Israël Electric Corporation heeft 92 procent van de energiemarkt in Israël in handen en noemt zichzelf het meest aangevallen bedrijf ter wereld: 135.000 aanvallen per week.
Is het omdat jongeren vanaf hun 18e in dienst gaan en daar 2 of 3 jaar blijven? Is het omdat cyberaanvallen zo’n grote rol spelen? Is het omdat er nogal wat slimme immigranten zijn binnengekomen? Of komt het doordat er in 1993 al gestart is met incubators en dat model steeds verder verfijnd is?
Maakt allemaal niet uit, want feit is dat Israël boordevol goede ideeën zit waar heel Silicon Valley met argusogen naar kijkt. Om vervolgens toe te slaan. Ik zal niet snel de mengeling van ongeloof, geluk en verwachting vergeten op de gezichten van de twintigers die net voor meer dan 200 miljoen euro hun bedrijf aan een Amerikaanse beveiligingsgrootheid verkocht hadden. Evengoed wilden ze nog wel met me praten. Over hun nieuwe plannen, want ze zijn nog lang niet klaar.
Cyberaanvallen spelen een belangrijke rol in het dagelijks reilen en zeilen van het Israëlische leger, maar ook voor de Israël Electric Corporation. Het bedrijf heeft 92 procent van de energiemarkt in Israël in handen en noemt zichzelf het meest aangevallen bedrijf ter wereld: 135.000 aanvallen per week, waarvan 2 tot 4 serieuze per maand. Met Cyber Control (een grootheid op het gebied van het ontwerpen en bouwen van systemen voor cyber defense en afkomstig van de Israëlische NSA) is een joint venture opgezet om mensen te trainen in het omgaan met cyberaanvallen.
Waar ik nog probeerde uit te leggen dat we in Nederland erg veel doen aan het bewustwordingsproces en dat er een traject van ‘verplichtende zelfregulering’ is ingezet en we wel degelijk aandacht hebben voor opleiden, werd me heel snel duidelijk gemaakt dat opleiden mooi is, maar ‘dat trainen werkt’. Dat was natuurlijk niet tegen dovemans oren gezegd, want ik ben en blijf een voetballer en snap dus heel goed dat het overstappen van 4-3-3 naar 5-3-2 best nog even wat training vraagt. Je kunt het uitleggen, maar trainen maakt je beter.
Letterlijk in de schaduw van een van de 17 energiecentrales is een fraai trainingscentrum opgezet waar groepen aan de slag kunnen met een kopie van hun eigen infrastructuur. Het bedrijf bouwt op die locatie de situatie van de klanten na en maakt het op die manier mogelijk een levensechte situatie te creëren. Zeker in het geval van kritische infrastructuren (denk aan onze waterwerken, maar ook banken, zware industrie en publieke diensten) wordt het wel heel tastbaar als de aanvallen op de infrastructuur leiden tot bijvoorbeeld het stijgen van het waterpeil. We zagen hoe de controlekamer letterlijk onder water kwam te staan. Mooi om te zien hoe basisfouten worden gemaakt als de druk hoger wordt.
Omdat de werkelijkheid zo dicht mogelijk benaderd wordt, kan er niet gestopt worden, het is nadrukkelijk geen simulatie. Een gemiddelde training duurt een week, waarvan je 2 à 3 dagen in de klas doorbrengt, een halve dag voorbereidt en vervolgens de rest van de week als blue team in ‘de arena’ wordt gezet. Een red team (hackers) valt aan en een wit team draagt zorg voor de moderatie.
Natuurlijk helpt een fraaie locatie, maar het bezoek inspireerde me tot dit bericht, omdat ik daadwerkelijk geloof dat trainen veel effectiever is dan het goede gesprek dat wij veelal voeren over informatiebeveiliging. Ik kijk overigens met plezier terug op de oefeningen die we bij het Rijk wèl deden, maar realiseer me tegelijkertijd dat we barsten van de SCADA-systemen, dat Nederland zo zijn eigen kwetsbaarheden kent en dat het natuurlijk altijd gaat om de factor mens. Want ook dat werd duidelijk: bij geavanceerde aanvallen speelt social engineering een belangrijke rol. In de bezochte faciliteit wordt op iedere twee trainees één instructeur gezet. Dat zijn stuk voor stuk Israëlische hackers, getraind in het leger. Wat we zagen, was dan ook eigenlijk een war game. Een kruising tussen een schietspel op de PC en een paintball game. Met een flinke scheut social engineering.
Het is zonder meer een goed idee over dit soort voorzieningen na te denken. Beter nog: laten we zorgen dat we kunnen trainen. Op mijn vraag welke voorzieningen elders in de wereld een beetje lijken op deze, kreeg ik als antwoord: er is er één in Idaho. Dat is dan weer goed nieuws: liggen we niet veel achter. Enne, ja er zijn ook kortere trainingen voor VIP’s…
En hoe heet dat bedrijf? Cybergym. Ik dacht dat het was afgeleid van Gymnasium, maar nee, het komt van Gymnastics. Trainen dus!