Group IT Officer Frans van Kessel en ethical hacker Stan Hegt over cybersecurity bij APG
Cybercrime: je kunt er anno 2021 niet omheen, zeker als organisatie waar wat te halen valt. En dat geldt natuurlijk ook voor een pensioenuitvoerder als APG. Hoe beschermen we 568 miljard euro aan vermogen? Hoe bewaken we gewilde en gevoelige informatie? Nou, bijvoorbeeld door de systemen regelmatig onder vuur te laten nemen door hackers. Nette hackers, dat wel. Een gesprek met Group IT Officer Frans van Kessel en ethical hacker Stan Hegt over honey pots, de kill chain en het simuleren van hacks. “We mogen ons maanden voorbereiden op een levensechte test. Dit soort opdrachten is voor ons de kers op de taart.”
Wanneer de systemen van APG bezoek krijgen van hackers, weet niemand in de organisatie of het om een simulatie of om kwaadwillende indringers gaat – met uitzondering van een handvol mensen, waaronder Frans van Kessel, verantwoordelijk voor APG’s cybersecurity. Alles om een oefening maar zo echt mogelijk te doen lijken. En in zekere zin ís het ook een echte hack, die lang en uitvoerig is voorbereid en uitgevoerd wordt door een team van ethical hackers, ook wel white hat hackers genoemd. Whizzkids, die er hun werk van hebben gemaakt om een poging te doen binnen te dringen in de systemen van bedrijven en overheden. Met als doel deze organisaties te helpen hun IT-beveiliging op orde te houden of brengen.
Stan Hegt van het IT-security bedrijf Outflank is zo’n ethical hacker. Van Kessel schakelt hem bewust in om APG’s IT-beveiliging flink op de proef te stellen. Van Kessel: “Onze eigen mensen kijken voornamelijk vanuit een verdedigend standpunt naar de cybersecurity bij APG. Maar hackers hanteren een aanvalsperspectief. Zij denken altijd vanuit de vraag: hoe kom ik het makkelijkst bij de meest interessante delen van het systeem? Iemand van buiten ziet hele andere openingen dan wij. Mensen als Stan en zijn team brengen dat perspectief mee. Stan ziet luikjes, terwijl wij op alle deuren letten.”
Inlichtingendiensten
Samen met het team van Outflank bereiden Van Kessel en Hegt zo’n hack minutieus voor. Dat begint met het in kaart brengen van partijen voor wie APG een aantrekkelijk doelwit kan zijn. Van Kessel: “We laten een team van ethical hackers niet zomaar een digitaal schot hagel lossen op onze systemen. We proberen ze zo gericht mogelijk te werk te laten gaan. We kijken eerst met welke actoren we te maken kunnen krijgen. Vervolgens brengen we in kaart in welke ‘kroonjuwelen’ die partijen mogelijk geïnteresseerd zijn, en welke tactieken, technieken en procedures ze gebruiken om binnen te komen. Voor buitenlandse militaire inlichtingendiensten kan het deelnemersbestand van defensie bijvoorbeeld heel bruikbaar zijn. Ook informatie waarin bepaalde investeringsstromen te zien zijn, kan voor een buitenlandse mogendheid een interessant doelwit vormen.
Bij andere actoren verwacht je weer meer belangstelling voor de toegang tot het gedeelte van de systemen waarmee betalingen worden gedaan. APG belegt honderden miljarden voor zijn opdrachtgevers. Er zijn altijd partijen die geïnteresseerd zijn in zo’n grote financial, ook vanuit geopolitieke belangen. Bepaalde intellectual property – bijvoorbeeld over de inrichting van het Nederlandse pensioenstelsel – en modellen kan voor een land als China van grote waarde zijn. Al met al hebben we dus te maken met een heel divers dreigingsbeeld. Op basis van dat beeld brengen we de meest waarschijnlijke doelwitten in kaart. Stan en zijn team vragen we vervolgens om daar gericht op te vuren.”
Als het eenmaal zover is en de aanval gaat plaatsvinden, doet Van Kessel een stap terug en gaat Hegt aan het werk. Met een groep, bewust. Hegt: “De gevaarlijkste hackers zijn altijd onderdeel van een team. Ze zijn het sterkst als ze samenwerken. De hacker die ergens alleen op een zolderkamer zit, is meer een filmcliché.”
Van welke hackers gaat de meeste dreiging uit? Hegt: “De laatste jaren blijken met name de groepen gevaarlijk die actief zijn met ransomware (gijzelsoftware, red.). De bekendste daarvan is TA505, een hackersgroep afkomstig uit Russisch sprekende landen. Deze groep zat ook achter de aanval op Maastricht University.”
Kill chain
Als het om de modus operandi van een hacker gaat, kun je een aantal standaardfasen onderscheiden, legt Hegt uit. “Een hacker gaat te werk vanuit de zogeheten kill chain: Recon, In, Trough en Out. De eerste stap is dus verkenning: wat zijn de mogelijkheden om een systeem binnen te komen? Wie werken bij de organisatie, wie zouden interessant kunnen zijn om als ingang te gebruiken?
Als tweede zal een hacker proberen op één plek binnen te komen. Bijvoorbeeld via de werkplek van een recruiter, of via een server die niet goed beveiligd is. Meestal gebeurt het met behulp van malware. De derde stap is het vinden van een weg naar de kroonjuwelen, bijvoorbeeld toegang tot het systeem om betalingen mee te doen. Die weg is voor de hacker een soort doolhof. Er zijn heel veel manieren om een weg te vinden. Je kunt bijvoorbeeld op zoek gaan naar zwakke wachtwoorden van werknemers. De laatste stap is het uitvoeren van acties op de kroonjuwelen: een malafide betaling door het systeem of het uitsturen van bepaalde informatie, op een manier waarbij die acties onopgemerkt blijven.”
Honeypots
Als een relatief grote organisatie als APG zich alleen vanaf de buitenkant tegen cyberaanvallen wapent, is dat niet genoeg volgens Van Kessel. “Het is niet te doen om alles te voorkomen, er zijn altijd wel medewerkers die voor zwakke plekken in je verdediging kunnen zorgen. Je binnenwereld is sowieso doorlopend een aandachtspunt. Je moet er altijd vanuit gaan dat een hacker kan binnenkomen. We zetten juist daarom ook heel erg in op detectie en respons. Voor ons is het spel om een aanval zo snel mogelijk te detecteren. Bijvoorbeeld door op bepaalde plekken in de systemen honeypots neer te zetten – een soort boobytraps waar een hacker intrapt op het moment dat hij zich in ons netwerk begeeft. Dat is minstens zo’n creatief werk als dat van de hacker. Wanneer we ongewenst bezoek krijgen, onderzoeken we de dreiging en gaan we over tot containment and eradication: voorkomen dat de dreiging zich verder kan verspreiden, en volledige verwijdering van de dreiging.”
Hackers: wat voor types moeten we ons daarbij voorstellen? Hegt: “Je moet wel een echte vakidioot zijn, continu bij willen blijven. Het gaat vooral om relatief jonge mannen, 50-plussers zul je maar heel weinig tegenkomen. De mediaan ligt onder de 35 jaar, denk ik. En het is zeker niet zo dat er geen succesvolle hackers zijn zonder opleiding, maar je ziet er toch wel veel uit de studiebanken komen. Er is veel vraag naar.” Van Kessel: “Zelfs op het dark web kom je dit soort hackers tegen, ze bieden zichzelf aan met certificeringen en al.”
Ook Hegt zelf, die wiskunde en informatica studeerde aan de TU Eindhoven, is zo’n ‘vakidioot’.
“Ik hack al vanaf mijn tiende, op mijn vijftiende ben ik voor het eerst op verzoek van bedrijven gaan hacken. Vervolgens heb ik tien jaar voor KPMG gewerkt, ik verwachtte dat niet bij zo’n organisatie maar er bleek een heel cool hackersclubje te werken. Vijf jaar geleden kwam de kans voorbij om met een paar Nederlandse tophackers Outflank op te richten.”
Witwassen
Het mogen dan vaak relatief jonge mannen zijn, verder vormen hackers zeker geen homogene groep. Hegt: “Voor cyberaanvallen zijn er heel veel specialisten. Het binnendringen van een systeem is iets heel anders dan het vinden van een weg naar de kroonjuwelen, als je eenmaal binnen bent. En zo zijn er ook hackers die zich hebben toegelegd op het witwassen van geld. Dat is echt een specialisme op zichzelf.”
Door de systemen geregeld onder vuur te laten nemen op een manier die voor de meeste betrokkenen niet te onderscheiden is van een echte kwaadwillige cyberaanval, bouwt APG immuniteit op. Hegt: “We noemen het ook wel het vaccinatie-effect. Zo’n test is als het geven van een spuitje, waarna het lichaam een afweerreactie gaat geven. Daarom is het ook zo belangrijk dat mensen niet weten dat het om een test gaat. Ze moeten echt in het geweer komen. We informeren vooraf dus alleen partijen die alarm zouden kunnen slaan, zoals Microsoft. We mogen ons maanden voorbereiden op een levensechte test. Dat is voor ons ontzettend tof, maar ook voor de APG’ers van detectie en monitoring. Voor ons is dit soort opdrachten de kers op de taart.”