Interview NCSC: ‘Ons streven is om hengels uit te delen, geen vissen’

Frank Grandia werd na zijn opleiding aan de Nederlandse Defensie Academie commandant en manager binnen Defensie, met als voorlopige kroon op het werk de functie van senior adviseur voor de Commandant der Strijdkrachten. In 2018 maakt hij vanuit de uitwisseling tussen het NCSC en Defensie – Defensie Cyber Commando – de overstap naar MinJenV.

“Het was een combinatie van mijn wens om bij een ander departement te kijken en de behoeften van de organisatie op die positie,” legt Grandia uit. “Het is een detachering, dus ik ga uiteindelijk terug – maar ik had niet verwacht dat ik het zo waanzinnig interessant zou vinden. Het is ontzettend relevant, écht 24/7 en het staat centraal in onze verdediging van processen die bij verstoring voor maatschappelijke ontwrichting kunnen zorgen.” Met andere woorden, dezelfde drive die Grandia naar onder meer Bosnië, Kosovo, Irak en Afghanistan leidde, heeft hem nu naar Den Haag gebracht – waar de uitdagingen grotendeels blijken te overlappen.

Het primaire proces van de operationele tak is het verzamelen, duiden en waar nodig van handelingsperspectief voorzien van digitale dreigingen en kwetsbaarheden. “De enorme hoeveelheid data wordt vertaald naar relevante informatie voor doelgroepen, waarbij we hen kunnen voorzien van adviezen en waar nodig ondersteuning op locatie.”

Het NCSC is daarin niet uniek, maar de informatiepositie binnen Nederland is dat volgens Grandia wel. “We zijn informatiepartner van nationale en internationale organisaties, van ethische hackers, onderzoekers op universiteiten, individuele bedrijven en organisaties, van inlichtingendiensten, CERT’s en nationale cybersecuritycentra.”

Centraal in die aanpak staat het Fusion Centre, een informatiehub die 24/7 bemand is en voorheen bekend stond als de Waakdienst. “Daar waren met name technisch specialisten actief, maar ruim een jaar geleden hebben we dat omgevormd naar de huidige opzet om vanuit al dat informatieverkeer ook direct de link te kunnen leggen met dreigingen.”

“We zijn aangesloten op zo’n 1900 bronnen, jaarlijks goed voor ongeveer een half miljoen berichten over mogelijke dreigingen en kwetsbaarheden. Bronnen zijn geautomatiseerde stromen, maar ook de nationale en internationale partners. We verzamelen en monitoren alle informatiestromen en zorgen waar nodig direct voor een persoonlijke respons.”

“Vorig jaar zijn we als organisatie verzelfstandigd. Alle processen, taken en rollen werden opnieuw tegen het licht gehouden en waar nodig opnieuw ingericht; een stevige werklast. Gelukkig hebben we ook veel nieuwe collega’s mogen begroeten. Die fase is nu achter de rug, waardoor de gewone gang van zaken weer terugkeert.”

Wie het NCSC een beetje in de gaten heeft gehouden, heeft die ‘terugkeer naar de dagelijkse praktijk’ al kunnen merken aan een aantal nieuwe dossiers en handreikingen. Zo werd deze zomer het Factsheet Ransomware gepubliceerd, een overzicht van de verschillende soorten ransomware. Het beschrijft maatregelen die je als organisatie kan nemen om een dergelijke cyberaanval te voorkomen, en biedt advies over wat te doen als jouw organisatie daadwerkelijk geïnfecteerd raakt.

Een tweede waardevolle publicatie waar het NCSC aan heeft bijgedragen is het Cybersecurity Beeld Nederland (CSBN), een jaarlijkse monitor die samen met de NCTV wordt opgesteld en waarvan de 2020-editie aan het begin van de zomer door de NCTV is gepubliceerd. Het CSBN biedt inzicht in de digitale dreiging en de belangen die daardoor kunnen worden aangetast, maar onderschrijft tevens waarom we blijvend aandacht moeten hebben voor onze digitale weerbaarheid.

“We zijn erg druk geweest met de organisatie, maar nu die staat willen we het netwerk verder uitbreiden en meer interactie met doelgroepen opzoeken. Beredeneerd van bovenaf is ons voornaamste doel het voorkomen van uitval van rijksoverheidsystemen en van vitale systemen met potentiële maatschappelijke ontwrichting als gevolg. Daar heb je de allerbeste informatievoorziening voor nodig, én de mogelijkheid om daar zo snel mogelijk over te beschikken.”

Die uitbreiding beperkt zich dan ook niet tot de doelgroepen. Nationaal wordt bijvoorbeeld nauwer samengewerkt met de AIVD, MIVD, Politie en het OM. De toenemende dreiging van geavanceerde digitale sabotage, verstoring van vitale processen, cybercrime en (economische) spionage vormen een groot risico voor Nederland. Een snelle en gecoördineerde reactie op incidenten en dreigingen maakt daarbij het verschil.

Die snelle, gecoördineerde reactie brengt ons op de onvermijdelijke overeenkomsten tussen de focus van het NCSC – weerbaarheid op het digitale vlak – en een van de kerntaken van Defensie, namelijk bescherming tegen fysieke dreiging. “Daarin zijn inderdaad opvallend veel paralellen”, vertelt Grandia, die tijdens zijn militaire loopbaan onder meer de masteropleiding Executive Master of Security and Defense volgde. “Als je goed wil verdedigen, dan moet je je verplaatsen in de rol van aanvaller – en vice versa. Een tactiek die ook bij cyber erg herkenbaar is.” Een pentester is in feite een verkenner, zeg maar.

“Daarnaast is er de manier waarop we in ons operatiecentrum in vaste rollen samenwerken. Dat is hier erg gericht op het uitvoerende, maar wel sterk vergelijkbaar met een organisatiepatroon van Defensie. En hetzelfde geldt voor de gedeelde saamhorigheid; een baan bij ons komt met een drijfveer vergelijkbaar met de roeping die soldaten voelen.”

Er zijn natuurlijk ook verschillen. “De digitale dreiging richting de continuïteit van Nederland is actueler, groter misschien wel, dan de fysieke dreiging. Maar het is veel lastiger om te zien wie die dreiging vormt, en waar die vandaan komt. Militairen worden ingezet als de Nederlandse integriteit wordt geschonden, maar dat gebeurt ons digitaal dagelijks – vanuit hackers, cybercriminelen, statelijke actoren. Toch percipiëren we dat niet met zekerheid vanuit één dader, en dat maakt de attributie en dus de reactie lastiger.”

Daarom hecht het NCSC veel waarde aan samenwerkingen op het vlak van digitale weerbaarheid, cyber resilience. “Neem bijvoorbeeld een initiatief als FERM, dat hebben we heel warm omarmd. De Divisie Havenmeester is een paar jaar geleden vitaal verklaard, dus samen optrekken is cruciaal, en hetzelfde geldt voor een duidelijke coördinerende rol.”

“De Europoort is natuurlijk een heel belangrijk knooppunt. Er is veel interesse vanuit kwaadwillenden om informatie te halen en processen te verstoren – met gevolgen voor heel Nederland. We hebben nu die ‘vitale’ sectoren en organisaties, maar er is een toenemende verwevenheid. Je hebt niet ‘een’ organisatie, je hebt een hele keten. En die is zo sterk als de zwakste schakel. De vraag is natuurlijk of elke verstoring leidt tot grote schade of iets wat we maatschappelijke ontwrichting mogen noemen, maar het aanvalsoppervlak wordt wel steeds groter, en het wordt dus ook steeds lastiger om dat te verdedigen.”

De NotPetya-aanval in 2017, die ook Nederland trof en het containertransport via haven, snelweg en spoor deels platlegde, heeft het belang van cyberweerbaarheid stevig onderstreept. Veel recenter is door de coronacrisis ook de samenwerking tussen het NCSC en Z-CERT, het expertisecentrum voor cybersecurity in de zorg, in een andere versnelling geraakt. “Zij werden net als de Divisie Havenmeester een paar jaar eerder tot doelgroep van het NCSC verklaard om de weerbaarheid omhoog te krijgen, met het verschil dat bestuurlijke hordes een stuk sneller genomen kunnen worden als de situatie daarom vraagt.”

“Daaruit volgden de operationele implicaties bij ons: kunnen we de juiste capaciteiten op de juiste momenten inzetten? Dat is continu in ontwikkeling. Inmiddels verschuift de dreiging van het in stand houden van de zorg naar het beschermen van de farmaceuten, degenen die het vaccin aan het ontwikkelen zijn. De dreiging daar is met name in de vorm van spionage, en zelfs sabotage, dus dat vereist weer nauwere monitoring.”

Grandia vergelijkt het NCSC met de brandweer, die behalve blust waar nodig ook continu zoekt naar mogelijke oorzaken, en voorkomt dat er überhaupt brand ontstaat. Maar waar ligt in die metafoor de verantwoordelijkheid van de bedrijven zelf?

“We zoeken inderdaad continu naar mogelijke oorzaken van brand, werken aan preventie en zorgen dat organisaties zelf kunnen blussen. Maar we zijn geen commerciële dienstverlener die bedrijfsbrandweer wil zijn. Onze rol is het verdedigen van digitale processen die tot maatschappelijke ontwrichting kunnen leiden. Organisaties hebben een eigen verantwoordelijkheid. Ons streven is dan ook om hengels uit te delen, geen vissen.”

“De digitalisering gaat heel snel en ook dreigingen ontwikkelen in rap tempo. Je leitmotiv als ondernemer moet zijn om zelf voor het juiste niveau van weerbaarheid te zorgen. Daarin zien we veel verschillen, de een is verder dan de ander, maar te vaak wordt het nog als puur economische afweging gezien. Dat betekent op korte termijn een mogelijke win, maar op de langere termijn zijn het risico’s die je niet kan dragen. Nog los van het feit dat je partners in de keten daarmee ook in gevaar brengt.”

“Cybersecurity als prioriteit gaan zien begint met zorgen dat je weet wat je in huis hebt – in termen van informatie, maar ook op het vlak van hard- en software – en tijdig van updates voorziet. Dus goed patch management. Dat is de basis van je eigen digitale weerbaarheid.”

“Daarnaast ligt er natuurlijk een uitdaging in het bewustmaken van je organisatie en medewerkers. Welke risico’s zijn er, welke informatie wordt er dagelijks verwerkt, wie heeft toegang tot wat, en waarom, et cetera et cetera.” Het gaat hand in hand met de bekende uitspraak dat 7 van de 10 incidenten beginnen bij een menselijke fout.

“Hoe goed je ook je best doet, de succesfactor voor een kwaadwillende is vrijwel altijd een zwakke plek. En dat is meestal menselijk handelen – slechte wachtwoorden, te laat updaten, geen patches – waardoor je zelf de deur opent. De echt geavanceerde actoren kunnen wel zonder, maar in algemene zin begint ongewenste toegang bij een digitaal poortje dat niet fatsoenlijk gesloten is.”

Dit interview verscheen in het augustusnummer van Europoort Kringen.