CISO ACM: ‘Multidisciplinair oefenen is de beste voorbereiding op een echte crisis’

Een cybercrisisoefening vindt bij veel organisaties nog vaak in silo’s plaats. De ICT’ers krijgen een eigen oefening en het bestuur en management gaat om tafel voor een ‘tabletop’. De daadwerkelijke interactie tussen alle partijen, die bij een echte crisis noodzakelijk is, wordt daarmee niet geoefend. “Daarom wilden we een échte multidisciplinaire crisisoefening doen”, zegt Fleur van Leusden, CISO bij de Autoriteit Consument en Markt (ACM).

De IT-omgeving van ACM wordt beheerd door een eigen ICT-afdeling. Als het gaat om oefeningen en maatwerk biedt dat bepaalde mogelijkheden die organisaties die afhankelijk zijn van een externe IT-partij voor het beheer van hun netwerk wellicht minder hebben, zegt Van Leusden. “Daardoor zijn we als organisatie in staat snel te reageren bij incidenten.” Dat hoeven overigens geen grote incidenten te zijn. “We hebben intern afgesproken dat wanneer meer dan de helft van de medewerkers niet kan werken door een storing in het netwerk – ook al is het maar tien minuutjes – we al spreken van een ‘prio-1’-melding.”

Bij zo’n melding komt het crisisteam van ACM bij elkaar om direct te bespreken hoe ernstig het incident lijkt te zijn, hoe er intern gecommuniceerd wordt, welke mogelijke workarounds er geadviseerd kunnen worden en hoe het opgelost kan worden. “Niet iedere prio-1-melding heeft direct verstrekkende gevolgen, maar we behandelen iedere melding wel als ernstig incident. Wanneer het incident afgerond is, komen we vervolgens met de IT-afdeling bij elkaar voor een ‘root cause analysis’, oftewel gaan we bekijken wat er is gebeurd, hoe dat kon gebeuren en hoe we ervoor kunnen zorgen dat dit in de toekomst niet meer gebeurt.”

Heb je, in de drie jaar dat jij nu CISO bent bij ACM, al eens een ernstige cybercrisis meegemaakt?
“Ja, dat was de Citrix-crisis. We kregen een melding van het Nationaal Cyber Security Center (NCSC) dat er een kwetsbaarheid was gevonden in de software van Citrix, het portal dat we bij ACM gebruikten voor mensen die op afstand werkten en toegang nodig hadden tot het netwerk. Volgens het NCSC zou de impact hoog zijn wanneer er een hack zou plaatsvinden, maar de kans op misbruik werd in eerste instantie nog ingeschat als ‘middelhoog’. Bij dit soort ‘medium-high’-meldingen springen we doorgaans niet direct in de hoogste stand van paraatheid, maar vertrouwen we op ons patchbeleid, omdat eerder ingrijpen soms meer kwaad dan goed kan doen. Uiteraard houden we de boel dan wel scherper in de gaten.

Niet lang daarna werden we gebeld door het NCSC met de melding dat de kans op misbruik was gestegen naar hoog en dat we acuut moesten ingrijpen. Dat betekende dat we onze Citrix-applicatie offline moesten halen. Geen lichtzinnig besluit en ook niet een die ik alleen neem, dus ben ik naar de CIO gegaan en heb aangedrongen op het offline halen van Citrix. Bedenk je dat dit pre-corona was, dus 80 procent van onze medewerkers zaten gewoon op kantoor en slechts een handjevol werkte thuis en maakte dus gebruik van het Citrix-portal. In eerste instantie was de CIO dus niet zo happig op het uitzetten van de portal, want dit zou direct gevolgen hebben voor de mensen thuis, die zouden dan niet meer kunnen werken.

Vlak daarop kwam er een bericht van de AIVD die ook het hoge risico en de hoge impact benadrukte en aandrong op het offline halen van alle Citrix-software. Opnieuw ging ik naar de CIO en hij hakte vervolgens de knoop door om de portal offline te halen. Dat was drie dagen voordat het hele circus losbarstte met exploits. Dus we waren echt nét op tijd.”

En toen?
“Toen was het natuurlijk nog niet gedaan. Deze crisis heeft in de media enorm veel aandacht gekregen, waarbij er ook zaken werden geroepen die wellicht anders in elkaar zaten dan voorgesteld werd. Dus ik heb de informatie uit de media, van social media en uit mijn eigen netwerk verzameld en dagelijks een memo naar het bestuur en de CIO gestuurd met een update over de crisis en de stand van zaken voor onze eigen organisatie.

We kregen op een gegeven moment een lijst in handen waarop bestanden stonden die, wanneer je ze op je netwerk vond, aangaven dat je gecompromitteerd was. Natuurlijk zijn we daar direct in gedoken, maar we konden die bestanden gelukkig niet vinden op ons netwerk. Wat overigens niet wil zeggen dat we geen slachtoffer zijn geworden, hè? Er was alleen geen bewijs voor te vinden.

Daarna kregen we via het NCSC informatie over een patch en maatregelen die we konden treffen waarna we Citrix weer veilig konden gebruiken. We hebben nog een paar dagen gewacht en toen die patch uitgevoerd en de maatregelen ingesteld. Toen was voor ons de crisis voorbij.”

Welke lessen heb je getrokken uit deze crisis?
“Op technisch vlak zijn we bezig met het nóg beter beveiligen van onze Citrix-applicatie, door bijvoorbeeld hardwaretokens en VPN-verbindingen. Op procesmatig vlak denk ik dat we eerder in de crisismodus hadden gemogen. Voor mij persoonlijk was de les dat ik sneller en harder aan de deur moet rammelen op het moment dat ik weet dat een incident serieuze gevolgen kan hebben voor onze organisatie.

Maar dat is tegelijkertijd ook weer de paradox van dit soort crises, want het is niet altijd meteen in te schatten hoe ernstig een cybercrisis voor jóuw organisatie is. Zo heeft de wereld onlangs de Log4J-crisis meegemaakt, waarbij er ook kwetsbaarheden met hoge impact werden gevonden in veelgebruikte software. Voor de buitenwereld was dit een ernstige kwetsbaarheid, maar voor ACM niet direct. En andersom had de Citrix-crisis voor ons grote impact, maar bedrijven die geen Citrix gebruikten, hadden nergens last van.

Je wilt er natuurlijk ook voor waken dat je niet te vaak aan de deur rammelt met de boodschap dat er brand is, waarna niemand iets ziet roken. Want op het moment dat de boel dan wél in de hens staat, komt er niemand meer kijken. Dat is de grootste uitdaging bij cybercrisis, in de cruciale fase kunnen inschatten welke impact het heeft voor jóuw organisatie.”

Oefenen jullie dit soort crises nu ook?
“Ja, oefenen is het allerbelangrijkste wat je kunt doen als organisatie. Zo hebben we ongeveer een jaar geleden een grote cybercrisis geoefend. Wat je vaak ziet is dat organisaties bij het oefenen van cybercrises maar één stukje pakken of het bestuur in hun eentje een ransomware tabletop-oefening laten doen en ICT’ers een eigen oefening geven. Maar op het moment dat er dan écht iets aan de hand is, moeten ze ineens met elkaar gaan samenwerken en dát hebben ze dan nog nooit geoefend. Wij wilden het hele circus oefenen, dus met zowel het bestuur, als het management en de IT-afdeling.

We hebben twee leveranciers gevraagd om ons daarbij te helpen. De ene leverancier was gespecialiseerd in tabletop-crisisoefeningen en de andere juist in pentests. Ik hecht veel waarde aan de ethische kant van dit soort dingen, dus ik wil mensen niet confronteren met een oefening en ze daarmee flink op hun gezicht laten gaan. Dus we hebben onze IT’ers eerst een incident response-training gegeven, waarbij ze van de technische leverancier leerden hoe ze naar sporen in het netwerk moeten zoeken na een cyberaanval. Vervolgens hebben we die leverancier opdracht gegevens om binnen te dringen op ons netwerk en mijn account te hacken.

Daarna hebben we de hele IT-afdeling bij elkaar gehaald om ze een crisisoefening te laten doen. Toen moesten zij dus op zoek naar sporen in het netwerk om te kunnen achterhalen wat er was gebeurd. Tegelijkertijd kreeg het bestuur en management een tabletop-oefening die op maat was gemaakt en waardoor beide teams af en toe met elkaar moesten schakelen over de interne en externe communicatie, de status van het incident, et cetera.”

Wat leverde dat op?
“Het was ontzettend gaaf en leerzaam, want het was eigenlijk een pentest, een training en een crisisoefening in één. Het liet ons zien hoe belangrijk het is om een multidisciplinaire aanpak te kiezen voor oefeningen. Dat is niet altijd eenvoudig voor crisisteams, omdat wellicht het bestuur de meerwaarde niet direct ziet om tegelijkertijd met ICT een oefening te doen, maar dit is wel zoals het in de praktijk gaat.

We merkten bijvoorbeeld dat bestuurders en managers veel meer behoefte hebben om een vinger aan de pols te houden en graag ieder uur een update willen krijgen. Maar juist die update vergt waardevolle ‘oplos’-tijd van de IT-afdeling. Die wrijving merk je pas bij een echte crisis of een multidisciplinaire oefening.

Wanneer je op deze manier oefent, kun je dus ook veel realistischer afspraken maken over bijvoorbeeld updates. Bovendien is het goed voor bestuur en management om te zien hoe zo’n crisis in de realiteit gaat. Bij een tabletop wordt toch vaak gezegd: ‘Oké, nu is het een uur later’ of ‘IT heeft nu dit gevonden’. Maar in de praktijk kan de IT-afdeling zich een paar uur het schompes zoeken en dan nog niets vinden. Door alle betrokken partijen mee te laten oefenen, creëer je een realistischer beeld en verwachtingen bij iedereen."

Heb je nog meer tips voor andere organisaties op dit vlak?
“Blijf oefenen, en dan inderdaad het liefst in een multidisciplinaire opzet. En natuurlijk geeft een oefening nooit helemaal het gevoel van een echte crisis, maar het bereidt je wel zoveel mogelijk voor. Daarom hoop ik soms wel eens op een medium security incident wanneer het te lang te rustig blijft, haha. Want je kunt oefenen tot je erbij neervalt, alleen een echte crisis zet iedereen weer even op scherp. Wanneer er te lang geen crisis is, dommelt iedereen in. Daarom gun ik iedereen op zijn tijd een medium incident, want daar leer je het meeste van.”