Een kijkje in de keuken van het NCSC

Dag in dag uit werken incident responders, securityspecialisten en beleidsmakers van het NCSC aan een digitaal veilig Nederland. Incidenten oplossen, crises bestrijden, achter de bal aanrennen. Maar naast de dagelijkse mores, zoomt het NCSC ook uit en stelt het zichzelf de vraag: lossen we problemen nog wel op zoals dat zou moeten? En wat zijn potentieel nieuwe uitdagingen in de nabije en verre toekomst? Met deze vragen houdt Diederik van Luijk, senior adviseur toekomstverkenning bij het NCSC, zich dagelijks bezig. We spreken hem over de NCSC Trendlijst, een methodiek die toekomstige uitdagingen beter in kaart moet brengen.

Je houdt je bezig met toekomstverkenning, wat houdt dat in?

'Voor het NCSC breng ik trends en ontwikkelingen in kaart op allerlei vlakken: demografisch, geopolitiek, sociaaleconomisch, ecologisch enzovoort. Zo probeer ik naar het grote plaatje te kijken. Cybersecurity staat namelijk nooit op zichzelf. Hoe cybersecurity ontwikkelt, wordt ook beïnvloed door veranderingen op andere vlakken. In de praktijk betekent het dat ik veel lees over ontwikkelingen in de wereld, en vaak werksessies organiseer met collega’s uit verschillende takken van sport. Collega’s van het NCSC en ook externe collega’s en experts om de informatie en ideeën die ik heb te valideren. Van daaruit maak ik een vertaalslag: wat betekenen die trends voor cybersecurity?'

De NCSC Trendlijst is een resultaat van jouw inspanningen. Wat doet het?

'Het helpt organisaties om vooruit te kijken op het gebied van cybersecurity. Het is geen nieuw systeem, maar eerder door het Agentschap Telecom ontwikkeld. Op dat systeem konden we verder bouwen. De NCSC Trendlijst helpt een organisatie door de bomen het bos te zien. De radar vertelt je: deze bomen moet je op korte termijn bekijken, deze bomen mag je negeren en deze bomen moet je volgend jaar eens bekijken. Het helpt organisaties prioriteiten stellen. Je krijgt inzicht in trends en ontwikkelingen, hoe snel die gaan spelen en hoe relevant ze voor jou zijn.'

'Dat is ook wel de kanttekening, de NCSC Trendlijst gaat over trends en ontwikkelingen waarvan we redelijk zeker weten welke kant die op gaan. Voor andere trends maak ik scenario’s, die afhankelijk zijn van sleutelgebeurtenissen. Als na verkiezingen het president X of Y wordt, dan geeft dat verschillende scenario’s als uitkomst. Ik maak dan een toekomstbeeld dat links en rechts gaat, zodat je je op beiden kunt voorbereiden. Maar een organisatie moet ook openstaan voor onverwachte bewegingen en ontwikkelingen. Je kunt nu eenmaal niet alles voorspellen.'

Wat zijn grote thema’s die je als toekomstverkenner nu op de radar hebt staan?

'Twee dingen vallen me op. Ten eerste, het hybride werken. Door corona kwamen mensen een tijd niet bij elkaar en weten we nu dat op afstand werken ook goed uitpakt. Ik verwacht dat er in de toekomst veel vaker wordt gekeken of een verplaatsing of fysieke samenkomst wel nodig is. Dat heeft ook implicaties voor cybersecurity zowel qua kansen als dreigingen. Ik denk dat we de digitale weerbaarheid door samen te werken kunnen vergroten en zo ook op afstand werken veiliger maken.'

'Organisaties werden een beetje overvallen door de lockdowns. Daardoor moesten er snel (veelal in de cloud) oplossingen ingericht worden om te faciliteren dat werknemers hetzelfde konden doen als ze ook op kantoor deden. Maar hoe ga je daar veilig mee om? Iedereen heeft bijvoorbeeld weleens een Miro-bord (online brainstorm tool) voorbij zien komen. Vanuit het idee dat werknemers die eerst in vergaderruimtes met post-its brainstormsessies hielden, dat online ook zo willen doen. Maar hoe gaat Miro om met data die in hun cloud wordt opgeslagen? Welke afspraken moeten met Miro gemaakt worden om te zorgen dat de data die daarin staat ook veilig is?'

'Ten tweede, de druk op grondstoffen. De tekorten aan materialen. Toen het coronavirus uitbrak hebben hele productieketens even stilgelegen. Omdat het om hele lange toeleveringsketens gaat, die ook niet zo snel weer zijn opgestart, is dat kwetsbaar. Je moet nagaan wat dat betekent voor de bedrijfsvoering en hoe je dat beter kunt inrichten. De oplossing is misschien om voortaan met kortere ketens te werken. Dan ben je minder kwetsbaar omdat er minder schakels zijn waar knelpunten kunnen ontstaan.'

Waar moet de NCSC Trendlijst in de toekomst naartoe groeien?

'Op basis van de NCSC Trendlijst gaan we een tool online aanbieden, dit wordt een interactieve weergave van trends en verwachtingen. Organisaties en doelgroepen kunnen daarin onder andere voor hen relevante informatie selecteren. Ook kunnen we dan de informatie regelmatig bijwerken, zodat we de verwachtingen kunnen actualiseren. Net zoals het KNMI dat met het weer doet. Als je naar het weer van over twee weken kijkt is dat heel globaal, maar de voorspelling van morgen is veel nauwkeuriger. Zo moet de NCSC Trendlijst ook worden.'

'Wat je daarnaast ziet bij cybersecurity is dat, net als bij meteorologie, de context verandert. Het weer laat zich lastig voorspellen als je geen rekening houdt met de globale temperatuurstijging door klimaatverandering.  Het model moet aangepast worden. Je moet dat voeden met actuele ontwikkelingen zodat je een accurate voorspelling kan doen. Bij cybersecurity doen wij dat ook.'

Welke onderwerpen staan nu nog niet op de radar waarvan jij verwacht dat ze een rol gaan spelen in de toekomst?

'De klimaatcrisis wordt steeds urgenter. Dat ga je op cybersecurity vlak merken. Ik zeg dat al langer, maar nu de wereld begint te veranderen kunnen mensen het zich pas voorstellen. Smart grids, die ervoor zorgen dat het energienetwerk verandert spelen een rol bij de energietransitie. Dat heeft echt wel implicaties voor het cybersecurity-vak. Hoe ga je ervoor zorgen dat die smart grids ook veilig zijn en blijven?

Ook gaat de strategische autonomie van de Europese Unie een rol spelen. In digitale producten zijn we nu heel afhankelijk van China en de Verenigde Staten. Tot slot denk ik dat we nog beperkt aandacht hebben voor de voedselsector. Er is nog geen Food ISAC bijvoorbeeld. Als ik mensen uit die sector spreek, dan is de sector sterk geautomatiseerd. En die sector is wat mij betreft essentieel, ik denk dat het een kwestie van tijd is dat die ook tot de vitale infrastructuur wordt gelabeld.'

Incidentrespons, wat houdt dat in?

'Op het moment dat er iets aan de hand is in een computernetwerk dan denken wij na over wat er moet gebeuren. We proberen op te sporen wat er misgaat. Bijvoorbeeld waar een indringer in het netwerk zit. Vervolgens proberen we daar een hek omheen te zetten voordat we een harde actie nemen: de misbruikers moeten niet gelijk doorhebben dat wij hen doorhebben. Incidentrespons kun je op dit punt vergelijken met het spel ‘Whack-a-mole’. Het oude arcadespel waarbij een mol op een willekeurige plek uit een aantal gaten omhoog springt en het jouw taak is om de mol met een hamer te slaan. Je kunt de mol raken, maar die kan alsnog door een ander gat naar boven komen. Zo werkt het ook met incidentrespons, als je te vroeg reageert kun je een indringer betrappen en beperken. Maar vaak zitten ze al even in je netwerk, ze kunnen dan bijvoorbeeld een achterdeur ingebouwd hebben. Je slaat ze op plek A eruit, maar dan komen ze op plek B gewoon weer binnen. Je moet dus goed onderzoeken waar ze zitten en hoe je het hek kunt sluiten. Het is logisch dat bedrijven vaak behoefte hebben aan daadkracht: ze willen snel handelen en de indringer weg hebben. Maar soms moet je je juist even beheersen om te kijken wat er aan de hand is en het beeld volledig maken voordat je actie onderneemt.'

Hoe ziet jouw dag eruit als incident responder?

'Bij team IROn hebben we twee operationele rollen: die van incident handler en de IROn man. Doorgaans werken we met twee incident handlers en één IROn man. We houden nauw in de gaten wat er voorbijkomt via allerlei bronnen. Maar we krijgen ook verzoeken en meldingen van onze doelgroepen. De IROn man doet bij een melding eerst triage, om te kijken hoe groot het probleem is. Vaak kunnen kleine problemen snel afgehandeld worden. Maar als dat niet zo is dan wordt het doorgespeeld naar een incident handler.'

'We nemen dan contact op met de organisatie en proberen zo vroeg mogelijk met ze om tafel te gaan. Het liefst ter plekke. Een persoonlijk gesprek is vertrouwelijker. Je weet dat wat er besproken wordt onder ons is en onder ons blijft. Als NCSC kunnen wij zo het beste onze rol vervullen. Hoewel sommige organisaties goed voorbereid zijn, zijn incidenten vaak geen routine. Dan is het handig als wij met onze ervaring vanuit het NCSC advies kunnen geven over welke stappen ze kunnen nemen.'

Welk soort incidenten zie je vaak?

'Een van de dingen die sterk toeneemt zijn aanvallen van ransomware, die veel professioneler zijn dan in het verleden. Toen waren het losse mailtjes die als een schot hagel op alles en iedereen gericht werden. Van privépersonen tot kleine organisaties. Het ging ook om kleine bedragen aan losgeld. Die sector is enorm geprofessionaliseerd. Het komt veel vaker voor dat een ransomware aanval een gerichte aanval op een bepaalde organisatie is. Vooraf doen de aanvallers onderzoek en voorbereiding, waardoor ze weten wat een organisatie waard is en wat dan ook een reële som losgeld is. Na het vooronderzoek en de voorbereiding gaan aanvallers eerst proberen binnen te komen en dan nog een tijdje rondkijken om te zien hoe ze het beste kunnen toeslaan. Ransomware is eigenlijk pas de laatste fase. Wel is dat natuurlijk de meest zichtbare fase. Voor een actor is dat het eindspel.'

Welke rol speelt het NCSC in incidentrespons?

'Het NCSC is een beetje een vreemde eend in de bijt. Wij hebben veel kennis en snappen hoe incidentrespons werkt. Maar in de praktijk gaat het nooit over onze eigen systemen waar een incident plaatsvindt, dat is altijd bij een van onze doelgroeporganisaties. Wij schuiven aan vanuit een onafhankelijke positie. Dat kan fijn zijn, omdat er binnen een organisatie altijd mensen zijn die in je nek hijgen en vragen hoe snel het opgelost is. Wij kunnen adviseren om verder te kijken voordat ingegrepen wordt of om juist nu te acteren, afhankelijk van wat nodig is. Wij kunnen onze handen uit de mouwen steken en actief helpen in het onderzoek of de respons. Of wij kunnen informatie vragen in ons internationale netwerk, of juist informatie met partnerorganisaties delen. Daarmee kunnen wij een unieke blik toevoegen, omdat wij vanuit onze rol natuurlijk veel informatie en ervaring hebben.'

Welke ontwikkelingen zijn er nodig om nog beter te kunnen reageren?

'Organisaties moeten sneller aan de bel durven te trekken. Partijen kunnen nog wel eens terughoudend zijn om met de overheid samen te werken, vanwege de angst dat bij ons alles transparant moet zijn. Met een commerciële partij aan tafel zijn de verhoudingen heel duidelijk. Je betaalt ze voor de diensten waar je ze voor inhuurt, vertrouwelijkheid en de werkwijze zijn afgekaderd in een overeenkomst. Met ons halen ze een partij in huis met een onafhankelijke blik, ons belang is dat jouw organisatie digitaal veilig is. Maar ook dat Nederland digitaal veilig is. En die vertrouwelijkheid staat bij ons hoog in het vaandel. Wij doen als NCSC bijvoorbeeld nooit uitspraken over incidenten bij organisaties, dat is aan organisaties zelf.'

'Toch moeten organisaties kennis over informatieveiligheid ook zelf in huis halen. Zodat ze ook slagvaardig kunnen zijn in hun aanpak. Ik snap dat het ingewikkeld is voor kleine organisaties om daar een medewerker voor beschikbaar te maken. Maar het misbruik is zo grootschalig, dat je ook als kleine organisatie rekening moet houden met dat er iets kan gebeuren. De kunst is om jezelf bekwaam te maken en houden. En niet simpelweg magische software in te kopen die al het werk voor je doet. Dat bestaat namelijk niet.'