Fox-IT: “Helft van alle bedrijven is op dit moment gehackt”
Door Monique Harmsen
Op dit moment is ongeveer 50 procent van de bedrijven gehackt zonder dat ze dat weten, stelt Menno van der Marel, medeoprichter van Fox-IT, specialist in cybersecurity. In een gesprek tussen Van der Marel en Guido Dubbeld, CFO van Eneco, worden de bedreigingen besproken en de manier waarop Eneco hiermee omgaat.
Eneco is volgens Van der Marel een goed voorbeeld van een onderneming die in de loop van de tijd steeds digitaler is geworden en tijdig heeft ingezien dat hiermee de digitale dreiging ook groter wordt en de beveiliging hierop heeft aangepast. Hierin is het bedrijf volgens hem een uitzondering.
Over het algemeen investeren bedrijven volgens hem weliswaar in beveiliging, maar dat sluit vaak niet aan op de dreigingen van dit moment. “Risico’s die CFO’s op andere gebieden lopen zijn vaak al jarenlang bekend en daarvan snapt men tot in detail wat er gebeurt. Aan de cyberkant verandert de dreiging echter elke maand.” Als voorbeeld noemt hij een DDoS-aanval waarbij gebruik werd gemaakt van het Internet of Things om duizenden beveiligingscamera’s en digitale videorecorders een aanval te laten uitvoeren op een essentiële server waardoor sites als Netflix, Twitter en Spotify moeilijk of niet bereikbaar waren. “De verwachting was dat dit een keer zou gebeuren, maar nu is het echt zo ver en dan wordt het tien keer zo serieus genomen.”
Criminelen hebben vrij spel
Het grootste risico van dit moment is volgens Van der Marel dat mensen zich niet realiseren dat hun onderneming gehackt is. “Het duurt heel erg lang, gemiddeld zo’n 200 dagen, voordat bedrijven door hebben dat ze gehackt zijn. Intussen hebben criminelen vrij spel. “
“Bij Eneco zijn we hier alert en bewust mee bezig”, stelt Dubbeld. “Als energiebedrijf hebben we een hele goede crisisorganisatie. We zijn een enorme brandweerorganisatie van origine. Als de elektra uitvalt of een gaspijp wordt doorboord rukt de ‘brandweer’ uit om het binnen no time te fixen. Het punt is die dingen kun je zien. We oefenen veel met: wat als…? Cases die draaien om business continuity en te maken hebben met IT blijken verreweg het moeilijkst. Heel veel vragen kun je niet beantwoorden. Wie ga je bellen als je IT-systeem uitvalt?”
“Het is de spijker op de kop”, stelt Van der Marel. “We kunnen fysiek heel snel zien of er iets mis is. Zo hebben we een balie in ons kantoor die toegankelijk is, maar we zorgen ervoor dat de rest van het gebouw is afgesloten. Je weet wie er naar binnen gaat en wie naar buiten. Nu is ook de IT-infrastructuur een cruciaal onderdeel van onze organisaties geworden, maar we zijn vergeten de ’digitale ogen’ erbij te creëren. Daardoor weten we vaak niet of er digitaal iets mis is. Het is in principe niet heel moeilijk om te zien, maar er wordt gewoon niet gekeken.”
USB-sticks laten slingeren
Bij Eneco houdt een klein team zich volledig bezig met cybersecurity. Zij doen volgens Dubbeld veel preventief werk zoals het stimuleren van de bewustwording onder de 7000 medewerkers. “Af en toe laten we bewust enkele USB-sticks slingeren en kijken wat er dan gebeurt, onze mensen moeten ook ieder jaar een test doen om de awareness te meten en te stimuleren. Aan de andere kant zijn onze IT’ers constant bezig om de beveiliging naar een hoger plan te brengen. Dat doen ze met partners om de juiste competenties bij elkaar te brengen en door goede afspraken over veiligheid met leveranciers te maken. Deze afspraken worden gemonitord en indien nodig worden hier weer verbeterprotocollen opgezet. Het is een dynamisch proces en daar moet je continu mee bezig zijn want de wereld wordt steeds slimmer.”
Van der Marel beaamt dat securitybewustzijn en de koppeling hiervan aan de business erg belangrijk is. “Bedrijfsonderdelen worden steeds meer digitaal verbonden. Het is belangrijk om periodiek te inventariseren welke IT-componenten echt belangrijk zijn voor de business. Er wordt veel gedaan om de gewone zakelijke omgeving veiliger te krijgen, maar voor het productieproces dat eigenlijk uit vergelijkbare componenten bestaat, is minder aandacht. Dit terwijl een individuele werkplek die wordt gehackt meestal veel minder impact heeft dan een hack in het productieproces dat hierdoor plat gaat. Op een hoger niveau in de organisatie moeten mensen zich goed realiseren wat dat voor een invloed heeft op de business. Bedrijven zijn heel goed in het pakken van digitale kansen, alles moet sneller en efficiënter, maar tegelijkertijd hoor je ook de digitale risico’s te minimaliseren. Je moet als CFO weten welke impact digitale aanvallen kunnen hebben op je primaire processen en op basis daarvan maatregelen nemen.”
In Frankrijk en Noorwegen zijn al energieplants down gegaan door aan vallen van buitenaf en Dubbeld vraagt zich af hoe je je daartegen kunt wapenen in een omgeving waarin sprake is van steeds meer connectiviteit. “In onze wereld zie je de digitalisering van klantbediening en het steeds meer op afstand aansturen van onze fabrieken en gasopslag. Dat zijn allemaal verbindingen.”
Van der Marel tipt: “Ga er bij de inrichting van je bedrijf vanuit dat je al gehackt bent of gaat worden en ga met dat in het achterhoofd aan de slag. Dat is een andere manier dan zeggen: ik ga eens rustig kijken hoe ik me ga beveiligen.”
Tijdig signaleren
Dubbeld: “Op het moment dat er iets gebeurt pas je je beleid weer aan. Zeker in de IT, waar men vaak snel dingen wil ontwikkelen, vindt men corporate regels, waarbij we stellen dat we met twee leveranciers werken om data op te slaan en infrastructuur te bestellen, lastig. Toen in 2012 een backup server van een dochteronderneming werd gehackt en er meetdata op straat kwam te liggen, hebben we geïnventariseerd waar die data zat. Buiten onze twee vaste leveranciers bleek het een lijst van adressen die twee A4- tjes besloeg. In de drang om snel afspraken te maken, is niet gelet op veiligheidsafspraken. Je moet goede afspraken maken en erop kunnen vertrouwen dat die leverancier dat levert anders breng je de bedrijfsvoering in gevaar. Het vraagt discipline. We hebben ook een DDoS-aanval bij een ander dochterbedrijf gehad, als je het tijdig in de gaten hebt en weerbaar bent, kun je de schade beperken.”
“Dat is de crux van het verhaal”, stelt Van der Marel. “Degenen die de aanvallen uitvoeren zijn niet altijd even slim en het kost tijd om bij de kern te komen. Als je kunt signaleren dat ze bezig zijn met een aanval kun je zorgen dat die aanval meteen aangepakt wordt. Daar moet de organisatie dan wel klaar voor zijn, zodat je, binnen het tijdframe dat je hebt, op de juiste manier kunt reageren. Nu wordt het vaak niet gezien of is het al te laat om te reageren.”
Beveiligingsmaatregelen onvoldoende
Van der Marel waarschuwt dat de aanvallers zich de afgelopen jaren verder hebben ontwikkeld. De beveiligingsmaatregelen sluiten vaak niet meer aan bij de huidige dreiging. “Je hebt een andere routine nodig. Je hebt up-to-date intelligence informatie nodig over de dreigingen die horen bij de sector waarin je actief bent en je moet continu matchen of de maatregelen die je hebt genomen wel aansluiten bij die dreigingen.”
Eneco werkt daarom samen met partners waaronder Fox IT. Dubbeld: “Je kunt niet alle intelligence zelf verzamelen. We werken nauw samen met het NCSC (Nationaal Cyber Security Centrum) dat ons informeert zodra andere partijen worden aangevallen zodat we ons meteen kunnen wapenen. We hebben verder korte lijnen met onze leveranciers om meteen in actie te kunnen komen, indien nodig tot op bestuursniveau.”
Over wat er gebeurt als het echt helemaal mis gaat, treedt Dubbeld niet in detail. “In het uiterste geval koppelen we de IT-infrastructuur los en gaan we over op handmatige bediening. Je kunt je afvragen hoe lang dat nog je mitigerende maatregel is, zaken zijn steeds meer met elkaar verknoopt waardoor het steeds lastiger wordt.”
Op andere gebieden, zoals bijvoorbeeld de slimme thermostaat voor in huis Toon, is Eneco opener over de beveiliging. Het energiebedrijf lanceerde zelf een speciale app ‘Game of Toons’ waarmee social responsible hackers konden proberen Toon te hacken. “We stellen ons hier maximaal kwetsbaar op om Toon beter te maken voor de klant. Dat is een manier van werken die je moet omarmen om ervoor te zorgen dat iedereen er beter van wordt”, aldus Dubbeld.
“Dit is misschien wel de beste manier om er echt achter te komen wat er mis kan gaan, beaamt Van der Marel. “Als er gaten gevonden worden, die natuurlijk gepatched moet worden, heb je wel even ellende, maar daarna heb je wel een veel veiligere basis voor het product. Alles wat in het laboratorium wordt bedacht en daarna meteen in gebruik wordt genomen, wordt gehackt.“
Er zijn in de praktijk nog maar weinig bedrijven die kiezen voor deze oplossing. “Er wordt wel over gesproken, maar behalve dat het een afbreukrisico oplevert, kost het ook veel geld en het moet in een streng gecontroleerde omgeving plaatsvinden”, stelt Van der Marel. “Het is wel zo dat als een onderneming een keer is gehackt, dit eigenlijk altijd een echte game changer is. Er wordt dan meteen actie ondernemen om naar een hoger beveiligingsniveau te gaan. Dat is een proces om controle te krijgen: je hebt zicht op je netwerk, je weet wat er buiten gebeurt en je weet wat je respons moet zijn. Het zou heel goed zijn om gehackt te worden, natuurlijk met minimale schade. Daarna weet je hoe het in elkaar zit.”
Hoe groot de schade is, hangt volgens Dubbeld uiteindelijk af van hoe snel je er bij bent. “Als het energienetwerk plat gaat, betekent dat heel veel schade. Voor Toon hangt het ervan af of het een individuele Toon betreft of het collectief. Er zijn heel veel afdelingen binnen Eneco die ieder hun eigen IT-structuur, privacyregels, reglementen, en security hebben. Dat maakt het ook complex omdat de alertheid van al die verschillende businesses niet op hetzelfde niveau is.”
Nieuwe risico’s
Van der Marel signaleert dat de dreigingen voor CFO’s en CEO’s sterk zijn toegenomen als gevolg van een nieuwe werkwijze van criminelen. “Van gerichte aanvallen op bijvoorbeeld banken is men overgestapt op het ongericht hacken van honderdduizenden computers. Met behulp van artificial intelligence wordt vervolgens gekeken welke daarvan interessante informatie bevatten en die computers worden het doelwit van de volgende aanval. Bedrijven die heel lang buiten schot zijn gebleven, worden op die manier nu ook doelwit. Deze bedrijven zijn vaak minder goed beveiligd. Als je dan in hun betalings- of managementsysteem weet te komen, kan het heel interessant zijn wat je daar aantreft. CEO’s kunnen te maken krijgen met een gelegenheidshack omdat toevallig een of andere computer in je bedrijf is gehackt. Tegelijkertijd zien we ransomware een enorme vlucht nemen en zorg voor serieuze problemen bij duizenden bedrijven. Ook hier zien we verdere specialisaties, waarbij geoptimaliseerd wordt door gerichte grote hacks uit te voeren om de stroomvoorziening, operatiekamers in ziekenhuizen etc. plat te leggen. Het verandert ook de perceptie van de risico’s die er zijn. Je zou verwachten dat ziekenhuizen geen doelwit vormen, maar dat zijn ze nu wel geworden.”
Voor Eneco is business continuity belangrijk. “Je moet dit testen en dan zie je pas hoe onthand je bent als je daar niet goed op ingericht bent. Als je geen sensoren en geen ogen hebt en niet weet wat er aan de hand is, wat ga je dan doen als het systeem uitvalt? Dan is de paniek compleet. De makkelijkste wake up call is een workshop waarin je een real life testcase uitvoert”, aldus Dubbeld.
Van der Marel: “Wij noemen dat red teaming. Zonder dat de mensen binnen de organisatie op de hoogte zijn ga je op zoek naar de klanten database en de computers van de board zonder dat mensen het door hebben. Je definieert een aantal red flags: dingen die echt niet mogen gebeuren. Vervolgens haal je stuk voor stuk die red flags binnen en daarna laat je in klein verband zien wat er is gebeurd. Dat is vaak een eyeopener en daarna wordt er op een hele andere manier naar cyberveiligheid gekeken.”
Shocking experience
Gevraagd naar een advies aan andere CFO’s op basis van zijn ervaring stelt Dubbeld: “Ik zou een bedrijf van buiten een penetratietest laten uitvoeren om uit te vinden wat eventuele indringers allemaal zouden kunnen doen. Daarnaast kun je awareness creëren via een shocking experience. Simuleer dat je bedrijf is platgelegd en je een oplossing moet vinden. Je ondergaat dan even een paar uur hoe slecht je eigenlijk geïnformeerd bent en hoe slecht je je voelt op dat moment. Als je dit hebt meegemaakt ben je wel wakker. En als je wakker bent, ga dan met gespecialiseerde bedrijven aan de slag en maak een stappenplan.”
Van der Marel raadt CFO’s aan te praten met collega’s die het hebben meegemaakt. “Het gebeurt heel veel, probeer te leren van elkaar. Als je echt in control bent moet je een rapportage kunnen krijgen van de cyberaanvallen van afgelopen maand en hun impact. Als je dat niet krijgt dan moet je zorgen dat dat wordt ingeregeld. Een crisisoefening met een serieus incident geeft je houvast voor als het echt misgaat. Leer van zo’n oefening en maak een plan. Belangrijk is dat je cybersecurity tot onderdeel maakt van business continuity en niet alleen van IT, want gehackt worden we allemaal een keer.”