De ministeries van Justitie en Veiligheid (JenV) en Financiën lieten dit jaar hun eigen ICT-systemen deskundig aanvallen door een ingehuurde partij. Deze exercitie staat bekend als Red Teaming. We spraken met Initiatiefnemer Sylvia Cammeraat, manager Concern-control Informatievoorziening en Security bij JenV en CISO Ted Blonk van Financiën.
Het ministerie van Justitie en Veiligheid ondernam Red Teaming voor een aantal uitvoeringsorganisaties. Het ministerie van Financiën deed dit voor de tweede keer voor de eigen organisatie. Sylvia Cammeraat: “en oefening als deze maakt ons nog veel bewuster van het gevaar. In rapporten staat altijd dat bestuurders de ernst van de dreiging beter zien wanneer dat binnen de eigen organisatie gebeurt. Een inbraak in eigen huis komt harder aan dan een bij de buren.”
Realistisch aanvallen
De essentie van Red Teaming is dat een realistisch aanvalsscenario wordt gebruikt. Cammeraat vroeg aan CIO’s en CISO’s wie vrijwillig een rode vlag wilde planten bij de kroonjuwelen van zijn of haar organisatie. Aan animo geen gebrek. Ze gaven iemand van de externe partij een medewerkersaccount gegeven. “We hadden ook kunnen kiezen voor phishing om die gegevens boven tafel te krijgen, want er is altijd iemand die op zo’n e-mail klikt. Die medewerker zou zich super rot voelen als hij of zij degene was die de ‘inbreker’ had binnengelaten.”
Financiën koos een andere weg en deelde alleen de doelen. Blonk: “Onze partij deed onderzoek op internet naar wat er over onze organisatie te vinden was en baseerde de aanval daarop. Via social engineering zijn ze een behoorlijk eind gekomen in de organisatie: de aanvallers maakten gebruik van de behulpzaamheid van onze servicedesks.”
Steun van de top
De uitkomsten van Red Teaming leidden tot meer steun door de top van de organisatie. “Het testen van de feitelijke veiligheid is een extra impuls voor onze beveiligingsambities”, stelt Cammeraat. Net als bij Financiën zijn bij JenV meer middelen beschikbaar gesteld voor maatregelen. Blonk deelt zijn ervaring: “We beseffen dat een hack ons allemaal kan overkomen. Dat de deur op slot zit betekent niet dat we zorgeloos kunnen slapen. We moeten alert blijven op nieuwe dreigingen. Red Teaming is een van de middelen die we als overheid moeten toepassen om verder te verbeteren.”
Dit is een verkorte versie van het artikel. Het hele artikel is te lezen in iBestuur Magazine #41 van 20 januari 2022.
Nog geen abonnement? Meld u aan voor een (gratis) abonnement via onze website.