosure
Een hacker staat voor dilemma’s: aan wie en wanneer
meldt hij een lek, en wordt hij vervolgd?
nieuws en trainingen
28 Bits
Kort nieuws en de trainingskalender.

actueel actueel
Rigoureus onderzoek voor
staatsveiligheid
In deze tijd van cybercriminaliteit, spionage en
conflicten kunnen overheden niet voorzichtig
genoeg zijn met de bescherming van hun IT-infra-
structuren. Overheidsinstellingen in India waren
zich bewust van de toegevoegde waarde van de
Fox DataDiode in de beveiliging van high-security
netwerken en de betekenis van een product-
certificering op het hoogste Common Criteria
level. Toch moest de Fox DataDiode in India eerst
een eigen nationale certificering ondergaan.
republic of india - bharatiya ganarajya / government type: federal republic / 28 states and 7 union territories / legal system: common law system based on the english model / chief of state: president pranab mukherjee (since 22 july 2012) / vice
president mohammad hamid ansari (since 11 august 2007) / head of government: prime minister manmohan singh (since 22 may 2004) / bicameral parliament (sansad) consists of the council of states (rajya sabha) and the people’s assembly (lok sabha)
4 | fox files #1 2013 fox files #1 2013 | 5

actueel actueel
De Fox DataDiode is een hardware oplossing voor gebruik
op de grens tussen twee computernetwerken. Het
laat data in slechts één richting passeren. Om vertrouwelijke
gegevens te beschermen stroomt informatie van
een netwerk met een lager veiligheidsniveau door naar
een geheim netwerk met een hoger veiligheidsniveau,
maar niet andersom.
Om vitale infrastructuur te beschermen, zoals energiecentrales
of waterzuiveringsinstallaties, stroomt
informatie vanuit het Industrial Control System (ICS)
naar een extern netwerk, terwijl de faciliteit van buitenaf
digitaal ontoegankelijk blijft. Veel belangrijke overheidsorganisaties
in India zijn geïnteresseerd in het gebruik
van de Fox DataDiode om vertrouwelijke gegevens en
vitale infrastructuren te beschermen. De Fox DataDiode
zou de veiligheid en productiviteit bij het uitwisselen
van gegevens in een high-security omgeving enorm verbeteren
ten opzichte van bidirectionele firewalls en ‘air
gaps’. Maar eerst moest er goedkeuring komen van de
certificeringsinstantie van de Indiase overheid, het directoraat
Standardization Testing and Quality Certification
(STQC).
strenge certificatieprocedure
Certificatie lijkt een relatief eenvoudig proces. De Fox
DataDiode is al internationaal erkend volgens het hoogste
Common Criteria Evaluation Assurance Level dat
certificeerbaar is in India (CC EAL4+). In Europa heeft
de Fox DataDiode al de CC EAL7+-certificering bereikt.
Er zijn nog meer goedkeuringen, zoals voor netwerkverbindingen
tot en met het niveau NATO Secret. En de
hardware wordt al ingezet in veel landen over de hele
wereld. Toch was er een maar. Dr. Dinesh Mhatre, CEO
van fox-it-partner High-Tech Technologies (HTT) in
Mumbai, India, verwoordt het als volgt: ‘De potentiële
opdrachtgevers zijn erg enthousiast over het product,
maar de Indiase regering moet het bewijs hebben dat het
product presteert zoals is gespecificeerd en dat de claims
op papier ook in de praktijk waargemaakt kunnen worden.’
India is immers een van de oprichters van ISO, de internationale
organisatie voor normalisatie, en verantwoordelijk
voor de ontwikkeling van vele ISO-normen.
Valideren en documenteren van producten en processen
voor de uitwisseling van goederen en diensten zijn ingebakken
in de bedrijfscultuur van het land. Aanvullend op
zijn leidende rol in ISO publiceerde het Bureau of Indian
Standards meer dan 18.000 normen voor huishoudelijk
gebruik. Jaarlijks worden meer dan 300 nieuwe Indiase
standaarden en 300 wijzigingen op bestaande standaarden
gepubliceerd.
uitgebreide testen
Vanuit Indiaas perspectief is de Fox DataDiode met zijn
Common Criteria-certificering niet per se veilig totdat
het product is geëvalueerd door het eigen Indiase Common
Criteria Certification Scheme (IC3S). Dit betekende
een review van alle procedures en documentatie die
fox-it meegaf van eerdere testen en certificeringen,
dupliceren van testen in de eigen Common Criteria-testlaboratoria,
en het uitvoeren van aanvullend onderzoek
op de functionaliteit en veiligheid van de Fox DataDiode,
waaronder de evaluatie van de kwetsbaarheid en
hypothetische aanvalscenario’s. Alle testen zoals
gepland en uitgevoerd door de onafhankelijke beoordelaars
moesten worden gedocumenteerd op een detailniveau,
zodat testprocedures en resultaten herhaalbaar
waren en gereproduceerd konden worden.
De Indiase STQC-certificering ging verder. Het proces
omvatte ook een audit bij fox-it als onderdeel van een
productie- en leveranciersketenonderzoek van de Fox
DataDiode. Door de staat gesponsorde spionage kent
immers geen grenzen. Elke kans dat de Fox DataDiode
kan worden geleverd met third-party spyware zou het
product diskwalificeren voor gebruik door de overheid
of vitale infrastructuren. De beoordelaars inspecteerden
de beveiliging van de productieomgeving voor de Fox
DataDiode, productie- en testprocedures, de veiligheid
van het leveringsproces en de integriteit van het product
gedurende zijn hele levenscyclus. De hele STQC-certificering
nam meer dan een jaar in beslag, voordat de Fox
DataDiode op 18 december 2012 werd goedgekeurd
voor gebruik in India.
waardering voor hoge normen
Met hun unieke focus op een veiligere samenleving zijn
Foxers gewend te werken binnen het brede spectrum
van overheid, rechtshandhavers, veiligheids- en inlichtingendiensten.
Met ervaring bij inlichtingendiensten in het
binnen- en buitenland en de NAVO, was de STQC-certificering
verwacht, maar niettemin indrukwekkend.
‘We hebben uit eerste hand de zeer hoge normen ervaren
die India hanteert voor het aantonen van de veiligheid
van IT-producten die bedoeld zijn voor gebruik door
de overheid en in vitale infrastructuurnetwerken’, vertelt
Wouter Teepe, businesslinemanager van de Fox Data-
Diode bij fox-it. ‘De onafhankelijke beoordelaars hebben
diep gegraven om elk aspect van de functionaliteit van
de Fox DataDiode en ons veiligheidsbeleid te valideren,
voordat de certificering werd toegekend. Certificeringen
zijn niet altijd even makkelijk, en deze certificering
was zeker geen uitzondering, maar het hoort bij onze
business. Uiteindelijk geeft het veel voldoening iets
goeds te presteren en het bewijst eens te meer dat de
Fox DataDiode het beste product in zijn soort is voor
het veilig koppelen van high-security netwerken. Het
bewijst ook het vertrouwen dat andere gebruikers hebben
in onze DataDiode en in ons bedrijf. Het feit dat we
de DataDiode over de hele wereld bij de meest kritische
organisaties weten te verkopen, laat zien dat we met ons
team in Delft tot de top van de wereld behoren.’
opgespaarde vraag
Door de STQC-certificering is voor HTT de tijd aangebroken
om de vruchten te plukken van het vele voorwerk
dat is gedaan om de Fox DataDiode te kunnen introduceren
aan potentiële opdrachtgevers in India. Dr. Mhatre
gelooft dat 2013 een druk jaar zal worden om te voldoen
aan de opgespaarde vragen van klanten die hebben
gewacht op de certificering, voordat ze over wilden gaan
tot de aankoop.
de STQC-certificering
nam meer dan een
jaar in beslag
national symbol: bengal tiger / national anthem: “jana-gana-mana” / currency: indian rupees (inr) / gdp: $4.735 trillion (4th in the world); gdp (comparison per sector): agriculture: 17%, industry: 18%, services: 65% / telephones – mobile cellular: 893.862
million (2011) – ranking 2nd in the world / internet users: 61.338 million (2009) – ranking 6th in the world / airports: 352 (2012) / population: 1,220,200,000 (2012 est.) – 2nd largest population worldwide / population below poverty line: 29.8%
6 | fox files #1 2013 fox files #1 2013 | 7

actueel actueel
Tijdens de overleggen die HTT met diverse overheidsorganisaties
voerde, is een breed scala van toepassingen
voor de Fox DataDiode besproken, zoals:
- het automatisch verzenden van e-mails naar een high-security
netwerk en het efficiënter uploaden van bestanden;
- het automatisch distribueren van antivirus-, antispyware-
en software-updates voor geïsoleerde geheime
netwerken, wat het updaten versnelt en het netwerkbeheer
sterk vereenvoudigt;
- het realiseren van realtime-communicatie tussen
afdelingen in een high-security organisatie, waarbij
informatie alleen beschikbaar komt op een need-toknow-basis;
- het veilig centraliseren van datastromen uit logbestanden
en SIEM (Security Information and Event Management),
zodat meerdere netwerken kunnen worden
bewaakt vanuit één locatie;
For protecting secrets
Internet or lower security level
For ICS
SCADA / Proccess Control System
UPSTREAM
NETWORK
UPSTREAM
PROXY SERVER
DATADIODE
- voortzetting van een ‘air gap’-proces met usb-drives,
maar met inzet van de Fox DataDiode tussen de
computer waarop de drives zijn geplaatst en de rest
van het high-security netwerk, zodat het netwerk geen
informatie kan teruglekken naar de usb-drives.
‘Organisaties kunnen de Fox DataDiode gebruiken op
vele innovatieve manieren om de veiligheid en efficientie
te verbeteren van processen en netwerken met
gevoelige informatie en toezichthoudende controles’,
zegt dr. Mhatre. ‘We verwachten dat dit deel van ons
bedrijf flink zal toenemen, nu de STQC-certificering binnen
is.’
Wereldwijd
vertrouwen de meest
kritische organisaties
op de Fox DataDiode
For protecting secrets
Secret network or higher security level
For ICS
corporate network, possibly internet
DOWNSTREAM
PROXY SERVER
DOWNSTREAM
NETWORK
staatsgeheimen geheim houden
High-security netwerken isoleren van
de buitenwereld is moeilijk, omdat deze
netwerken er zijn om gegevens en controleprocessen
te beheren, hoe gevoelig de
informatie ook is. Terwijl netwerken kunnen
worden beveiligd met een range aan
cybersecurity-tools om indringers buiten
te houden – van firewalls tot SIEM (Security
Information and Event Management)
– bestaan er kwetsbaarheden. Firewalls
en toegangsrechten kunnen verkeerd
worden geconfigureerd (menselijke
fouten) of een aanvaller kan een slimme
nieuwe exploit ontwikkelen om de cyberdefences
te ontwijken en op slinkse wijze
met kwade bedoelingen het netwerk
binnendringen. Firewalls en SIEM zijn
reactieve verdedigingsmaatregelen die
altijd zullen achterlopen op de nieuwste
vormen van malware. Zelfs wanneer de
zo werkt de fox datadiode
De Fox DataDiode is een apparaat
waarmee data maar in één richting kan
stromen. Het bevat geen beslislogica,
software of firmware en kan niet verkeerd
worden geconfigureerd. Daardoor zijn
softwarestoringen, malware, sabotage,
online aanvallen of menselijke fouten
uitgesloten. De fysieke eenrichtingsverbinding
transporteert data optisch
met een lichtbron en bijbehorende
fotocel om te waarborgen dat de gegevens
echt maar in één richting kunnen
integriteit van cyberdefence nog volledig
intact is, kunnen de gegevens van een
high-security netwerk tijdens de gegevensoverdracht
naar een lager beveiligingsniveau
lekken.
Beveiligingsexperts kunnen deze
problemen omzeilen met ‘air gap’-technieken
waarbij een high-security netwerk
nooit wordt aangesloten op een ander
netwerk. In plaats daarvan gebeurt de
gegevensoverdracht met draagbare
media zoals usb-drives. Maar ook hier
bestaan kwetsbaarheden. Draagbare
media kunnen verloren gaan of geïnfecteerd
raken met malware. De welbekende
Stuxnet-computerworm verspreidde zich
oorspronkelijk op deze manier. ‘Air gap’technieken
hebben ook gevolgen voor
een tijdige toegang tot de informatie.
De gegevens moeten worden gekopieerd
passeren. Glasvezelkabels minimaliseren
elektromagnetische straling wanneer het
apparaat is aangesloten tussen low- en
high-security servers.
IT-protocollen berusten typisch op tweerichtingsverkeer
en kunnen daardoor niet
door een diode heen werken. Daarom zijn
er proxy servers nodig aan beide zijden
van de Fox DataDiode. In het verzendende,
‘upstream’ netwerk ontvangt een
proxy server alle informatie met reguliere
tweerichtingsverkeerprotocollen. Deze
naar draagbare media en de media
moeten worden gescand op malware,
voordat de informatie kan overgaan naar
een high-security netwerk.
De Fox DataDiode maakt niet alleen
een einde aan deze veiligheidsrisico’s,
maar beschermt ook de realtime-informatieoverdracht.
Het maakt een veilige
verbinding mogelijk tussen high-security
netwerken en netwerken of apparaten
op lagere beveiligingsniveaus, door toe
te staan dat informatie zich maar in één
richting kan verplaatsen. Het voorkomt
ook het lekken van gegevens uit een
high-security netwerk tijdens de gegevensoverdracht.
informatie wordt met een eenrichtingsprotocol
door de Fox DataDiode
gestuurd. Aan de ontvangende, ‘downstream’
zijde staat een proxy server die
het eenrichtingsprotocol weer omzet in
reguliere protocollen die berusten op
tweerichtingsverkeer. Elke proxy heeft
een eenvoudig te gebruiken webinterface
waarmee geautoriseerde gebruikers kunnen
configureren welke informatie mag
worden overgebracht. Een overdracht kan
onder meer bestanden, streaming video
of inkomende e-mail bevatten.
median age: 26.5 years / 0-14 years: 31.1%; 15-64 years: 63.6%; 65-over: 5.3% / urban population: 30% of total population / total area: 3,287,263 sq km – the world’s 7th largest nation / land: 2,973,193 sq km / water: 314,070 sq km / land boundaries:
total: 14,103 km / coastline: 7,000 km / electricity production: 880 billion kwh (2010 est.) – 7th in the world / electricity (installed generating capacity): 189.3 million kw (2009 est.) – 6th in the world / electricity from nuclear fuels: 2.2%
Bron: CIA World Factbook
8 | fox files #1 2013 fox files #1 2013 | 9

praktijk praktijk
Politie Oost-Nederland zet speciale bus in
Digitaal
forensisch
onderzoek
op de
plaats delict
Het is als een scene in een politiefilm: bij een
plaats delict staat een bus geparkeerd waarin
de politie forensisch digitaal onderzoek doet.
In Twente is dit geen fictie maar realiteit.
Op initiatief van een aantal digitaal rechercheurs
rijdt daar sinds februari 2012 het zogeheten
Specialistisch RechercheVoertuig (SRV) rond.
Tekst Nina van der Knaap en Brendan van der Maarel, fox-it
vpn site-to-site
internet connectiviteit in geheel europa
De politie in Enschede had behoefte aan snel en goed onderzoek
op locatie en een middel dat dergelijk onderzoek faciliteerde. Al in
2010 onderzocht de digitale recherche van de politie Oost-Nederland
district Twente voorbeelden van mobiele digitale oplossingen.
Digitaal rechercheurs namen een kijkje bij de politie van Miami-
Dade. De ideeën die zij daar opdeden op technisch gebied namen
zij mee in de ontwikkeling van het SRV, het Specialistisch RechercheVoertuig.
Een mobiele oplossing als het SRV biedt uitkomst, omdat de digitale
rechercheurs niet met de digitale gegevensdragers naar het lab
hoeven te rijden. Ze kunnen nu direct op de plaats delict forensisch
digitaal onderzoek doen. Daarbij is triage (het door analyse prioriteren
van de belangrijkste stukken) mogelijk waardoor de digitale
rechercheurs niet snel te veel bewijsmateriaal meenemen. Voordeel
van het SRV is dat de digitale recherche in een grote regio als
Oost-Nederland veel tijd kan besparen door op locatie te werken.
soorten onderzoek
Het voertuig voldoet aan een aantal belangrijke vereisten: het is
niet te groot, is met een rijbewijs B te besturen en is onder meer
voorzien van stroomvoorziening en internetverbinding. In het SRV
ondersteunen forensisch digitaal rechercheurs het tactisch onderzoeksteam
met digitaal onderzoek, bijvoorbeeld met onderzoek
naar gegevensdragers, internetgebruik, social media etc. Dus al het
onderzoek waarbij digitaal sporenmateriaal aanwezig is, kunnen zij
in deze bus uitvoeren. De tactisch rechercheur bepaalt wanneer dat
nodig is. In de afgelopen twaalf maanden is het SRV wekelijks ingezet
bij veel verschillende zaken, van moord tot verkeerscontroles en
van milieudelicten tot vermissingen.
perfect samenspel
De politie zet het SRV dus al regelmatig in en de digitale rechercheurs
blijven de mogelijkheden verder uitbreiden en verbeteren.
Zo kan het voertuig ook ingezet worden als deel van een incidentresponseteam.
Digitaal experts in het lab staan dan via een
internetverbinding in contact met het incident-responseteam op de
plaats delict en onderzoeken op afstand de data.
Een van de voordelen aan de speciale politiebus is dat de tactisch
rechercheurs zien wat de toegevoegde waarde is van hun digitale
collega’s. Dankzij kortere communicatielijnen kunnen ze efficiënter
samenwerken. Andersom is het ook voor de digitale experts prettig
om direct met de tactische collega’s te kunnen schakelen. Een
perfect samenspel dus.
mogelijkheid to opzetten eigen wifi
10 | fox files #1 2013 fox files #1 2013 | 11
12tb storage
onsite-lab
live stream video camera
Het RechercheVoertuig
wordt wekelijks ingezet,
van moord tot milieudelicten
samenwerking met tracks inspector
In het Specialistisch RechercheVoertuig (SRV) is ook
Tracks Inspector van fox-it ingebouwd, software waarmee
tactisch rechercheurs relatief eenvoudig digitaal bewijsmateriaal
kunnen uitlezen. De tactisch rechercheur heeft
met Tracks Inspector direct toegang tot de digitale informatie
en kan relevante bevindingen meteen toepassen
in het onderzoek op de plaats delict. Samenwerking met
het SRV in Twente bleek dan ook een goede combinatie.
Tracks Inspector is gebruiksvriendelijk, intuïtief en draait
in een webbrowser. Dit is precies wat de tactisch rechercheur
nodig heeft om eenvoudig zelf digitaal onderzoek te
kunnen doen.

opinie opinie
Vacant: de functie van CCO
Ad Scheepbouwer versterkt sinds oktober Fox-IT als directielid en aandeelhouder. Ronald Prins geopperde mogelijkheid voor
inkoopbeleid
gecoördineerd en impulsief inkoopgedrag sing die iedereen verreweg als de beste
Met zijn ervaring in de bestuurskamers van grote beursgenoteerde ondernemingen een ‘digitale brandweer’ aan de orde geko-
Een beleidsterrein dat al evenmin aan zijn wordt IT-security een gatenkaas. Daarom is beschouwt, zonder de veiligheid uit het oog
weet hij als geen ander hoe daar de hazen lopen. Het is tijd dat in de boardrooms
men. Minister Opstelten laat echter geen
aandacht mag ontsnappen, is het inkoop- het aan de CCO om al deze belanghebben- te verliezen.
sluwe vossen komen, met oog en hart voor cybersecurity, bepleit hij. Waar zijn die
Chief Cybersecurity Officers?
Vroeger werd wel over generaals gezegd voorbereiden, virussen die zichzelf razend-
dat ze altijd bezig zijn met de vorige oorlog. snel verspreiden en harde schijven die in
gelegenheid voorbij gaan om erop te wijzen
dat cyberveiligheid toch vooral de eigen
verantwoordelijkheid is van organisaties en
bedrijven. ‘De overheid neemt die niet van
hen over.’ Bedrijven ontkomen er dus niet
beleid. Hier zijn veel partijen bij betrokken,
zowel intern (IT-afdeling, inkoop, marketing/communicatie,
enzovoort) als extern
(onder meer aanbieders, onafhankelijke
consultants en deskundigen). Bij een onden
op één lijn te brengen en de discussie
aan te jagen. Hij zal de omstandigheden
moeten creëren waarin de inbreng van
al deze partijen tot zijn recht kan komen.
Om vervolgens uit te komen bij de oplos-
Heb vertrouwen
in wantrouwen
Over de cybersoldaten die onze computer- China besmet zijn geraakt, ben je in eerste aan: zij moeten zelf die verantwoordelijknetwerken
beschermen, kun je dat zeker instantie geneigd die met een korrel zout heid nemen.
niet beweren. Het is juist hun ambitie om te nemen.
hackers steeds een slag voor te zijn; hoe
tijd voor een cco
zouden zij eventueel onze systemen kun- fatalistische gedachte
Op dit moment hebben veel onderneminnen
binnendringen? Dat is de vraag waar Inmiddels realiseren veel bestuurders zich gen het veiligheidsissue wel ergens in
crimefighters constant mee bezig zijn en wel dat een hack dramatische gevolgen de organisatie belegd. Bijvoorbeeld bij
daarom ruiken zij al onraad als anderen nog kan hebben. Zij kunnen zich echter nog functionarissen met jarenlange ervaring in
denken dat er geen vuiltje aan de lucht is. niet voorstellen dat zij zelf ook doelwit zijn. het politiewezen of het justitiële apparaat.
Wantrouwen wordt hun tweede natuur. ‘Dat zal ons niet overkomen - what are the Het lijkt mij van belang om deze afdelingen
odds?’, is wellicht een hele normale of zelfs op de kortst mogelijke termijn te verster-
vertrouwen op wantrouwen
natuurlijke reflex, maar het is niet de juiste ken met specialisten in (de bestrijding van)
Dat is natuurlijk niet de instelling waarmee reactie. Een op zichzelf wel juiste maar cybercrime. Dat brengt ook de noodzaak
de meesten van ons naar hun werk gaan. tegelijk fatalistische gedachte hobbelt daar van een meer gerichte aansturing met zich
Enig wantrouwen is mij ook niet vreemd en mogelijk nog achteraan. ‘Honderd procent mee. Moet cybersecurity niet bovenaan op
op gezette tijden geef ik de voorkeur aan veiligheid is toch niet haalbaar, is het wel? de agenda van de CIO staan? Is het zelfs
zeker weten boven vertrouwen. Maar toch: En dus…’
niet raadzaam om de directie of raad van
in mijn loopbaan heb ik het vooral van dat En dus krijgt cybersecurity niet de aandacht bestuur met één lid uit te breiden? Moet
laatste moeten hebben. Als leidinggevende die het verdient, terwijl door de aanhou- er naast de CEO, CFO en CTO een plaats
moet je nu eenmaal kunnen rekenen op de dende groei van het internetverkeer en het zijn voor een CCO, de Chief Cybersecurity
mensen om je heen, de medewerkers, de steeds intensievere gebruik van mobiele Officer? Hij of zij kan er dan voor zorgen
partners, enzovoort. Ik zou me wel heel erg apparaten, zoals tablets en smartphones, dat veiligheid hoog op de agenda van de
vergissen als mijn collega-bestuursleden de risico’s groter en talrijker worden. We directie komt te staan, en daar tot nader
niet op dezelfde manier in het (bedrijfs-) kunnen steeds meer met internet, we doen order blijft staan!
leven staan. Voor zover ik de sfeer in de steeds meer met internet, maar we worden Van deze CCO mag verwacht worden dat
directiekamers van Corporate Nederland daardoor ook steeds kwetsbaarder. En hij om te beginnen slimme keuzes maakt
heb mogen proeven, is dat er een van dus lijkt er voorlopig ook nog geen einde over de opslag van data: de persoonsge-
vertrouwen.
te komen aan de reeks incidenten die pal gevens (van medewerkers en klanten) en
Je moet er ook vanuit kunnen gaan dat veel achter ons ligt: het malware op nu.nl, het de vitale bedrijfsgegevens (zoals gevoelige
dingen gewoon goed geregeld zijn. Als dan diginotar-lek, de KPN-hack, de DDoS-aan- documenten of AutoCAD-tekeningen van
mensen voorbijkomen met wilde verhalen vallen op de websites van Mastercard en innovatieve producten). Hij of zij stuurt
over cybercriminaliteit, over maffiose het Openbaar Ministerie, het Dorifel-virus, de IT-afdeling aan, maar dat is slechts een
leiders die vanuit de Oekraïne aanvallen enzovoort.
onderdeel van zijn takenpakket.
Het cybersecuritybeleid omvat namelijk
verantwoordelijkheid van bedrijven veel meer. Zo draagt de CCO eveneens
De overheid stelt zich niet afzijdig op. Eind de verantwoordelijkheid voor de bewust-
vorig jaar heeft de Tweede Kamer nog uitwording van medewerkers, want als die
gebreid en met kennis van zaken gesproken laatsten argeloos internet gebruiken en
over het Nationale Cyber Security Beleid. geen acht slaan op risico’s als phishing, dan
Bij die gelegenheid is ook de door collega is het dweilen met de kraan open.
Wie vrede wil,
moet zich op oorlog
voorbereiden
12 | fox files #1 2013 fox files #1 2013 | 13

opinie praktijk actueel
crisispreventie
Zoals andere directieleden letten op de koersontwikkeling en
de salesperformance van de businessunits, zo kan het nieuwe
bestuurslid alle informatie over IT-security binnen en buiten het
bedrijf bijhouden. Zo krijgt hij de kans om het veiligheidsbeleid – of
beter gezegd: het crisispreventiebeleid – op een steeds hoger plan
te brengen.
Wie niets doet, komt zeker aan de beurt. Een aloud beginsel is dan
ook actueler dan ooit: wie vrede wil, moet zich op oorlog voorbereiden.
Bedrijven die dat motto omarmen en daar een eigentijdse
invulling aan geven, zullen zichzelf en hun omgeving veel onheil
besparen. En inderdaad: zij zullen bijtijds de assistentie inschakelen
van de cybercrimefighters die door hun werk wantrouwend zijn
ingesteld, maar die juist daarom hun vertrouwen verdienen.
Ad Scheepbouwer, directeur Fox-IT
wie is ad scheepbouwer?
Ad Scheepbouwer (1944) is een selfmade topmanager.
Hij ging voortijdig van school, pakte alle kansen en schuwde
geen uitdaging. Snel maakte hij carrière bij diverse logistieke
bedrijven. Bekendheid kreeg hij vanaf 1989, als directeur en
CEO van PTT Post, later TNT. Vanaf 2001 leidde hij het telecombedrijf
KPN weg van een dreigende UMTS-ondergang
naar een internationaal gerespecteerd bedrijf. Al in 2002
werd hij verkozen tot Topman van het Jaar. In mei 2011
nam hij afscheid bij KPN. Sindsdien deed hij verschillende
investeringen in bedrijven, waaronder fox-it waar hij tevens
een van de drie directeuren werd.
waarom ben je in fox-it gestapt?
‘Zoekende naar investeringen kwam ik in gesprek met
Ronald Prins en Menno van der Marel. Helaas is cybercrime
een markt die sterk groeit, en fox-it is nationaal de koploper
in de bestrijding hiervan. Het bedrijf groeit al sterk en
heeft veel mogelijkheden voor verdere expansie. Dat is een
gunstige basis voor een investering. Daarnaast is het een
leuk bedrijf om voor te werken, met veel jonge mensen.’
hoe is het om tussen die jonge honden van fox-it
te werken?
‘Ik werk altijd graag met jonge mensen. Ze hebben veel
energie, tonen een groot enthousiasme en zitten vol ambities.
Dat trekt me. Zelf kan ik er dan een andere kijk aan
toevoegen.’
wat ga je toevoegen aan fox-it?
‘Mijn uitdaging is te helpen bij de verdere uitbouw van het
bedrijf. Snelle groei creëert nu eenmaal problemen: hoe
kom je aan mensen, hoe bewaak je de kwaliteit, hoe richt
je de organisatie in, hoe financier je het? Ik ga helpen dat
te managen, met aandacht voor vooral het financiële deel.
We gaan ook een strategie opzetten: welke producten en
diensten, in welke landen? Welke stappen willen we de komende
jaren zetten? Duidelijke keuzes maken, niet zomaar
groeien. Dat geeft je ook een helder verhaal naar klanten en
medewerkers.’
Security
leer je niet
uit een
boekje
Regelmatig verzorgen Foxers
gastcolleges en trainingen om
cyberexperts op te leiden of
om basale securitykennis over
te dragen. En omdat zij vinden
dat je niet vroeg genoeg kunt
beginnen, geven ze zelfs trainin-
gen aan kinderen.
De meeste incidenten
zijn eigenlijk heel
simpele hacks
‘De meeste cyberincidenten die wij tegenkomen,
zijn eigenlijk heel simpele hacks’,
vertelt Hans Hoogstraaten, Security Expert
van fox-it. ‘Door makkelijk te voorkomen
foutjes krijgen hackers toegang tot systemen,
met alle gevolgen van dien. Al met
een basis securitykennis had men kunnen
zien dat de beveiliging niet toereikend was.’
Hoe kan dat anders? Hans: ‘Het antwoord
is simpel: kennis op het gebied van beveiliging
moet gemeengoed worden.’
iedereen opleiden
Iedereen kennis van beveiliging; het lijkt
een onbegonnen zaak. Hoe ziet Hans dit?
‘Cybersecurity is een onderwerp waar
we vroeg of laat allemaal mee te maken
krijgen. Een goed uitgangspunt is het groeiende
bewustzijn over risico’s die wij lopen
met ‘moderne’ technologie. Een basisniveau
van securitykennis is dan al toereikend
en het is mogelijk iedereen op dat
niveau te krijgen. Vergelijk het met voetbal:
de KNVB heeft een brede basis voetbalspelers
met 800 duizend amateurleden.
Daaruit ontstaat een top, het Nederlands
elftal. Dus als meer mensen begrijpen wat
cybersecurity inhoudt en dat leuk vinden,
komen er vanzelf ook meer experts.’
gastlessen
fox-it wil zo veel mogelijk mensen vertellen
hoe security werkt. Als commercieel
bedrijf deelt het informatie en advies met
klanten, biedt trainingen aan, en sponsort
bijvoorbeeld een leslokaal in hackerspace
Hack42 en programmeerwedstrijden.
Daarnaast vinden Foxers dat zij een bredere
maatschappelijke taak hebben. Hans: ‘We
geven presentaties, gastcolleges of werken
mee aan items in de media. Onze slogan
For a more secure society leeft écht bij
Foxers.’
Medewerkers van fox-it geven gastcolleges
aan zo’n twintig verschillende mbo’s,
hbo’s en universiteiten. Ook geven ze graag
uitleg aan mensen die wel met security
te maken hebben maar zich niet bezighouden
met de techniek, zoals juristen,
webredacteuren en informatiespecialisten.
Cybersecurity wordt vaak meer als een
belemmering dan noodzaak gezien. ‘Maar
cybersecurity gaat iedereen aan die een
computer of smartphone heeft’, zegt Hans.
‘Daarom geven we zelfs les aan kinderen.
Wij vinden dat je niet vroeg genoeg
kunt beginnen dat duidelijk te maken.’
14 | fox files #1 2013 fox files #1 2013 | 15

praktijk
actueel interview
jong geleerd
In samenwerking met pedagogisch centrum
‘Basis in Perspectief’ verzorgde fox-it
bij centrum KidzTower in Nieuwegein
een thema-week voor kinderen met een
hoge intelligentie. Onderwerp: forensisch
onderzoek. Een Foxer gaf les aan een groep
zes- tot negenjarigen. Spelenderwijs legde
hij uit welke soorten forensisch onderzoek
zij op hun computer kunnen doen en
waarom het belangrijk is dat ze dat op de
juiste manier doen. De kinderen gingen
enthousiast aan de slag, haalden computers
uit elkaar en maakten forensische images
van harddisks.
opleiden voor een veiligere
samenleving
‘Met meer cyberopgeleide mensen wordt
de samenleving veiliger’, legt Hans uit. ‘Dat
is nodig want cybercrime groeit en zal dat
de komende tijd blijven doen. Niet alleen
is kennis de sleutel om je zelf te beschermen,
ook zal de vraag naar securityexperts
blijven toenemen.’ Helaas laten trendonderzoeken
zien dat ook het tekort aan
IT-personeel de komende tijd alleen maar
toeneemt. Des te meer reden om kennis
over cybersecurity voor iedereen toegankelijk
te maken.
stage en promotie
Een aspect dat bijdraagt aan een veiliger
digitale samenleving is academisch onderzoek.
Cybersecurity is een relatief nieuw
onderzoeksveld in de wetenschap. Daarnaast
ontwikkelt de ICT zich razendsnel
met nieuwe technieken en diensten. Het is
daarom moeilijk voor wetenschappers om
goed en bruikbaar onderzoek te doen. Hoe
meer kennis zij opdoen in de praktijk, hoe
meer dat bijdraagt aan wetenschappelijk
cyberonderzoek. Hans: ‘Daarom werkt
fox-it samen met hogescholen, universitei-
ten en andere onderzoeksinstellingen en
stellen we continu meerdere promotie- en
stageplaatsen beschikbaar.’
Frank Uijtewaal, derdejaars hbo’er Security
Technology aan de Hogeschool van
Utrecht, is net klaar met zijn stage bij
fox-it: ‘Door mijn stage weet ik nu beter
wat ik na mijn huidige studie wil doen, namelijk
een master Computer Science. Mijn
interesse in de ICT Security is absoluut
gegroeid.’
Heb je een leuk idee om kennis over cybersecurity
onder de aandacht te brengen en
kan fox-it hierbij helpen?
Neem gerust contact met ons op via
fox@fox-it.com
Op internet staan talloze security tutorials
en challenges. Een selectie vind je bij de
online versie van dit artikel onder Nieuws
op fox-it.com
Cybersecurity gaat
iedereen aan met een
computer of smartphone
Kolonel Hans Folmer,
commandant Taskforce Cyber:
Met cyber win je geen oorlog,
wel een slag
Het is niet de massa
die de kwaliteit maakt
Er is nog geen echte cyberwar
De activiteiten van Defensie in de cyberwereld kennen veel parallellen met die
in de conventionele wereld. Net als wapens of inlichtingen is ‘cyber’ een van de
instrumenten voor een commandant, zegt kolonel Hans Folmer van de Taskforce Cyber.
Ronald Prins spreekt met hem over de cyberstrategie van Defensie.
Defensie komt alleen in
actie met een mandaat
van onze regering
16 | fox files #1 2013
fox files #1 2013 | 17

interview interview
Ronald: Defensie schreef een cyberstrategie (zie kader, red). Aan
jou en jouw Taskforce de taak om die in te vullen. Met welke activiteiten
ben je bezig?
Hans: Onze activiteiten richten zich grofweg op drie dingen.
Allereerst een defensieve capaciteit tegen cyberaanvallen. Dat
doen we door het inrichten van het DefCERT (Defensie Computer
Emergency Response Team). Ten tweede op het verzamelen van
inlichtingen. Dat is het terrein van de MIVD (Militaire Inlichtingen-
en Veiligheidsdienst). Cyber is een van de bronnen die we
gebruiken om informatie te verzamelen. Ten derde richten onze
activiteiten zich op operationele slagkracht. Daarin onderscheidt
Nederland zich. Want wij vinden dat cyber ook een offensief
instrument moet zijn in de gereedschapskist van een commandant.
Net zoals wapens, inlichtingen en verdediging. Per keer kijk je welk
effect je wilt bereiken en welke instrumenten je daarvoor inzet.
Verandert cyber
de systematiek
van oorlogvoering?
Een commandant moet in zijn planning om een doel te bereiken
ook cyber kunnen meenemen. Hij moet daarover adviezen krijgen
van een specialist en vervolgens zijn instrumenten kiezen. Zet hij
special forces in, F16’s of cyber?
Ronald: Cyber is altijd ondersteunend aan andere activiteiten?
Hans: Ja, het is een instrument voor de commandant. Met cyber
win je geen oorlog, wel een slag.
systemen manipuleren of uitschakelen
Ronald: Je deed in het verleden mee aan Nederlandse missies.
Heb je een voorbeeld van een situatie waarin cyber een goed
instrument had kunnen zijn?
Hans: In Afghanistan vochten we tegen tegenstanders die technologisch
minder krachtig waren. Wel gebruikten zij gsm, e-mail
en zaten ze in internetcafés. Die communicatie hadden we kunnen
monitoren, misschien wel kunnen omleiden. Bij meer technologische
tegenstanders kun je overwegen om hun informatiesystemen
te verstoren, de toegang tot hun technische systemen te blokkeren
of ze zelfs te vernietigen. Een ander voorbeeld is de antipiraterij.
Daar wordt onderhandeld over losgeld. Met cyber kun je meer
over die communicatie ontdekken en wellicht manipuleren. Je kunt
bijvoorbeeld een gemanipuleerde boodschap overbrengen dat het
losgeld is betaald, terwijl dat in het echt niet is gebeurd.
Ronald: Voorzie je scenario’s waar cyber wordt ingezet tegen
civiele doelen?
Hans: Bij de Operation Allied Force tegen Servië en bij de invasie
van de VS in Irak zijn energiecentrales uitgeschakeld door er netten
van koolstofvezels over te gooien. Dat betekende wel een kostbare
herbouw. Stel dat je nu die centrales kunt uitschakelen via cyber,
dan scheelt dat enorm in de wederopbouw van een land. Dan
bereik je écht wat. Dat geldt ook voor het uitschakelen van bijvoorbeeld
radarsystemen of luchtverdedigingssystemen. Je kunt al heel
veel bereiken als bijvoorbeeld de metertjes bij een tegenstander
wat anders aangeven dan de werkelijkheid.
Ronald: Betekent dit dat gevechten schoner worden?
Hans: Dat is altijd het doel. Met cyber kun je dat in theorie nog
beter bereiken. Ik zeg bewust ‘in theorie’, want bijvoorbeeld het verspreiden
van virussen is iets dat nog vrij ongecontroleerd gebeurt.
Dan heb je dus ook geen goede controle over de effecten.
Nee, niet echt. In cyber zijn
er wel grenzen, maar we
zijn allemaal elkaars buren
18 | fox files #1 2013 fox files #1 2013 | 19

interview interview
Ronald: Is dat je angst? Stuxnet is ook
gevonden bij een Japanse kerncentrale en
zelfs in Nederland.
Hans: Het is mooi als je via cyber de
radarsystemen van je opponent weet uit te
schakelen, maar wat als je tegelijkertijd die
van je partners uitschakelt?
Ronald: Zijn dat niet nog de kinderziektes
van een cyberwar?
Hans: Jazeker. We staan nog erg aan het begin.
We kruipen nog, moeten leren opstaan,
lopen en rennen. En zullen nog vaak vallen.
Het zal organisch moeten groeien.
oorlog verklaren via twitter
Ronald: Er zijn dus veel parallellen te trekken
tussen een klassieke Defensie en cyber.
Maar op de klassieke manier kun je leren
van de acties van je tegenstander, kun je
zelf oefeningen opzetten. In cyber niet. Hoe
bereid je je voor op een tegenstander die
je nog niet kent? Stel, je hebt een missie,
en ergens op een zolderkamer zit iemand
die de missie wil verstoren, of juist helpen.
Dat verandert toch de hele systematiek van
oorlogvoering?
Hans: Nee, niet echt. Ook nu al kan elke
idioot zich mengen in een conflict. We
kunnen nu ook al terroristen in Nederland
hebben? Datzelfde gebeurt in cyber. In
cyber zijn er wel grenzen, maar we zijn
allemaal elkaars buren: je weet niet waar
ter wereld de persoon zit die zich ermee
gaat bemoeien, maar in cyber is het altijd je
buurman. En hij kan binnen een milliseconde
een actie uitvoeren. Onze tegenstanders
kunnen staten zijn, of groepen, of
individuen. Zoals Anonymus tegen Israël.
Ronald: Hoe ver reikt je operationele
terrein? Komt Defensie in actie als er een
vreemd bericht op nu.nl verschijnt?
Hans: Dat is een goede vraag. Defensie
zal niet in actie komen bij een berichtje op
nu.nl of als er een website gehackt wordt.
Wel als er een statelijke actor schade aanricht
die vergelijkbaar is met een conventionele
aanval. En dan nog alleen met een
mandaat van onze regering. Maar wat is
cyber? Het over en weer beïnvloeden van
je omgeving? Bij het Gaza-conflict heeft de
IDF (Israeli Defense Forces, red.) Twitteren
webberichten de wereld in gestuurd,
bijvoorbeeld dat een Hamasleider dood
was. Zelfs de oorlogsverklaring is via Twitter
gegaan. Dat was een informatieoperatie,
geen cyberoperatie. Daarna waren er
DDoS-aanvallen over en weer, dat was wel
cyber. En als Hamas dat had gedaan, dan
was het een cyberwar geworden. Nu was
niet bekend wie de aanvallen deed. Toch,
er is nog geen echte cyberwar aan de gang.
Het is nu vooral intelligence en spionage.
En dat is van alle tijden. Maar het kan wel
zomaar gebeuren. Ook nu we met onze
Patriots weer naar Turkije gaan. Stel dat
Syrië een DDoS-aanval op Nederland richt,
dan is het cyberwar, want dan is er een
statelijke actor in het spel.
offensieve wapens
Ronald: Hoe maak je als Defensie plannen
rond offensieve cyberinstrumenten als je
nog niet weet hoe die eruit zien, wat ze
moeten kunnen doen?
Hans: Heel rudimentair: neem het op in je
operationele planning. Zoek uit wat de wapens
van je tegenstander zijn. Hoe gebruikt
die cyber, welke capaciteit kan die tegen
mij inzetten?
Ronald: Hoe oefen je daarin?
Hans: We kunnen wel voorbereidingen
treffen en oefenen, net zoals met conventionele
defensie-eenheden. Het is alleen
lastig in te schatten of je een cyberwapen
slechts eenmalig kunt inzetten of vaker.
En hoe effectief is een cyberwapen?
Wil je zoiets als Stuxnet effectief maken,
dan moet je eerst thuis het hele systeem
nabouwen en oefenen. Dat kost tijd en
geld. Daarom focussen we ons momenteel
vooral op de defensieve aspecten van cyber
en op inlichtingen. Vervolgens gaan we
daarvan leren, en met die kennis kunnen
we gaan bouwen.
Ronald: De Nederlandse politie is begonnen
te opereren in cyber. Pas later is er
een huis omheen gezet, en is de wetgeving
aangepast. Hoe kan Defensie dat doen?
De politie oefende en leerde dus in het echt.
defensie cyber strategie
Defensie presenteerde in
2012 haar Defensie Cyber
Strategie. Deze visie geeft aan
hoe Nederland haar digitale
weerbaarheid versterkt en het
militaire vermogen ontwikkelt om
cyberoperaties uit te voeren. De
Defensie Cyber Strategie heeft zes
speerpunten:
1. Totstandkoming van een
integrale aanpak.
2. Versterken van de digitale
weerbaarheid.
3. Ontwikkeling van het militaire
vermogen om cyberoperaties
uit te voeren.
4. Versterken van de inlichtingenpositie
in het digitale domein.
5. Versterken van de kennispositie
en van het innovatieve
vermogen van Defensie in het
digitale domein.
6. Intensivering van nationale en
internationale samenwerking.
Hans: Tja, dat kunnen wij niet. Wij moeten
een lab bouwen, daar slimme mensen in
zetten en tegen hen zeggen: ga maar aan
de slag! Verder maken we vooral gebruik
van de kennis en capaciteit van de MIVD.
We nemen cyber mee in het commandoproces,
we adviseren commandanten wat
ze in cyber kunnen doen en bereiken.
cybersoldaten
Ronald: Defensie moet zwaar bezuinigen.
Kun je artilleristen inzetten als cybersoldaten?
Hans: Ik vis in de vijver van mensen die bij
Defensie werken en waarvan een gedeelte
de organisatie moet verlaten. Daar zitten
mensen tussen die we zeker kunnen gebruiken.
Van hoogopgeleiden tot uitvoerders
en adviseurs. Geschikte Defensiemensen
moeten we opleiden, wellicht bij
private partijen detacheren en ze later
terughalen. Ook moeten we mensen in de
vrije markt zien te vinden. In totaal willen
we er bij Defensie ongeveer tweehonderd
cyberspecialisten bij hebben. Het is dus
niet de massa die de kwaliteit maakt. In elk
geval zullen we geen eigen legereenheid
oprichten. Nee, iedereen in de organisatie
heeft al een verantwoordelijkheid en krijgt
er het stukje cyber bij. De coördinatie ligt
dan bij een cybercommandant.
Ronald: Mijn angst is dat de oude structuren
en denkwijzen te conventioneel zijn.
Cyber vraagt toch meer om een incidentorganisatie?
Hans: De eerste stap is awareness creëren
bij iedereen binnen Defensie. 95% van de
incidenten ontstaat door onwetendheid.
We geven trainingen en gebruiken een
simulatietool. Die opent vaak echt de ogen.
Zo trainen we onze toekomstige militaire
leiders en maken we ze cyberbewust.
Dat is wel pionieren, en dat kost moeite.
Zeker bij Defensie, zeker in tijden van
krimp. Zonder de support van minister Hillen
waren we nog niet zo ver geweest. En
het is fijn dat de nieuwe minister Hennis-
Plasschaert veel affiniteit met cyber heeft.
Ze heeft ook de aftrap voor de awarenesscampagne
gedaan. Het is essentieel dat
onze topmensen ervaring hebben met de
digitale wereld.
klein maar slim land
Ronald: Wat doen de landen om ons heen,
waar staan we als Nederland?
Hans: Ik schat in dat Nederland iets
achterloopt op de grote landen zoals de VS,
Rusland, Duitsland en Engeland. We lopen
gelijk op met onze buurlanden en voorop
ten opzichte van het merendeel van de
Westerse landen. Andere landen investeren
ook in cyber, maar niet iedereen is er open
over. Cyber is nog nieuw, onbekend en
eng. Het zit dicht tegen inlichtingen aan,
daarom ligt het erg gevoelig. Wil je bijvoorbeeld
je cybercapaciteiten aan anderen
laten zien? Of juist niet?
Ronald: Vroeger liet de USSR met een
militaire parade op het Rode Plein haar
spierballen zien. Van die raketten wist je
niet of ze echt waren. Stuxnet was knap
gemaakt, maar de verspreiding was knullig.
Je vraagt je af of dat wellicht met opzet is
gedaan.
Hans: Dat is een interessante vraag. Op
conventioneel gebied hebben we afspraken
over bewapeningen en controleren we elkaar.
Gaan we nu ook zerodays tellen? Dat
zal niet zo snel gebeuren, verwacht ik.
Ronald: We werken als Nederland internationaal
samen aan missies, bijvoorbeeld
met de inzet van onze Patriots. Kunnen we
als klein maar slim land in cyber voorop
lopen? Kan dat onze niche in Defensie zijn?
Hans: In onze cyberstrategie hebben we
meegewogen dat cyber een specialiteit kan
zijn waarin Nederland zich kan onderscheiden.
Binnen de NATO zijn wij ook voortrekker
om cyber geaccepteerd te krijgen als
operationele capaciteit. NATO richt zich
vooralsnog vooral op de defensieve kanten.
Onze visie is anders, dat proberen we over
te dragen.
cyberkolonel hans folmer
Hans Folmer is commandant
Taskforce Cyber bij de Defensiestaf.
Hij is belast met de implementatie
van het cyberprogramma binnen de
krijgsmacht. Sinds zijn benoeming
tot officier in 1986 vervulde hij
zowel operationele als technische
functies in binnen- en buitenland.
Als hoofd afdeling Gemeenschappelijke
Behoeften was hij belast met
de (operationele) behoeftestelling
van commandovoerings-, communicatie-,
informatie-, inlichtingen- en
verkenningssystemen (C4I). Als
hoofd van het EU operatiecentrum
in Brussel monitorde hij alle EU missies
en leidde hij de gemeenschappelijke
EU missies in Darfur. Van
2004 tot 2007 was hij commandant
van het binationale CIS Battalion 1
(GE/NL) Corps, dat het hoofdkwartier
en alle eenheden voorziet van
mobiele (satelliet)verbindingen,
netwerken en ICT-middelen. Ook
was hij senior projectmanager bij de
Directie Materieel en hoofd logistiek
bij 1 Divisie.
Hans Folmer is afgestudeerd aan
het US Army War College (2010,
Master in Strategic Studies) en de
Technische Universiteit Delft (1995,
Electrotechniek).
20 | fox files #1 2013 fox files #1 2013 | 21

actueel praktijk praktijk actueel
Na een cyberaanval
de 5 fasen
van rouw
Het is een ramp waarvan je hoopt
dat die je nooit overkomt en waar je
in het openbaar liever niet over praat:
slachtoffer zijn van cybercrime als fraude,
bedrijfsspionage, phishing of hacking.
Wat blijkt? De reactie van getroffen
organisaties past prima in het bekende
model van ‘vijf fasen van rouw’.
1. ontkenning
Dit moet een fout zijn.
Dit kan ons toch niet overkomen?
Het is makkelijk om de feiten te ontkennen, of deze te bagatelliseren.
Voor de meeste mensen is de eerste fase, die van ontkenning,
gelukkig van voorbijgaande aard. Het is dan ook een natuurlijke
reactie om een onwenselijke situatie eerst te negeren. Echter,
bij cybercrime kan deze vertraging aardig kostbaar worden. Uit
onderzoek van het Ponemon Instituut (USA) blijkt dat Amerikaanse
bedrijven in 2012 gemiddeld 24 dagen nodig hadden om een geval
van cybercrime op te lossen. Gemiddeld liep de financiële schade
daarbij op tot 436.865 euro per incident. In Duitsland kwamen
deze gemiddelden uit op 22 dagen respectievelijk 294.829 euro;
Engeland deed het iets beter met 24 dagen en gemiddelde kosten
van 157.403 euro.
Om de financiële schade te beperken, is het cruciaal dat de fase
van ontkenning snel voorbij gaat. Maar blijf ook niet hangen in de
tweede fase…
2. boosheid
Hoe heeft dit kunnen gebeuren?
Wiens fout is dit?
Als organisaties zich realiseren dat ontkennen geen zin heeft,
begint de tweede fase. Iemand moet verantwoordelijk zijn,
de schuld krijgen. En het probleem moet snel worden opgelost.
Is eenmaal de veiligheid in het geding, dan kunnen de emoties hoog
oplopen. Mensen kunnen hun boosheid op verschillende manieren
uiten – door boos te zijn op zichzelf, op hun naaste collega’s, of op
degene die bijvoorbeeld een phishing-mailtje opende. Onterecht,
want cybercriminelen kunnen behoorlijk vasthoudend zijn. Een
publicatie van Cisco Systems ‘Email Attacks: This Time It’s Personal’
meldt dat zogeheten ‘spear phishing’, als onderdeel van een grote
aanval, kan rekenen op een open-ratio van zeventig procent.
Omdat de mails lijken te komen van een betrouwbare bron, zijn
ontvangers tien keer vaker geneigd op een link te klikken.
Bovendien lost het beantwoorden van de schuldvraag een crisis
niet op. Natuurlijk is het belangrijk om te weten welke fouten er
zijn gemaakt, maar maatregelen om een toekomstige cyberaanval
te voorkomen, moeten prioriteit krijgen. Een IT-manager doet er
dan ook verstandig aan om zich niet te laten leiden door zijn
emoties, zeker in de volgende fase…
3. onderhandelen
Ik heb er alles voor over om herhaling te voorkomen.
In de derde fase is er binnen de organisatie nog hoop dat de situatie
wel overwaait door te onderhandelen. Meestal ontstaan er onderhandelingen
met een grotere macht, zoals een leidinggevende,
om de situatie aan te pakken in ruil voor veranderingen.
Er zijn nogal wat organisaties die na een incident het risico willen
verlagen door zowel voor gebruikers als voor systemen een streng
veiligheidsbeleid in te voeren. Zo’n oplossing is in de praktijk
meestal niet bevorderlijk voor de bedrijfsvoering. Hoewel het altijd
goed is om kritisch na te denken over een onderwerp als veiligheid,
is het belangrijk om geen overhaaste beslissingen te nemen.
Wie de tijd neemt om hier rustig over na te denken, belandt al snel
in de vierde fase…
22 | fox files #1 2013 fox files #1 2013 | 23

actueel opinie
4. depressie
Ik kan er niet meer tegen!
Overleeft onze organisatie dit wel?
Veel is er niet voor nodig om gedurende het rouwproces wanhopig
te worden, of het gevoel te krijgen dat een probleem onoplosbaar
is en nooit meer verdwijnt. Erger is nog dat deze gevoelens leiden
tot lethargie. Zit niet bij de pakken neer! Er moet actie worden
ondernomen, en er is altijd een oplossing.
Te midden van de chaos die een beveiligingslek met zich meebrengt,
is het belangrijk de rust en het overzicht te bewaren. Dan
verdwijnt snel het gevoel van machteloosheid dat je kunt krijgen
van onzichtbare en anonieme indringers. Raadpleeg deskundigen
en ervaren professionals, bijvoorbeeld de FoxCERT-experts van
fox-it. Zij zijn altijd telefonisch bereikbaar, 24/7 beschikbaar en
ze staan je met raad en daad terzijde. Na een eerste beoordeling
van het probleem krijg je snel een advies om het een en ander op
te lossen. Vervolgens kun je samen met een multidisciplinair team
werken aan een definitieve oplossing. Dat gebeurt bij voorkeur op
locatie, maar er zijn ook uitstekende remote oplossingen.
In de eerste analyse is het goed om de feiten van de aannames te
scheiden en de prioriteiten van de organisatie voorop te stellen.
De adviezen van fox-it zijn daarop afgestemd, evenals de middelen
om een crisis aan te pakken. Een nauwe samenwerking en directe
communicatielijnen met de belangrijkste beslissers zorgen ervoor
dat iedereen zo goed mogelijk opereert. Stel het management én
het team voortdurend op de hoogte van de voortgang en mogelijkheden
om het incident op te lossen.
Hiermee maak je de stap naar de vijfde en laatste fase.
Te midden van de chaos die een beveiligings-
lek met zich meebrengt, is het belangrijk de
5. acceptatie
Het komt allemaal goed.
Het vertrouwen is terug, en daarmee ook de daadkracht om de situatie
onder controle te krijgen en de juiste beslissingen te nemen
voor de toekomst.
Natuurlijk is dit artikel met een knipoog geschreven. Toch zijn de
beschreven reacties op een cybersecurity incident zeer menselijk
en zeker niet ongewoon. Na van de eerste schrik te zijn bekomen,
heeft FoxCERT de kennis en ervaring om organisaties snel en
soepel te begeleiden van de fase van ontkenning naar acceptatie.
Vertraging van bedrijfsactiviteiten en financiële schades blijven
daarmee tot een minimum beperkt.
wat kan foxcert doen bij een cybercrisis?
enkele voorbeelden:
Complex business recovery. Bij sommige incidenten, zoals
een DDoS-aanval of een gecoördineerde aanval op servers,
is het belangrijk dat zo snel mogelijk vervangende communicatie
in de lucht komt. Samen met FoxCERT-experts herstel
je de bedrijfsactiviteiten zo snel en verantwoord mogelijk.
Emergency security monitoring. Is het incident voorbij?
Was dit het enige, of waren er nog andere incidenten?
Door de specialisten van FoxCERT intelligente sensoren in
een netwerk te laten plaatsen en deze ook te laten monitoren,
kan het veiligheidsteam een organisatie behoeden voor
een herhaling van de aanvallen.
Veiligstellen van digitale bewijsvoering. De forensisch
experts van FoxCERT onderzoeken systemen op sporen van
digitaal bewijs, om deze vervolgens op een juridisch juiste
manier te rapporteren en veilig te stellen. Ook in een eventuele
rechtszaak kunnen zij optreden als forensisch expert.
Andere diensten van FoxCERT zijn digitaal forensisch onderzoek,
security monitoring, een grondige penetratietest,
PR-advies, crisismanagement en contact met politie en justitie.
Op die manier kom je exact te weten wat het incident
is en hoe je het oplost, hoe het is ontstaan en vooral wat je
kunt doen om herhaling te voorkomen.
de dilemma’s van
responsible disclosure
Zolang er complexe IT-systemen zijn,
zijn er kwetsbaarheden. En zolang er
hackers zijn, zullen zij kwetsbaarheden
vinden. Wat doet een hacker dan?
Publiekelijk waarschuwen? Of beter
eerst de verantwoordelijke informeren
zodat die het probleem kan oplossen?
Responsible disclosure kent vele
dilemma’s.
In de hackergemeenschap bestaat sinds
jaar en dag een mooie cultuur: zie je
een veiligheidsprobleem, dan wijs je de
systeemeigenaar erop zodat die het kan
verhelpen. Een aardigheidje, dat stuk
voor stuk het veiligheidsniveau verbetert.
Echter, bij hackers en verantwoordelijke
personen in bedrijven heb je verschillende
karakters - the good, the bad and the
indifferent. Aan beide kanten gaat niet
iedereen even fatsoenlijk met een melding
om, vaak ook omdat eigen belangen
zwaarder wegen dan het oplossen van het
veiligheidsprobleem. Voor de hacker is de
wet de grootste bedreiging - ben je in een
systeem waar je niet hoort te zijn, dan
ben je strafbaar - en voor een bedrijf is
het een ‘veroordeling’ in de media.
Hoe gedragen goedwillende hackers en
het gehackte bedrijf zich verantwoord in
deze ingewikkelde situatie? Responsible
(of: coordinated) disclosure gaat om de
keuze tussen een lek openbaar aan de
kaak stellen - door het aan de media te
melden of gegevens op internet te zetten
- of eerst de verantwoordelijke organisatie
op de hoogte te brengen, en die zo de
mogelijkheid te geven het probleem op
te lossen nog voordat er schade is. Het is
een balans die veel vragen oproept.
zelfbescherming
Wat zijn realistische tijdslijnen voor
disclosure? Hoe moet een hacker omgaan
met zeer ernstige kwetsbaarheden
waarbij het publiek zo snel mogelijk
geïnformeerd moet worden om zichzelf te
beschermen? Enerzijds zijn de belangen
groot bij relatief eenvoudig toegankelijke
patiëntendossiers of controlesystemen.
Responsible disclosure kan dan de beveiliging
van deze systemen verbeteren.
Anderzijds betekent een volledige scan
van de omgeving of het exploiteren van
kwetsbaarheden in veel gevallen dat je de
wet overtreedt.
maatschappelijk hacken
Hackers die vinden dat hun meldingen te
vaak onbeantwoord blijven of bang zijn
dat er aangifte tegen hen wordt gedaan,
kiezen er sneller voor om direct naar de
media te stappen met hun ontdekking. Zo
wordt de oorspronkelijk ‘ethische hacker’
die met goede intenties ging hacken,
onethisch doordat hij een organisatie
geen kans geeft het gevonden probleem
op te lossen. Hackers doen dit vooral
bij gebrek aan vertrouwen in een bedrijf
of de overheid. Of als ze ideologisch
gemotiveerd zijn, waarbij gehackte
bedrijven als bewijs worden opgevoerd
dat er structureel iets mis is – een soort
bewuste collateral damage ten behoeve
van een hoger doel.
Met het lukraak scannen van organisaties
om IT-lekken te vinden en die vervolgens
publiek te maken, helpen hackers de
maatschappij niet, vindt Steffen Morrees,
manager Forensic R&D bij fox-it. Dat veel
organisaties lek zijn, is geen nieuws. Beter
is het dat we samen onze energie steken
in dialoog.
rust en het overzicht te bewaren Het vertrouwen tussen bedrijven en
hackers verbetert alleen als beide
partijen weten waar ze aan toe zijn
24 | fox files #1 2013
fox files #1 2013 | 25

actueel actueel
Responsible disclosure doelt er vooral op
dat het vertrouwen tussen de hacker en
het bedrijf groter wordt. Dit gebeurt door
afspraken te maken over welk gedrag van
een hacker verwacht wordt en welk gedrag
het bedrijf aan de melder garandeert. Een
eigen responsible disclosure-beleid op de
website publiceren, vereist bedrijfsintern
zorgvuldige overwegingen. Kan een bedrijf
daadwerkelijk beloven geen aangifte te
doen bij een melding? Indien soortgelijke
Voor een organisatie is de
impact van een lek dat via de
media bekend wordt, enorm
beloftes achteraf verbroken worden, is het
idee van een responsible disclosure-beleid
niets meer waard: het vertrouwen verbetert
alleen als beide kanten zich écht aan de
afspraken houden.
Voor een organisatie is de impact van een
lek dat via de media bekend wordt, enorm.
De digitale firefighters van het FoxCERTteam
maken dit van dichtbij mee, zij hebben
er mensen letterlijk ziek van zien worden.
Plotseling heeft een organisatie niet
alleen een beveiligingsincident, maar ook
een crisis. fox-it raadt dan altijd aan om
het probleem te erkennen, het op te lossen
en open te communiceren met belanghebbenden.
Een organisatie die via de media
geconfronteerd wordt met een lek in haar
systeem, moet heel snel inzicht krijgen in
haar zwakke plekken. Want media-aandacht
betekent ook aandacht voor de infrastructuur.
Zo’n crisis kost een organisatie al snel
tienduizenden euro’s. Steffen: ‘Het is zeker
onacceptabel dat (gevoelige) informatie
niet goed wordt beschermd. Maar een
directe stap naar de media staat niet
altijd in verhouding tot de schade voor de
eigenaar van het systeem. Een hacker kan
ook anoniem een lek melden bij angst voor
aangifte. Als de betreffende organisatie de
melding niet serieus neemt, kan hij altijd
nog naar de media stappen.’
geen wet, wel richtlijnen
Als een hacker een kwetsbaarheid vindt bij
een online dienst of infrastructuur, heeft hij
mogelijk een probleem. Hij weet niet hoe
de organisatie gaat reageren, ongeacht of
hij actief zocht, of dat hij toevallig op een
probleem stuitte. Daarom zou het handig
zijn als een ethische hacker vooraf weet
hoe een organisatie reageert bij een hack.
Het Nationaal Cyber Security Centrum
(NCSC) dacht over die mogelijkheid na
en gaf een leidraad uit voor bedrijven en
hackers. Dit zijn richtlijnen die bepalen wat
een verantwoorde manier is om kwetsbaarheden
te vinden, te melden en op te
lossen. Deze ‘Leidraad om te komen tot een
praktijk van Responsible Disclosure’ betreft
zowel disclosure op het vlak van software
en hardware, als de in dit artikel besproken
online diensten en infrastructuur.
De richtlijnen zijn overigens niet meer dan
suggesties hoe hackers en bedrijven dit
samen kunnen oplossen. Het is geen wet
of algemeen beleid. Het is ‘slechts’ een
document waarin staat hoe bedrijven zouden
kunnen omgaan met meldingen, zodat
hackers weten waar ze aan toe zijn.
toeval of gerichte actie?
De huidige situatie voor het melden van
kwetsbaarheden in online diensten en
infrastructuren ziet er als volgt uit. Als een
hacker een kwetsbaarheid meldt bij een
organisatie, maakt het uit of hij er toevallig
tegenaan liep of actief op zoek ging. Bovendien
hangt het ervan af of de betreffende
organisatie een beleid heeft gepubliceerd of
niet. Een organisatie met een beleid heeft in
ieder geval actief over beveiliging nagedacht
en zal de melding van de hacker dan
ook waarschijnlijk serieus nemen. Bij geen
reactie (of ontkenning) kan de hacker een
Responsible disclosure gaat om de keuze
tussen een lek openbaar aan de kaak
stellen of eerst de verantwoordelijke
organisatie op de hoogte brengen
bewijs meesturen. Gebeurt er dan nog niks?
Dan zou hij het NCSC kunnen berichten (al
dan niet anoniem), naar een onafhankelijk
hackmeldpunt (zonder garantie op een veilig
systeem) kunnen stappen of naar de media
kunnen gaan. Hoe dan ook blijft hij aansprakelijk
voor zijn actie en kan aangifte tegen
hem worden gedaan.
ongevraagde scans
‘Zelfs als elke organisatie in Nederland een
beleid publiceert over disclosure, dan nog
zijn we er niet’, aldus Morrees. ‘Ongevraagd
scans uitvoeren blijft problematisch. En
laten we eerlijk zijn: ook zonder die scans
weten we dat het gemiddelde niveau van
informatiebeveiliging in Nederland veel
te laag is. We zien nog te vaak Clear Text
wachtwoorden, SQL-injection en ongepatchte
systemen. Dat is voor ons allemaal
een probleem, ook als burger, omdat de
maatschappelijke kosten van cybercrime de
komende jaren alleen maar verder stijgen.’
boetes en prikkels
Feit is dat informatiebeveiliging voor individuele
organisaties een dure aangelegenheid
is en vaak maar weinig (op korte termijn)
oplevert. Extra externe prikkels zijn dan
nodig, bijvoorbeeld boetes of sancties voor
bedrijven die persoonsgegevens onvoldoende
beveiligen. ‘Bedrijven kunnen natuurlijk
ook het goede voorbeeld geven en een
laagdrempelig responsible disclosure beleid
opstellen’, stelt jurist Jan Jaap Oerlemans.
Beide aansporingen kunnen bijdragen aan
een betere informatiebeveiliging. Hoe meer
gepubliceerde disclosure policies, hoe meer
bedrijven zich van security bewust zijn en
hoe meer duidelijkheid voor hackers met
goede bedoelingen. En in 2015 is de EU
van plan een extra stok achter de deur te
zetten van alle gegevensverwerkers, om het
belang van beveiliging in te zien.
Tekst Erik de Jong,
Lead Expert Cybercrime bij fox-it
26 | fox files #1 2013 fox files #1 2013 | 27

Bits
red october op mobieltjes
Kaspersky Lab publiceerde in januari de ontdekking
van het spionagevirus Red October (Rocra). Dit virus
richtte zich op ambassades en wetenschappelijke
onderzoeksorganisaties. Vijf jaar lang is informatie
gestolen en zijn netwerken verkend. Via besmette
computers heeft Red October ook smartphones
geïnfecteerd, zoals Blackberry en Android. Onderzoek
van Fox InTELL wees uit dat de geïnfecteerde
mobiele smartphones zich in Amerika, Afrika, Azië en
Europa bevonden.
training: digitaal materiaal
in de opsporing
Gegevensdragers zoals laptops of smartphones
spelen een steeds belangrijkere rol in de opsporing.
fox-it verzorgt op 22 en 23 april een speciale training
voor tactisch rechercheurs over de juiste aanpak om
het maximale uit digitaal onderzoek te halen.
fox-it ontdekt nbc.com hack
Op 21 februari ontdekte het Fox-IT Security Ope-
rations Centre (SOC) dat bezoekers van de website
NBC.com met Citadel malware besmet raakten.
Meteen werd NBC gewaarschuwd en kon de aanval
stopgezet worden. Een kwaadaardige iframe
verwees naar een exploit kit genaamd ‘RedKit’, dat
zwakheden in Java en Adobe misbruikte om vervolgens
Citadel op de computer van de gebruiker te
laden. De Trojan was geconfigureerd om online banking
transacties met tal van Amerikaanse banken te
onderscheppen en geld van de gebruikers te stelen.
crypto klantendag 2013
Op 14 mei organiseert de afdeling Crypto van fox-
it voor haar klanten een informatieve themadag
over ‘Crypto en gegevensbescherming: praktijk en
visie’ in de Caballero Fabriek, Den Haag.
Meer info en aanmelden fox-it.com
trainingskalender
11 maart DFO
06 maart ROI basis
27 maart iRN deel 1
03 april ROI – Onderzoek in social media
08 april Online Feitenonderzoek voor juristen
22 april Digitaal materiaal in de opsporing
29 mei iRN deel 2
03 juni ROI basis
06 juni ROI – Zoekstrategieën
25 juni ROI – Onderzoek in social media
15-19 juli Summer School 2013
26-30 aug
afkortingen
Summer School 2013
iRN Internet Recherche Netwerk
ROI Rechercheren op Internet
DFO Digitaal Forensisch Onderzoek
Meer info fox-it.com/training
evenementen
Ben je aanwezig op een van de volgende
evenementen, kom dan gezellig bij onze stand langs.
21 maart E-discovery en bewijsbeslag, Amsterdam
21 maart NextGEN SCADA, Amsterdam
23 april InfoSecurity Europe 2013, Londen
14 mei fox-it Crypto Klantendag, Den Haag
15-19 juli Summer School 2013
31 juli OHM2013, Geestmerambacht bij
Alkmaar (31 juli - 4 aug)
26-30 aug Summer School 2013
Meer info fox-it.com/events
wegens succes geprolongeerd
Na het succes in 2012 organiseert fox-it ook dit jaar weer
een Summer School, deze keer in het teken van cybersecurity
en incident response. Met een strippenkaart kies je
workshops uit - één, meer of allemaal - om je kennis van
tal van onderwerpen bij te spijkeren. Houd onze website
fox-it.com in de gaten voor meer informatie.