EIC Mainport
News 2 november 2017

Verslag Port Cyber Café 3: Incident Response

Source: FERM

In de FERM Port Cyber Café’s duiken we samen met sprekers en experts dieper in een actueel onderwerp rondom cybersecurity in de Rotterdamse haven. De derde editie op donderdag 2 november stond in het teken van incident response: een georganiseerde richtlijn voor het aanpakken en managen van de nasleep van een datalek, beveiligingsincident of aanval

Na een intensieve ochtend en middag met CyberNautics2017 (dat verslag volgt binnenkort), was het donderdag om 16.00 uur tijd voor de derde bijeenkomst in de ‘PCC’-reeks en de eerste editie op de nieuwe locatie, het Educatief Informatie Centrum (EIC) Mainport Rotterdam.

Jaarlijks bezoeken zo’n 20.000 scholieren en studenten de haven en de expositie in het EIC-gebouw op de Landtong Rozenburg, voor lessen, excursies en een bezoek aan de permanente havenexpositie. Een prima locatie dus voor een ‘les' over incident response.

Moderator Chris van ‘t Hof opent zoals inmiddels gebruikelijk de bijeenkomst en doet dat – ook zoals gebruikelijk – aan de hand van de laatste actualiteiten. Aangezien er de afgelopen week voldoende om ‘spoofing’ te doen was, komt dat ook even voorbij. Chris heeft in de aanloop naar de bijeenkomst alle domeinnamen van de aanwezigen even door internet.nl gehaald om te achterhalen hoe kwetsbaar de verschillende websites zijn voor een dergelijke aanval. Wees daar scherp op, en kijk vooral even wat je zelf aan de beveiliging kunt doen!

INCIDENT RESPONSE

Een incident response plan omvat een beleid dat concreet definieert wat een incident is en voorziet in een stapsgewijs proces dat moet worden gevolgd wanneer zich een incident voordoet. Het doel is om de situatie zo te behandelen dat schade wordt beperkt en de terugverdientijd en -kosten worden gereduceerd.

Hoe ziet zo'n plan eruit en (hoe) kun je dat zelf opstellen? Chris geeft het woord aan Pim Takkenberg, voorheen van het Team High Tech Crime van de Landelijke Politie en nu directeur cybersecurity bij Northwave. En, leuk detail, Pim was twee jaar terug onderdeel van de TNO Challenge die aan de basis heeft gestaan van FERM.

Zijn aandeel in de middag leidt hij in met een spreuk van Ghandi: 'The future depends on what we do in the present." Met andere woorden en in deze context: alles wat je nu al doet aan informatieveiligheid speelt een grote rol in je weerbaarheid in de toekomst. Probeer te bedenken wat je vandaag kunt doen om morgen beter voorbereid te zijn.

BYTES, BUSINESS & BEHAVIOUR

Om het onderwerp te benaderen, heeft Pim een model rond drie variabelen: bytes, business & behaviour. De drie B's die in ieder bedrijf met elkaar een wisselwerking hebben. De eerste twee, de digitale data en het bedrijfsmodel, spreken redelijk voor zich. Het is vooral de derde die een belangrijke rol speelt: behaviour, ofwel ons dagelijkse gedrag, zowel privé als in ons werk. Niet voor niets gaven we bij het tweede Port Cyber Café, met het thema awareness de microfoon aan Awareways om de menskant van informatieveiligheid te behandelen. Pim heeft het bij gedrag echter vooral over acties van buitenaf. Geen foutjes in het menselijk handelen binnen een organisatie, maar de pogingen van de boze buitenwereld, waarna hij ons meeneemt langs een serie voorbeelden van 'threat actors': cybercriminaliteit vanuit individuen en collectieven, hoe zij handelen en wat je er als bedrijf aan kunt doen om mogelijke schade te voorkomen of beperken.

CYBER CRISISAANPAK

Vervolgens is er aandacht voor het ontwikkelen van een cybercrisisaanpak specifiek voor de nautische keten in de Rotterdamse Haven. Afwikkeling van de scheepvaart is door de Rijksoverheid benoemd als vitaal proces en daarom is het Havenbedrijf samen met Berenschot gestart met het ontwikkelen van zo'n aanpak, waar ook CyberNautics2017 eerder vandaag onderdeel van was. Om die reden gaat de microfoon voor het tweede deel van de bijeenkomst naar Johanneke van Steenbergen, senior adviseur divisie Havenmeester bij het Havenbedrijf. 

Johanneke legt uit hoe dat plan van aanpak tot stand is gekomen, aan de hand van 6 stappen:

1. Oriëntatie
2. Ketenanalyse
3. Ontwikkelen crisisaanpak
4. Crisistraining
5. Crisisoefening
6. Rapportage

Tekst en uitleg is er over de eerste vier stappen, waarna CISO van het Havenbedrijf Marijn van Schoote de eerste bevindingen deelt naar aanleiding van de daadwerkelijke oefening, nummertje 5. Specifiek komen oefendoelen, scenario en uitkomsten aan bod. Een uitgebreider verslag van CyberNautics2017 en de cybercrisisaanpak in onze haven, inclusief bevindingen uit de rapportage (6) lees je binnenkort op ferm-rotterdam.nl. 

TOT SLOT: AANDACHT VOOR STORAGE SPOOFING

In het havengebied zien we de laatste tijd een toename van het aantal meldingen rond storage spoofing, een categorie van cybercriminaliteit weer we op FERM de komende maand met een serie artikelen aandacht aan zullen besteden. De doelgroep van deze variant van fraude zijn de (inter)nationale bedrijven die in het havengebied opslag hebben óf zoeken en alle potentiële kopers van de handel die onder valse voorwendselen vanuit die terminals aangeboden wordt, maar in de praktijk niet blijkt te bestaan. Wordt vervolgd!

De Port Cyber Café's volgen elkaar in snel tempo op, de volgende staat dus snel weer op de agenda. We houden je via deze website op de hoogte!

Ook voor de agenda: 9 november, Hack Talk #2

Hack Talk is een nieuw maandelijks praatprogramma over actualiteiten in cybersecurity, georganiseerd door Tek Tok en WORM: https://worm.org/hack-talk-2