Port Cyber Café

Verslag tweede Port Cyber Café: Awareness

- 15 September 2017

In het verlengde van het 'Sta jij FERM'-seminar in Spijkenisse worden er periodiek bijeenkomsten onder de noemer Port Cyber Café georganiseerd. Sprekers en experts uit het vak duiken samen in een informele setting dieper in een actueel onderwerp van cybersecurity in de Rotterdamse haven. Een verslag van het eerste Port Cyber Café vind je hier. Donderdag 14 september vond de tweede editie plaats, opnieuw in café restaurant Courzand. Een terugblik!

Chris van 't Hof is onze vaste moderator bij FERM-events. In maart nam hij ons aan de hand bij het seminar in Spijkenisse, in Courzand was hij donderdagmiddag inmiddels voor de tweede keer gastheer.

De tweede editie trapt hij opnieuw af met wat actuele zaken uit de wereld van cybersecurity. ‘Heeft je bedrijf een datalek, verkoop dan snel al je aandelen!’, grapt hij naar aanleiding van de berichtgeving over de datalek bij Equifax. De situatie rondom de recente hack bij dat kredietbedrijf is inmiddels in een soap veranderd, nadat topmensen van het bedrijf beschuldigd zijn van handel met voorkennis. Hacken voor beursgewin, daar sta je ook niet altijd bij stil!

INFORMATIEVEILIGHEIDSBELEID
Vervolgens is het woord aan Marijn van Schoote, Information Security & Risk Officer van het Havenbedrijf Rotterdam. Aan de hand van een standaard format voor een informatie-beveiligingsbeleid gaf hij de nodige tips en tricks bij het maken van keuzes en het opstellen van beleid. Het volledige format zullen we snel op deze website delen.

,,Hoe belangrijk cybersecurity is en hoeveel er op ons afkomt, hoef ik inmiddels niet meer te vertellen,” zegt Marijn. Denk nog maar even aan het platleggen van de APM Terminals, inmiddels een schadepost van zo’n 300 miljoen euro. ,,Dan kijk ik liever naar praktische handvatten en tips om concreet met je informatiebeveiliging aan de slag te gaan.”

DE KUNST VAN HET KIEZEN
Een succesvol informatieveiligheidsbeleid, zo luidt de samenvatting, vereist behalve de benodigde middelen ook vooral de juiste keuzes – maar hoe maak je die? ,,Dat begint bij risicomanagement,” legt Marijn uit. ,,In kaart brengen wat er –potentieel– op je organisatie afkomt, een inschatting van de gevolgen en een plan voor de aanpak van die situatie.” Een plan dat gericht is op organisatorische, fysieke én technische maatregelen om het gehele spectrum te kunnen bedienen.

Specifiek kijken we naar ISO 27001 en 27001, hele bruikbare handvatten om aan de slag te gaan. ,,Niet kijken naar het ‘hoe’, maar beginnen bij het ‘wat’ – want de invulling is pas je tweede stap.” De ISO 27001 en 27002, zijn de belangrijkste internationale normen voor informatiebeveiliging, die eerder dit jaar overgenomen zijn als Europese normen. Met name ISO 27002 (‘Informatietechnologie - beveiligingstechnieken - praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging’) is een solide startpunt voor wie überhaupt nog geen concreet informatieveiligheidsplan heeft. Herhaal daarin steeds de belangrijkste vragen: wat is cruciaal, wat is van minder belang? Waar liggen de grootste risico’s en wat zijn de potentiële gevolgen? We gaan er bij het publiceren van het format dieper op in.

HANDIGE HULPMIDDELEN
Aangezien Marijn het liefst praktische tips deelt, ook nog even het volgende: lees het Cybersecuritybeeld Nederland eens door. En kijk eens goed rond op de website van het Nationaal Cyber Security Centrum, nscs.nl. We haalden er onder meer ons voorbeeld voor responsible disclosure vandaan, maar je vindt er tal van richtlijnen om je informatieveiligheidsbeleid mee aan te pakken.

Als goed voorbeeld voor het niveau van investering in zo’n cyberplan verwijst Marijn weer even naar de ‘Herna Verhagen-regel’, naar de topvrouw van PostNL. Die stelt dat je er goed aan doet om altijd zo’n tien procent van je investering in IT aan de beveiliging ervan toe te kennen. Het maakt daarbij niet uit of het om een particuliere laptop van 500 euro en dus vijf tientjes aan antivirusproducten gaat, of om een bedrijf dat twee miljoen in de eigen informatica steekt en dus zo’n twee ton zou moeten investeren in de beveiliging daarvan.

KETENBEVEILIGING
Over het niveau van beveiliging komen vervolgens ook diverse vragen uit het publiek. Waaronder: ketenbeveiliging. ‘Natuurlijk is interne beveiliging cruciaal, maar hoe zit het met de partijen waar we zaken mee doen?’ Marijn beaamt dat het heel ambitieus is om dat op dit moment voor het hele havengebied vast te leggen, maar het is goed om je bewust te zijn van je directe relaties in de keten. Begin daarom bij je eigen organisatie. Zijn mijn belangrijkste leveranciers gecertificeerd? En wat zeggen die certificaten daadwerkelijk? FERM betekent ook dat we gezamenlijk naar een verbetering over de hele linie moeten kijken, en daar duidelijk over moeten communiceren. Een punt waar het geplande meldpunt van Havenmeester en Port Cyber Resilience Officer René de Vries een belangrijke rol in kan spelen.

AWARENESS: ‘MAAK MENSEN INFORMATIEBEWUST’
De tweede helft van de presentaties deze middag is voor Maarten Timmerman, directeur van Awareways. Hij besteedt aandacht aan de rol van de medewerkers in een organisatie, omdat een groot deel van cybersecurity begint aan de menskant.

Om dat in een bredere context te plaatsen: ‘maak mensen informatiebewust over de waarde en kwetsbaarheid van de gegevens waar we mee werken.’ Informatieveiligheid is de verantwoordelijkheid van de gehele organisatie en niet alleen van IT, dus de kennis en vooral het gedrag van de medewerkers spelen een bepalende rol.

Awareways benadert die rol vanuit vakgebieden als psychologie, marketing en communicatie. Om dat te duiden, verhaalt Maarten over de theorieën van Robert Cialdini, oud-hoogleraar psychologie en marketing aan de Arizona State University en de Stanford-universiteit. Specifiek gaat het over de 6 beïnvloedingsprincipes – zoals urgentie, schaarste en autoriteit – die de gevierde professor ooit introduceerde en de rol die deze principes spelen in hedendaagse methoden van hacking en vooral social engineering. Neem een phishing e-mail als voorbeeld. De afzender creëert een gevoel van noodzaak (‘reageer nu!’), een voorbeeld van urgentie, en richt zich op schaarste (‘laatste kans!’). Bij ‘autoriteit’ kun je bijvoorbeeld weer denken aan CEO-fraude: de afzender pretendeert een leidinggevende te zijn.

Een belangrijk onderscheid om daarbij te maken, stelt Maarten, is dat hackers niet louter uit zijn op diefstal van informatie. Toegang tot bepaalde gegevens kan al voldoende zijn. Bijvoorbeeld om die gegevens te manipuleren. 

SOCIAL ENGINEERING IN DE PRAKTIJK
Een tweede onderscheid is het feit dat hacken zeer zeker niet beperkt is tot ingewikkelde cybercriminaliteit en aanvallen met virussen, ransomware en IT-gereedschap. Een hacker weet namelijk dat de beste manier om informatie te bemachtigen nog altijd is er simpelweg naar te vragen. Om dat concreet te maken, presenteert Maarten een voorbeeldscenario om het concept social engineering inzichtelijker te maken. Zijn ‘doelwit’? Havenbedrijf Rotterdam.

,,Gelegenheid maakt de dief,” vertelt Maarten. Daarom zijn er tal van voorbeelden van geautomatiseerde phishing e-mails die in batches van tien- of honderdduizenden uitgestuurd worden, in de hoop dat er links en rechts wat slachtoffers intrappen. Pas bij het ophalen van het net zien hackers wat het heeft opgeleverd. Maar vanuit social engineering zijn phishing-pogingen vaak veel inventiever, veel doelgerichter en in toenemende mate persoonsgebonden.

Terug naar zijn doelwit, het Havenbedrijf. Maarten laat zien hoe hij met een willekeurige pasfoto van Google-afbeelding een fictief persoonsprofiel aangemaakt heeft om de personeelsafdeling van Port of Rotterdam te mailen. Dankzij de reactie op dat bericht, een keurige afwijzing, heeft hij vervolgens de officiële e-mailhandtekening van de betreffende afdeling. De volgende stap is een nep LinkedIn-profiel, relatieverzoeken naar mensen van het Havenbedrijf en een berg huiswerk doen.

Huiswerk zoals ‘wie werkt er op welke positie, wat kan ik van hem of haar online vinden, hoe liggen de relaties, wat zijn de gebruikelijke communicatievormen’ – et cetera, et cetera. Het resultaat is een overzichtelijk organisatieschema waarmee een cybercrimineel precies wie wanneer waarmee te benaderen om zich de eerste toegang tot het netwerk te verschaffen – met potentieel verstrekkende gevolgen. 

PLAN VAN AANPAK
Ok, dat is één manier. En zo zijn er legio voorbeelden. Maar Awareways is er natuurlijk niet op uit via social engineering data te bemachtigen. De vraag die hen bezighoudt is: hoe maken we mensen bewust van precies dit soort voorbeelden? Want het lijstje vergelijkbare bedreigingen strekt behoorlijk. Van ‘outside-in’ threats zoals ransomware en CEO-fraude tot ‘inside-out’ incidenten omdat medewerkers hun computers niet vergrendeld, gevoelige papieren bij de printer laten liggen of thuis ‘even’ een zakelijk mailtje afhandelen. En áls men zich bewust is van dat soort situaties, hoe gaan we er dan mee om? Awareness is namelijk niet hetzelfde als gedrag. We weten allemaal dat we niet altijd doen wat het beste voor ons is, of het nou gaat om duurzaamheid, gezonde voeding of gedrag in het verkeer, maar we handelen er niet altijd naar. Hoe pak je dat aan? Dat is precies waar Awareways je mee kan helpen. 

Maarten vertelt over de structurele invloeden op kennis en gedrag op de werkvloer. Bijvoorbeeld de sociale norm, zoals de rol van collega’s en de (voorbeeld)functie van het management. Maar ook over factoren als attitude, gevoel van controle, praktische belemmeringen, kennis  en bedrijfscultuur. Juist door aan al deze punten te werken kun je gedrag echt veranderen. Denk aan online leermodules, workshops met hackers, phishing simulaties, verrassende acties en uitgebreide, op maat gemaakte communicatiecampagnes.

Waar dan te beginnen? ‘Simpel; doe eens een maturity test. Dan brengen we in kaart waar jouw organisatie staat, wat je zou kunnen doen en hoe we dat samen aan kunnen pakken.’ Je kan deze awareness scan zelf doen: het wordt gratis op de FERM-website aangeboden. Iemand uit het publiek blijkt de nulmeting al eens ingevuld te hebben. ‘Het was vooral heel confronterend. Er is nog wel wat werk te doen.’ Daarom; maak je organisatie weerbaar!

DOE DE AWARENESS TEST
Ook kosteloos testen hoe het binnen jouw organisatie met het bewustzijn over informatiebeveiliging gesteld is? Na het beantwoorden van deze 30 vragen ontvang je gratis en vrijblijvend een uitgebreid rapport om je te helpen de volgende stap in informatieveiligheid te nemen.

TOT SLOT: STORAGE SPOOFING
In het havengebied zien we de laatste tijd een toename van het aantal meldingen rond storage spoofing, een categorie van cybercriminaliteit waar we bij FERM de komende tijd met een serie artikelen aandacht aan zullen besteden. Laten we voor nu even beginnen met een definitie van ‘storage spoofing’: een verzamelterm die we bedacht hebben voor alle vormen van verkoop van niet-bestaande opslagcapaciteiten en voorraden van grondstoffen en materialen in terminals in het Rotterdamse havengebied.

De doelgroep van deze variant van fraude zijn de (inter)nationale bedrijven die in het havengebied opslag hebben óf zoeken en alle potentiële kopers van de handel die onder valse voorwendselen vanuit die terminals aangeboden wordt, maar in de praktijk niet blijkt te bestaan. We komen op korte termijn met meer informatie, want we zullen ons vanuit FERM richten op de ontwikkeling en trends binnen deze vorm van oplichting met een specifieke focus op preventie. Dat doen we onder meer door de situatie vanuit verschillende perspectieven te benaderen, waaronder (getroffen) bedrijven, het Openbaar Ministerie en de Zeehavenpolitie, en door concrete tips en adviezen te delen. Houd ook de FERM-Twitter in de gaten, want er zijn naast meldingen van valse websites ook berichten van partijen die zich bij binnenkomende schepen voordoen als port authority om informatie over vrachten in te winnen.

De Port Cyber Café's volgen elkaar in snel tempo op, de volgende staat op donderdag 2 november in de agenda. We houden je via deze website op de hoogte!

VOOR IN DE AGENDA:

25-29 september: Cybersecurityweek
https://www.cybersecurityweek.nl

2-13 oktober: Alert Online
https://www.alertonline.nl

12 oktober: Hack Talk #1 @ WORM
https://worm.org/hack-talk-1