De staatssecretaris van Digitale Zaken wil Red teaming, het door ethische hackers laten testen van de veiligheid van systemen, rijksbreed inzetten. In een brief aan de Tweede Kamer schrijft ze dat red-teaming-tests uiterlijk in 2025 volledig opgenomen zullen zijn in de test-planning en begrotingscyclus. Nu al wordt in diverse organisaties Red Teaming ingezet.
Beeld: Shutterstock
‘We moeten de proactieve aanpak van informatiebeveiliging verder versnellen,’ schrijft van Huffelen. ‘Een essentieel element in die proactieve aanpak is het structureel testen van de eigen organisatie, om kwetsbaarheden en risico’s te identificeren en te kunnen aanpakken. We weten immers dat ondanks alle inzet fouten gemaakt kunnen worden, nieuwe kwetsbaarheden bekend worden, en aanvallers steeds nieuwe methoden ontwikkelen.’
Onderzoek door CIO Rijk
De CIO Rijk heeft onderzocht of en hoe Threat Intelligence Based Ethical Red-teaming (TIBER) van De Nederlandsche Bank (DNB) toegepast kan worden binnen het rijk. Dit onderzoek is uitgevoerd in samenwerking met onder meer DNB, NCTV en enkele departementale CISO’s. De belangrijkste conclusie is dat red-teamingtesten al binnen onderdelen van de rijksoverheid worden toegepast en dat daarbij in een aantal gevallen ook de TIBER-aanpak wordt gehanteerd. Verder is gekeken of de resultaten van dit soort testen breder zijn te delen. Dat kan als een vertrouwde omgeving (fysiek, digitaal en sociaal) beschikbaar is. Ook moeten de bevindingen zo worden geformuleerd dat ze voor andere organisaties binnen de rijksoverheid dan de geteste organisatie bruikbaar zijn.
Als fictief voorbeeld noemt de staatssecretaris een kwetsbaarheid in mailservers. Als deze informatie in verkeerde handen zou komen, zou die gebruikt kunnen worden om daadwerkelijke aanvallen uit te voeren op het mailsysteem van de betrokken organisatie, zolang de verbetermaatregel nog niet is doorgevoerd. Door het risico van de kwetsbaarheid generiek te formuleren, is dit in een veilige omgeving wel deelbaar.
De uitvoering van het plan van aanpak wordt opgepakt vanuit CIO Rijk, in samenwerking met de departementen. De departementen zullen daarnaast zelf periodiek testen blijven uitvoeren.
