Transcript CFO Magazine nr 3 - Fox-IT

Beveiliging van digitale omgeving sluit niet aan bij de bedreigingen
Helft van alle
bedrijven is op dit
moment gehackt
Tekst Monique Harmsen | Fotografie Eric Fecken
34 • CFO MAGAZINE • 3 2016
Guido Dubbeld, CFO Eneco en Menno van der Marel oprichter Fox-IT
C F O M AG AZ I N E • 3 2 0 1 6 • 3 5
C
Finance & IT
ybercriminaliteit is een van de snelst
groeiende vormen van criminaliteit. Hoewel de dreiging groot en actueel is, zijn
er maar weinig bedrijven die profactief,
voordat ze gehackt zijn, een plan van
aanpak voor de beveiliging opstellen. Op
dit moment is ongeveer 50 procent van de
bedrijven gehackt zonder dat ze dat weten, stelt Menno van der Marel, medeoprichter van FoxIT, specialist in cybersecurity. In een gesprek tussen Van
der Marel en Guido Dubbeld, CFO van Eneco, worden de
bedreigingen besproken en de manier waarop Eneco hiermee omgaat.
Eneco is volgens Van der Marel een goed voorbeeld van een
onderneming die in de loop van de tijd steeds digitaler is
geworden en tijdig heeft ingezien dat hiermee de digitale
dreiging ook groter wordt en de beveiliging hierop heeft aangepast. Hierin is het bedrijf volgens hem een uitzondering.
Over het algemeen investeren bedrijven volgens hem weliswaar in beveiliging, maar dat sluit vaak niet aan op de
dreigingen van dit moment. “Risico’s die CFO’s op andere
gebieden lopen zijn vaak al jarenlang bekend en daarvan
snapt men tot in detail wat er gebeurt. Aan de cyberkant
verandert de dreiging echter elke maand.” Als voorbeeld
noemt hij een DDoS-aanval waarbij gebruik werd gemaakt
van het Internet of Things om duizenden beveiligingscamera’s en digitale videorecorders een aanval te laten uitvoeren
op een essentiële server waardoor sites als Netflix, Twitter
en Spotify moeilijk of niet bereikbaar waren. “De verwachting was dat dit een keer zou gebeuren, maar nu is het echt
zo ver en dan wordt het tien keer zo serieus genomen.”
Het grootste risico van dit moment is volgens Van der Marel
dat mensen zich niet realiseren dat hun onderneming
gehackt is. “Het duurt heel erg lang, gemiddeld zo’n 200
dagen, voordat bedrijven door hebben dat ze gehackt zijn.
Intussen hebben criminelen vrij spel. “
“Bij Eneco zijn we hier alert en bewust mee bezig”, stelt
Dubbeld. “Als energiebedrijf hebben we een hele goede
crisisorganisatie. We zijn een enorme brandweerorganisatie van origine. Als de elektra uitvalt of een gaspijp wordt
doorboord rukt de ‘brandweer’ uit om het binnen no time
te fixen. Het punt is die dingen kun je zien. We oefenen veel
met: wat als…? Cases die draaien om business continuity
en te maken hebben met IT blijken verreweg het moeilijkst.
Heel veel vragen kun je niet beantwoorden. Wie ga je bellen
als je IT-systeem uitvalt?”
“Het is de spijker op de kop”, stelt Van der Marel. “We kunnen fysiek heel snel zien of er iets mis is. Zo hebben we
een balie in ons kantoor die toegankelijk is, maar we zorgen ervoor dat de rest van het gebouw is afgesloten. Je weet
wie er naar binnen gaat en wie naar buiten. Nu is ook de
IT-infrastructuur een cruciaal onderdeel van onze organisaties geworden, maar we zijn vergeten de ’digitale ogen’
erbij te creëren. Daardoor weten we vaak niet of er digitaal
iets mis is. Het is in principe niet heel moeilijk om te zien,
maar er wordt gewoon niet gekeken.”
Bewustwording
Bij Eneco houdt een klein team zich volledig bezig met
cybersecurity. Zij doen volgens Dubbeld veel preventief
werk zoals het stimuleren van de bewustwording onder de
7000 medewerkers. “Af en toe laten we bewust enkele USBsticks slingeren en kijken wat er dan gebeurt, onze mensen
moeten ook ieder jaar een test doen om de awareness te
meten en te stimuleren. Aan de andere kant zijn onze
IT’ers constant bezig om de beveiliging naar een hoger plan
te brengen. Dat doen ze met partners om de juiste competenties bij elkaar te brengen en door goede afspraken
over veiligheid met leveranciers te maken. Deze afspraken
worden gemonitord en indien nodig worden hier weer verbeterprotocollen opgezet. Het is een dynamisch proces en
daar moet je continu mee bezig zijn want de wereld wordt
steeds slimmer.”
Van der Marel beaamt dat securitybewustzijn en de
koppeling hiervan aan de business erg belangrijk is.
“Bedrijfsonderdelen worden steeds meer digitaal verbonden. Het is belangrijk om periodiek te inventariseren welke
IT-componenten echt belangrijk zijn voor de business. Er
wordt veel gedaan om de gewone zakelijke omgeving veiliger te krijgen, maar voor het productieproces dat eigenlijk
uit vergelijkbare componenten bestaat, is minder aandacht.
Dit terwijl een individuele werkplek
die wordt gehackt meestal veel minder
impact heeft dan een hack in het productieproces dat hierdoor plat gaat. Op
een hoger niveau in de organisatie moeten mensen zich goed realiseren wat dat
voor een invloed heeft op de business.
Bedrijven zijn heel goed in het pakken
van digitale kansen, alles moet sneller en
efficiënter, maar tegelijkertijd hoor je ook
de digitale risico’s te minimaliseren. Je
moet als CFO weten welke impact digitale
aanvallen kunnen hebben op je primaire
processen en op basis daarvan maatregelen nemen.”
“Het duurt heel erg lang,
gemiddeld zo’n 200 dagen,
voordat bedrijven door
hebben dat ze gehackt zijn.
Intussen hebben criminelen
vrij spel”
36 • CFO MAGAZINE • 3 2016
Finance & IT
Menno van der Marel
In Frankrijk en Noorwegen zijn al energieplants down
gegaan door aanvallen van buitenaf en Dubbeld vraagt
zich af hoe je je daartegen kunt wapenen in een omgeving
waarin sprake is van steeds meer connectiviteit. “In onze
wereld zie je de digitalisering van klantbediening en het
steeds meer op afstand aansturen van onze fabrieken en
gasopslag. Dat zijn allemaal verbindingen.”
Van der Marel tipt: “Ga er bij de inrichting van je bedrijf vanuit dat je al gehackt bent of gaat worden en ga met dat in
het achterhoofd aan de slag. Dat is een andere manier dan
zeggen: ik ga eens rustig kijken hoe ik me ga beveiligen.”
Tijdig signaleren
Dubbeld: “Op het moment dat er iets gebeurt pas je je beleid
weer aan. Zeker in de IT, waar men vaak snel dingen wil
ontwikkelen, vindt men corporate regels, waarbij we stellen
dat we met twee leveranciers werken om data op te slaan en
infrastructuur te bestellen, lastig. Toen in 2012 een backup
server van een dochteronderneming werd gehackt en er
meetdata op straat kwam te liggen, hebben we geïnventariseerd waar die data zat. Buiten onze twee vaste leveranciers
bleek het een lijst van adressen die twee A4- tjes besloeg. In
de drang om snel afspraken te maken, is niet gelet op vei-
ligheidsafspraken. Je moet goede afspraken maken en erop
kunnen vertrouwen dat die leverancier dat levert anders
breng je de bedrijfsvoering in gevaar. Het vraagt discipline.
We hebben ook een DDoS-aanval bij een ander dochterbedrijf gehad, als je het tijdig in de gaten hebt en weerbaar
bent, kun je de schade beperken.”
“Dat is de crux van het verhaal”, stelt Van der Marel.
“Degenen die de aanvallen uitvoeren zijn niet altijd even
slim en het kost tijd om bij de kern te komen. Als je kunt signaleren dat ze bezig zijn met een aanval kun je zorgen dat
die aanval meteen aangepakt wordt. Daar moet de organisatie dan wel klaar voor zijn, zodat je, binnen het tijdframe
dat je hebt, op de juiste manier kunt reageren. Nu wordt het
vaak niet gezien of is het al te laat om te reageren.”
Beveiliging
Van der Marel waarschuwt dat de aanvallers zich de afgelopen
jaren verder hebben ontwikkeld. De beveiligingsmaatregelen
sluiten vaak niet meer aan bij de huidige dreiging. “Je hebt een
andere routine nodig. Je hebt up to date intelligence nodig over
de dreigingen die horen bij de sector waarin je actief bent en
je moet continu matchen of de maatregelen die je hebt genomen wel aansluiten bij die dreigingen.”
C F O M AG AZ I N E • 3 2 0 1 6 • 3 7
Finance & IT
Guido Dubbeld
Eneco werkt daarom samen met partners waaronder
Fox-IT. Dubbeld: “Je kunt niet alle intelligence zelf verzamelen. We werken nauw samen met het NCSC (Nationaal
Cyber Security Centrum) dat ons informeert zodra andere
partijen worden aangevallen zodat we ons meteen kunnen
wapenen. We hebben verder korte lijnen met onze leveranciers om meteen in actie te kunnen komen, indien nodig tot
op bestuursniveau.”
Over wat er gebeurt als het echt helemaal mis gaat, treedt
Dubbeld niet in detail. “In het uiterste geval koppelen we de
IT-infrastructuur los en gaan we over op handmatige bediening. Je kunt je afvragen hoe lang dat nog je mitigerende
maatregel is, zaken zijn steeds meer met elkaar verknoopt
waardoor het steeds lastiger wordt.”
Op andere gebieden, zoals bijvoorbeeld Toon, de slimme
thermostaat voor in huis, is Eneco opener over de beveiliging.
Het energiebedrijf lanceerde zelf een speciale app ‘Game of
Toons’ waarmee social responsible hackers konden proberen
Toon te hacken. “We stellen ons hier maximaal kwetsbaar
op om Toon beter te maken voor de klant. Dat is een manier
38 • CFO MAGAZINE • 3 2016
van werken die je moet omarmen om
ervoor te zorgen dat iedereen er beter
van wordt”, aldus Dubbeld.
“Dit is misschien wel de beste manier
om er echt achter te komen wat er mis
kan gaan, beaamt Van der Marel. “Als
er gaten gevonden worden, die natuurlijk gepatched moet worden, heb je wel
even ellende, maar daarna heb je wel
een veel veiligere basis voor het product.
Alles wat in het laboratorium wordt
bedacht en daarna meteen in gebruik
wordt genomen, wordt gehackt.“
Er zijn in de praktijk nog maar weinig
bedrijven die kiezen voor deze oplossing. “Er wordt wel over gesproken, maar
behalve dat het een afbreukrisico oplevert, kost het ook veel geld en het moet
in een streng gecontroleerde omgeving
plaatsvinden”, stelt Van der Marel. “Het
is wel zo dat als een onderneming een
keer is gehackt, dit eigenlijk altijd een
echte game changer is. Er wordt dan
meteen actie ondernemen om naar een
hoger beveiligingsniveau te gaan. Dat
is een proces om controle te krijgen: je
hebt zicht op je netwerk, je weet wat er
buiten gebeurt en je weet wat je respons moet zijn. Het zou heel goed zijn
om gehackt te worden, natuurlijk met
minimale schade. Daarna weet je hoe
het in elkaar zit.”
Hoe groot de schade is, hangt volgens
Dubbeld uiteindelijk af van hoe snel
je er bij bent. “Als het energienetwerk
plat gaat, betekent dat heel veel schade.
Voor Toon hangt het ervan af of het een individuele Toon
betreft of het collectief. Er zijn heel veel afdelingen binnen
Eneco die ieder hun eigen IT-structuur, privacyregels, reglementen, en security hebben. Dat maakt het ook complex
omdat de alertheid van al die verschillende businesses niet
op hetzelfde niveau is.”
Nieuwe risico’s
Van der Marel signaleert dat de dreigingen voor CFO’s en
CEO’s sterk zijn toegenomen als gevolg van een nieuwe
werkwijze van criminelen. “Van gerichte aanvallen op bijvoorbeeld banken is men overgestapt op het ongericht
hacken van honderdduizenden computers. Met behulp van
artificial intelligence wordt vervolgens gekeken welke daarvan interessante informatie bevatten en die computers
worden het doelwit van de volgende aanval. Bedrijven die
heel lang buiten schot zijn gebleven, worden op die manier
nu ook doelwit. Deze bedrijven zijn vaak minder goed beveiligd. Als je dan in hun betalings- of managementsysteem
weet te komen, kan het heel interessant zijn wat je daar
Finance & IT
“Bedrijven zijn heel goed
in het pakken van digitale
kansen, alles moet sneller en
efficiënter, maar tegelijkertijd
hoor je ook de digitale risico’s
te minimaliseren”
aantreft. CEO’s kunnen te maken krijgen met een gelegenheidshack omdat toevallig een of andere computer in je
bedrijf is gehackt. Tegelijkertijd zien we ransomware een
enorme vlucht nemen dat zorgt voor serieuze problemen
bij duizenden bedrijven. Ook hier zien we verdere specialisaties, waarbij geoptimaliseerd wordt door
gerichte grote hacks uit te voeren om de
stroomvoorziening, operatiekamers in ziekenhuizen etc. plat te leggen. Het verandert ook
de perceptie van de risico’s die er zijn. Je zou
verwachten dat ziekenhuizen geen doelwit
vormen, maar dat zijn ze nu wel geworden.”
Voor Eneco is business continuity belangrijk. “Je moet dit testen en dan zie je pas hoe
onthand je bent als je daar niet goed op ingericht bent. Als je geen sensoren en geen ogen
hebt en niet weet wat er aan de hand is, wat
ga je dan doen als het systeem uitvalt? Dan
is de paniek compleet. De makkelijkste wake
up call is een workshop waarin je een real life
testcase uitvoert”, aldus Dubbeld.
Van der Marel: “Wij noemen dat red teaming.
Zonder dat de mensen binnen de organisatie
op de hoogte zijn ga je op zoek naar de klanten database en de computers van de board
zonder dat mensen het door hebben. Je definieert een aantal red flags: dingen die echt
niet mogen gebeuren. Vervolgens haal je stuk
voor stuk die red flags binnen en daarna laat
je in klein verband zien wat er is gebeurd. Dat
is vaak een eyeopener en daarna wordt er op
een hele andere manier naar cyberveiligheid
gekeken.”
Gevraagd naar een advies aan andere CFO’s
op basis van zijn ervaring stelt Dubbeld: “Ik
zou een bedrijf van buiten een penetratietest
laten uitvoeren om uit te vinden wat eventuele indringers allemaal zouden kunnen doen.
Daarnaast kun je awareness creëren via een
shocking experience. Simuleer dat je bedrijf
is platgelegd en je een oplossing moet vinden.
Je ondergaat dan even een paar uur hoe
slecht je eigenlijk geïnformeerd bent en
hoe slecht je je voelt op dat moment. Als
je dit hebt meegemaakt ben je wel wakker.
En als je wakker bent, ga dan met gespecialiseerde bedrijven aan de slag en maak
een stappenplan.”
Van der Marel raadt CFO’s aan te praten
met collega’s die het hebben meegemaakt.
“Het gebeurt heel veel, probeer te leren
van elkaar. Als je echt in control bent moet
je een rapportage kunnen krijgen van de
cyberaanvallen van afgelopen maand en
hun impact. Als je dat niet krijgt dan moet
je zorgen dat dat wordt ingeregeld. Een crisisoefening met een serieus incident geeft je houvast voor
als het echt misgaat. Leer van zo’n oefening en maak een
plan. Belangrijk is dat je cybersecurity tot onderdeel maakt
van business continuity en niet alleen van IT, want gehackt
worden we allemaal een keer.”
C F O M AG AZ I N E • 3 2 0 1 6 • 3 9