Van Red Team-oefeningen tot een ‘stekkermandaat’ en nieuw responsible disclosure-beleid: de politie onderneemt op veel gebieden stappen om de eigen informatiebeveiliging zo goed mogelijk op orde te houden. Tijdens de Digital Meet-up Privacy & Security geeft cybersecurityspecialist Roeland van Zeijst een inkijkje in wat er in zijn organisatie speelt.
Jarenlang was Roeland lid van het Team High Tech Crime (THTC). Inmiddels maakt hij deel uit van de afdeling onder de ciso (‘concern information security officer’) die gaat over de informatiebeveiliging. “Wat de politie in Nederland uniek maakt, is de relatief open houding ten aanzien van zaken als encryptie en Tor”, vertelt hij. “In de basis zijn wij daar niet tegen. Een voorbeeld: toen ik nog bij het THTC zat, hebben we de mensen achter Tor eens uitgenodigd voor een gesprek. We hebben uiteindelijk ruim vijf uur zitten praten en merkten dat we beiden dezelfde dingen belangrijk vonden. Maar ook dat we in sommige dingen wat anders stonden, iets dat we van elkaar konden respecteren. Dat is in sommige landen, ook binnen de EU, wel anders. Ze moesten bijvoorbeeld eens exit-nodes verwijderen onder de dreiging dat ze anders van hun bed gelicht zouden worden. Onnodig, vinden wij. Technologie als Tor is als een mes waar je geweld mee kunt plegen, maar ook gewoon je boterham mee kunt smeren.”
Juiste afwegingen
Belangrijk binnen de informatiebeveiliging is dat de politie in staat is wat verder in de tijd te kijken om toekomstige dreigingen op tijd in te kunnen schatten. “Quantumtechnologie bijvoorbeeld, en de vraag of de bestaande encryptiemethoden straks nog wel houdbaar zijn.” Maar ook in het hier en nu zijn steeds de juiste afwegingen nodig op het gebied van informatiebeveiliging. Roeland neemt als voorbeeld de systemen van de centrale meldkamer. “Is het bijvoorbeeld belangrijker dat alle data zijn versleuteld, of dat ze altijd bereikbaar zijn? Om daar achter te komen, gaan we steeds in gesprek met onze collega’s. Wij gaan uit van de driehoek ‘vertrouwelijkheid, beschikbaarheid en integriteit van data’, maar de accenten liggen overal anders. Het ligt bijvoorbeeld voor de hand dat in alle processen die met opsporing hebben te maken, vertrouwelijkheid van data van belang is. Maar ook integriteit, want rechercheurs verzamelen bewijs dat natuurlijk niet mag worden gecompromitteerd.”
Bij Interpol, waar Roeland voor zijn huidige functie ook nog een tijd heeft gewerkt, merkte hij al dat het aantal cyberdreigingen toeneemt. “Er zijn steeds meer aanvallen, ze worden complexer en zijn allang niet meer alleen afkomstig van scriptkiddies en natiestaten. Er zitten allerlei mengvormen tussen. Soms is het geopolitiek wat op ons afkomt, soms gaat het om individuele groepen. We moeten zorgen dat we ons daartegen wapenen.” Hoe dit gebeurt, lijkt in sommige opzichten steeds meer op de aanpak die grote bedrijven hanteren. Dus met een ciso, een security operations center (soc) en threat intelligence. “Wij gebruiken onder meer het Mitre Att&ck-framework. Dat bestaat grofweg uit twee zaken: het nagaan van de stappen die nodig zijn om systemen binnen te komen en onethisch te hacken, en vervolgens onderzoeken welke aanvallers dit doen.”
Red team-oefeningen
Een onderdeel van deze onderzoeken is een steeds actiever red team. “Daar is een mix van kennis van binnen en buiten de politieorganisatie in ondergebracht. De oefeningen die we hiermee doen zijn altijd weer heel waardevol. We winnen er altijd mee. Het kan zijn dat het red team binnenkomt op onze systemen, wat betekent dat we weer wat hebben te leren. Maar het kan ook gebeuren dat het red team wordt gespot door het blue team. In dat geval hebben we iets juist goed op orde. Deze oefeningen helpen soms om mensen bovenin de organisatie te laten schrikken. Zo kun je iedereen meenemen in het thema informatiebeveiliging. Hopelijk vertaalt zich dat dan in het nog verder verbeteren van onze security.”
Naast red team-oefeningen worden ook pentesten uitgevoerd. Bovendien staat de politie tegenwoordig een stuk positiever tegenover ‘hulp’ van buiten. “Ik ben er erg blij mee dat we inmiddels een responsible disclosure-beleid hebben waar onder meer het domein politie.nl onder valt. Dit is iets dat vanuit het THTC nationaal sterk is gepromoot. Wij hebben daar zelf lang te weinig mee gedaan. Zelfs na een hackaton in 2015 stond nog lange tijd op de site een boodschap die ongeveer als volgt klonk: ‘Dank voor je bijdrage, maar als je ons nu nog probeert te hacken komen we je halen.’ Nu is het proces zo ingericht dat iedereen de responsible disclosure-richtlijnen van de politie mag volgen. Deze richtlijnen lijken overigens erg op die van het OM. Als het je lukt binnen te komen, kun je er een mooie politiepet mee verdienen.”
Stekkermandaat
Een ander aspect van cybercrime is dat er met de politie een hele goede ‘match’ is. “Juist de politie is heel goed in crisisbestrijding, daar wordt immers veel op geoefend. Maar wat als je zelf wordt gehackt? Wat als bijvoorbeeld 112 plotseling uitvalt, zoals vorig jaar is gebeurd? Hebben we daar ook een oplossing voor?” Een van de antwoorden op deze vragen is een interne ict-crisisorganisatie die kan ingrijpen waar nodig. “We hebben bij de ciso een zogeheten ‘stekkermandaat’. Als er gevaarlijke malware binnenkomt, kunnen we bepaalde systemen direct uitzetten, zonder overleg.” Omdat aanvallen vrijwel altijd beginnen met (spear)phishing bedenken Roeland en zijn collega’s verschillende red team-scenario’s om dit te testen. “Vorig jaar hadden we veel succes met een interne phishingmail waarin we onze collega’s vroegen mee te proeven voor de aanbesteding van een nieuwe koffieautomaat. Dat is nu net iets waar iedereen wel een mening over heeft. Tot onze grote verrassing werd de koffie juist in die periode écht opnieuw aanbesteed en hingen er overal legitieme posters van het aanbestedingsteam waarin om de input van collega’s werd gevraagd. Dat was dus echt een lucky shot voor ons. Maar aan de andere kant: aanvallers kunnen zo’n gelegenheid ook aangrijpen om malware naar binnen te sluizen. Daar moeten we ons gewoon tegen wapenen.”
Meer weten?
Op de website it.kombijdepolitie.nl is te zien wat de politie doet op IT-gebied, waaronder predictive policing, de aanpak van cybercrime en realtime intelligence.
Registreer je nu!
Mocht je enthousiast zijn geworden en wil je graag zeker zijn van een online plekje om de Digital Meet-up Privacy & Security te volgen, registreer je dan nu voor een gratis ticket. Het platform dat we voor deze meet-ups gebruiken is EventInsight. De Digital Meet-up Privacy & Security is alleen bij te wonen via je desktop. Om de meeste vragen hierover alvast te beantwoorden, hebben we een Q&A opgesteld.
Nadat je je hebt geregistreerd ontvang je een ticket. De QR-code die is afgebeeld op het ticket wordt niet gebruikt voor deze digitale meet-up. Je hoeft hem dus niet te gebruiken voor het aanmeldproces. Op 7 november om 12.30 uur ontvang je een e-mail vanuit @Eventinsight (check ook je spambox) met jouw inloggegevens.
Dit artikel is geen redactioneel artikel, maar een advertorial en tot stand gekomen dankzij de politie en Tweakers Partners. Dit is de afdeling binnen Tweakers die verantwoordelijk is voor commerciële samenwerkingen, winacties en Tweakers-events zoals Meet-ups, Developers Summit, Testfest en meer. Kijk hier voor een overzicht van alle acties en events. Mocht je ideeën met ons willen delen over deze vorm van adverteren, dan horen wij dat graag. Hierover kun je met ons in gesprek via [Discussie] Reclame algemeen].