Zoeken

Een kijkje in de wereld van ethisch hacken

Man met beker

Oktober is de cybersecuritymaand. Bij DICTU ligt de lat voor informatiebeveiliging heel hoog. Een manier om te testen hoe veilig ons IT-landschap daadwerkelijk is, is het inschakelen van ethisch hackers. In 2023 hebben ethisch hackers een geplande aanval uitgevoerd. Maar hoe verloopt zo'n proces en wat zijn de resultaten?

Het was een proces van negen maanden. Het voorbereiden en uitvoeren van de Red Teaming-actie bij het ministerie van Economische Zaken en Klimaat (EZK). Een Red Teaming-actie is een operatie waarbij ethische hackers op basis van vooraf opgestelde aanvalsplannen, aanvallen uitvoeren om kwetsbaarheden in de informatiebeveiliging (IB) aan het licht te brengen. DICTU werkte hierin actief samen met het ministerie en de hackers van Secura, een externe expert in digitale beveiliging. ‘Het is een soort digitale brandoefening’, aldus projectleider Brendan Zijtveld. Zijtveld is adviseur informatiebeveiliging bij het ministerie van EZK en projectleider van deze Red Teaming-actie. Tijdens deze actie werkte hij onder meer samen met Thuan Tu, specialist Informatiebeveiliging bij DICTU. Volgens beiden is de Red Teaming-actie de ultieme test, omdat deze geplande digitale aanval een realistisch beeld geeft van de huidige status van de informatiebeveiliging. 

Achter slot en grendel 

In een tijd waarin digitale technologieën een steeds grotere rol spelen in onze bedrijfsprocessen, neemt ook de dreiging van digitale aanvallen toe. Met enige regelmaat berichten de media over hack-incidenten bij organisaties waardoor gevoelige informatie op straat kwam te liggen. Het goed beveiligen van data is van groot belang. ‘DICTU ontwikkelt en beheert de software die ministeries gebruiken om hun data op te slaan. Het is daarmee onze verantwoordelijkheid om ervoor te zorgen dat hun informatie en systemen veilig zijn’, vertelt Tu. ‘Het is een gedeelde verantwoordelijkheid’, vult Zijtveld aan. ‘Omdat wij data van burgers beheren, hebben we gevoelige informatie in huis. Als hierin wordt ingebroken, is dat schadelijk voor de burgers, maar ook voor onszelf, de overheid en Nederland. Dat moeten we voorkomen.’ 

Van idee tot aanval

Een Red Teaming-actie is niet in één dag gedaan. Er gaan maanden van voorbereiding aan vooraf. ‘Nadat we de samenwerking met Secura zijn aangegaan, begonnen we met het brainstormen over de mogelijke doelwitten’, licht Zijtveld toe. Uit de brainstorms kwamen drie doelwitten en dit gaf het startsein voor de verkenningsfase. In deze fase kijken de hackers wat zij, zonder plan, kunnen vinden aan kwetsbaarheden. De bevindingen vormden de basis voor het aanvalsplan. Vervolgens vonden gedurende dertien weken verschillende aanvallen plaats. ‘Een Red Teaming-actie is te vergelijken met een digitale brandoefening’, vertelt Zijtveld. ‘Het laat zien waar de IB kwetsbaar is.’ Om het goed te laten verlopen, worden vooraf spelregels opgesteld. Wat mag en wat mag niet? En voor welke stap moeten de hackers goedkeuring vragen? Op deze manier wordt voorkomen dat tijdens een geplande aanval, die op een reguliere werkdag plaatsvindt, mensen opeens niet meer kunnen inloggen of geen toegang meer hebben tot een bepaald systeem. Voor de meeste mensen binnen EZK en DICTU was de hackaanval niet bekend, zodat de realiteit zo goed mogelijk kon worden nagebootst. Na de aanvalsfase vond een evaluatie plaats. Het Red Team deelde zijn bevindingen en aanbevelingen. 

Lessen en vervolg 

Beide mannen noemen de Red Teaming-actie een succesvol project. En was de IB op orde? ‘Na zo’n operatie is er altijd werk te doen’, zegt Zijtveld. ‘Hackers zijn heel creatief en kunnen via de kleinste kiertjes binnendringen. Ze kwamen op plekken waarvan ik van tevoren dacht dat die waterdicht waren.’ Er worden nog steeds verbeteringen doorgevoerd, zodat bij de volgende actie het Red Team het weer wat moeilijker heeft. ‘Dat de actie nu is geweest, betekent niet dat we achterover kunnen leunen’, vertelt Tu. ‘Hackers leren ook en veranderen van methoden. We moeten daarom scherp blijven en blijven meten en verbeteren.’ Het doel is dat bij elk ministerie jaarlijks een Red Teaming-actie plaatsvindt om de veiligheid zo optimaal mogelijk te houden. De conclusie luidt: een goede informatiebeveiliging is nooit af.