Jeroen Schipper (CISO Den Haag): ‘Zodra iemand een phishingmail ontvangt, hebben alle miljoenen kostende maatregelen gefaald’
De gemeente Den Haag nodigt jaarlijks een hoop ethische hackers uit om haar interne systemen te testen. CISO Jeroen Schipper ziet het als een nuttige toevoeging, en is opvallend mild voor wie op een phishingmail klikt.
De aanleiding om met Schipper aan tafel te zitten is de zesde editie van Hâck The Hague, tijdens de cybersecurity week van de stad, tijdens Cybersecurity Awareness Month. Omwille van veiligheidsredenen kan hij niet in detail treden over de details van de ontdekte kwetsbaarheden (zie kader), maar het is wel een gelegenheid om het te hebben over de cyberveiligheid van een grote stad en waarom phishingtesten volgens hem niet werken.
Wat moeten we ons voorstellen bij Hâck The Hague?
JEROEN SCHIPPER: We hebben nu onze zesde editie gehad waarbij al onze applicaties en websites worden getest, eigenlijk al onze live productiesystemen. Natuurlijk gaat dat gepaard met regels, ze mogen geen DDoS inzetten bijvoorbeeld, of ontdekkingen achterhouden. Traditioneel lag de focus op IT, maar dit jaar focussen we meer op OT en dat geeft toch een andere impuls.
(Lees verder onder de foto)
Wat is, in een stadsomgeving, het verschil tussen IT en OT?
SCHIPPER: IT zijn onze digitale systemen, applicaties en websites, OT gaat bijvoorbeeld over het systeem van een ophaalbrug, laadpaalsystemen, bodycams, toegangscontrolesystemen, maar ook onze eigen laptops of verkeersregelaars die stoplichten en tunnels aansturen. Dat doen we ook samen met onze leveranciers die testopstellingen opzetten in het stadhuis voor dit event.
Hardwarehackers werken op een andere manier. Op een gegeven moment gaan ze dingen openbreken en met een microscoop chips bekijken en onderzoeken hoe ze daar data uit kunnen lezen.
Geeft de focus op OT andere soorten hacks?
SCHIPPER: Hardwarehackers werken op een andere manier. Op een gegeven moment gaan ze dingen openbreken en met een microscoop chips bekijken en onderzoeken hoe ze daar data uit kunnen lezen. We keken al wel een paar jaar naar OT, zo hebben we een paar jaar geleden ontdekt dat in het printsysteem van een Japanse leverancier de metadata te onderscheppen valt. De inhoud was niet leesbaar, maar print je een document ‘Van Jeroen Schipper’ met als naam ‘ontslagbrief’ dan weet je natuurlijk wel waar het over gaat. Dat hebben we toen ook gemeld aan het NCSC en aan die leverancier.
Zijn alle leveranciers even happig om daar aan mee te werken?
SCHIPPER: Het is op verzoek, maar in onze contracten staat wel dat ze horen mee te doen. Voor kleinere spelers ligt dat soms moeilijk om dat met echte opstellingen te doen, daarom dat het soms in een testopstelling gebeurt.
Is dit het enige bug bounty moment of mogen hackers ook spontane ontdekkingen veilig melden?
SCHIPPER: We hebben al zes jaar een bug bounty program, we geven gewoon geld als mensen kwetsbaarheden vinden. Dat helpt ook met de interne bewustwording om zaken goed te beveiligen want de rekening van die bug bounty’s sturen we gewoon door naar de dienst wiens toepassing te hacken valt.
Den Haag telt vandaag 25 mensen die bezig zijn met cybersecurity. Dat aantal wordt binnenkort opgetrokken naar 30.
Hebben jullie al ‘succesvolle’ cyberaanvallen gehad?
SCHIPPER: Zeker. Niet in de omvang van wat in Antwerpen is gebeurd, dat hebben we van dichtbij gevolgd trouwens. Maar vorige week zijn er nog drie accounts korte tijd overgenomen. Die zijn slechts een paar minuten gehackt geweest, maar toch zijn er vijftienduizend phishingmails uitgestuurd op die tijd.’
Hoe werken jullie op zo’n incident?
Schipper: Op zo’n moment gaan de alarmbellen wel degelijk af. Bij veel incidenten gaat de account of het toestel ook automatisch op slot. Wanneer er zoals in dit geval grote hoeveelheden mails buitengaan moet je dat ook als een datalek melden en daar zijn we ook open in als het gebeurt. Drie jaar geleden kregen we een heel grote DDoS-aanval te verwerken waardoor we twee dagen plat lagen, daar leer je uit. Zo weten we ook dat onze cybercrisisplannen goed werken, maar ook op welke punten je kan verbeteren.
Jaren geleden was de trend eerder security by obscurity, vertel er maar niet te veel over. Als Den Haag zijn we daar net heel open in en gaan zo transparant mogelijk zijn. Als het niet vertrouwelijk is, dan publiceren we het. Ons crisisplan staat op de website van Den Haag en als we producten of beleid maken dan delen we dat ook met de vereniging van Nederlandse gemeenten (VNG).
We doen dat met publiek geld, dus waarom zou je het niet delen? We zitten momenteel in een cyberwapenwedloop, die win je alleen als je kennis deelt.
Wat is daarin anders dan een paar jaar geleden?
SCHIPPER: De aandacht van de actoren verschuift van IT naar OT. Wat wel opvalt is dat het met de oorlog in Oekraïne er minder ransomware-aanvallen waren. Maar dat is intussen weer volop terug. Maar verder proberen cybercriminelen vooral dingen kapot te maken. Aanvallen op ons gaan niet zozeer over het verzamelen van informatie, al gebeurt dat ook, maar wat we vaker zien is dat het eerder grof geschut is.
Schade om te hinderen en de stad te irriteren?
SCHIPPER: Ja, vaak gaat het ook om imagoschade en daar zie je altijd wel pogingen toe. Het zijn niet altijd aanvallen op één organisatie maar men probeert veel organisaties in de stad plat te leggen, onder meer met DDoS-aanvallen op alles en iedereen.
Hoe verandert AI de cyberveiligheid van een stad? Er is meer mogelijk, maar dat geldt zowel voor de aanvaller als de verdediger.
SCHIPPER: Bij de meeste leveranciers komt dat intussen wel naar voren, maar vaak is dat eerder fluide. Als in een mail plots iemand een bankrekeningnummer deelt krijg je daar een waarschuwing voor, maar dat is niet noodzakelijk AI.
Langs de andere kant, zoals met de phishingmails die vorige week werden uitgestuurd, zie je wel dat als iemand daarop klikt, je wordt doorverwezen naar een nep inlogportaal. Die data wordt op de achtergrond in real time uitgevoerd als een login bij Microsoft, waardoor je als gebruiker/slachtoffer ook een correct inlogverzoek zal krijgen op je telefoon. Ga je daarop in dan wordt je hele account overgenomen en de manier waarop dat gebeurt is een stuk sneller en professioneler. Vermoedelijk komt daar wel AI bij kijken.
Welke zaken zien jullie als de gevoelige delen bij de beveiliging van een stad?
SCHIPPER: we werken volgens risicomanagement. Dat is ook de aanpak bij NIS2. We weten wat onze kroonjuwelen zijn, maar met de middelen die we hebben moet je efficiënt omgaan. Dat gaat dan onder meer om er voor te zorgen dat de gegevens van de burgers veilig zijn.
Veel mensen hameren daarbij op bewustwording en dat is belangrijk. Maar als ik zie welke phishingmails er rondgaan, dan kan je die niet onderscheiden van echte mails. Vorige week hebben mensen bij ons op zo’n mail geklikt, ik neem dat niemand persoonlijk kwalijk, dan heeft de techniek gefaald.
We hebben phishingtesten verboden. Ze zijn niet effectief en dat is wetenschappelijk aangetoond.
Mensen zijn niet de zwakste schakel, ze zijn de last line of defense. Op het moment dat iemand een phishingmail ontvangt, hebben alle miljoenenkostende maatregelen gefaald.
Dat is een opmerkelijke uitspraak op een moment dat elk bedrijf haar werknemers phishingmails stuurt.
SCHIPPER: We hebben phishingtesten verboden. Ze zijn niet effectief en dat is wetenschappelijk aangetoond. Daar heb ik ook al veel discussie over gehad met bedrijven.
Wil je phishingtesten doen dan is dat gemakkelijk op te zetten. Maar veel mensen vertrouwen zo hun securityorganisatie niet meer. Je stuurt mensen iets aantrekkelijks en vervolgens vertel je hen hoe dom ze wel niet zijn. Hoe hard kan je dan zijn als organisatie?
Hoe doe je dat dan op een betere manier?
SCHIPPER: We zouden bijvoorbeeld mensen twee screenshots kunnen sturen waarbij ze moeten zeggen welke het echte is. En de afdeling die het best scoort krijgt een appeltaart.
U zei dat jullie de cyberaanval op Antwerpen nauw hebben gevolgd. Heeft een gemeente als Den Haag daar zelf ook lessen uit getrokken?
SCHIPPER: Een van de basismaatregelen is dat je moet compartimenteren en dat je verkeer moet monitoren.
Is het op dat vlak wel overal even nuttig dat alles geconnecteerd is en vanop afstand wordt aangestuurd?
SCHIPPER: Misschien wel, maar veel leveranciers van operationele technologie sturen het zelf liever centraal aan. Dat is ook efficiënter dan op elke brug een wachter te hebben die op regelmatige tijdstippen met een usb-stick de systemen komt updaten. Liefst zou ik alles zo veel mogelijk gescheiden houden, maar dat is niet realistisch.
Hâck The Hague
Op deze editie van Hâck The Hague doken veertig ethische hackers het Den Haagse stadhuis in om de infrastructuur van de stad op de rooster te leggen. Voor de drie belangrijkste ontdekkingen werden daarbij bug bounties van €3.072, €1.536 en €768 toegekend.
De hoofdprijs ging naar hackers die iets in een webportaal konden veranderen met ernstige gevolgen. De tweede prijs ging naar een vaststelling waar een slechte segmentatie van het netwerk kon zorgen voor een groot aanvalsoppervlak. De derde plaats draaide rond een portaal dat kon stukgaan door foute input. Verder zijn er ook nog eervolle vermeldingen geweest voor een minder ernstige kwetsbaarheid die kon worden opgelost en een kwestie die mogelijk een financiële impact kon hebben.
Waar het concreet over gaat, geeft Den Haag om veiligheidsredenen niet prijs. De problemen moeten immers eerst worden aangepakt. Het Nederlandse dagblad Trouw wist wel van een deelnemer dat het mogelijk was om een laadpaal te hacken om gratis op te laden.
Fout opgemerkt of meer nieuws? Meld het hier