Leren van ethisch hacker

Uitgave: Pensioen Bestuur & Management (PBM) nummer 4 2018

BERT VOS, CHIEF FINANCIAL OFFICER (CFO), TKP PENSIOEN Rubriek: Nieuwe ontwikkelingen
Geplaatst op 21-11-2018
Leren van ethisch hacker Best dapper om een hacker binnen te halen. Alsof je een inbreker je huis laat controleren. Maar juist een inbreker herkent feilloos eventuele kwetsbare plekken. Bert Vos, CFO TKP Pensioen: “Nu kijken we over zijn schouder mee en nemen meteen maatregelen als het nodig is.”

Een goedwillende hacker binnenhalen om kwaadwillende hackers buiten de deur te houden: dat is ethisch hacken in een notendop. Nu steeds meer bedrijven een digitale transformatie doormaken en afhankelijker worden van hun digitale voorziening, groeit het aantal criminelen dat brood ziet in een hackerscarrière navenant. Van gegevensdiefstal en het openzetten van de poorten zodat anderen bij de gegevens kunnen, tot het gijzelen van complete systemen of databases: verdienmodellen genoeg voor creatieve kwaadwillenden.

Omdat er zoveel mee te verdienen valt, nemen de vaardigheden en inventiviteit van deze cybercriminelen snel toe. Zo snel, dat je als bedrijf eigenlijk zelf een hacker nodig hebt om bij te blijven. Want kennis over hacken veroudert in een hoog tempo – je moet medewerkers continu bijscholen. Daarom zochten wij een manier waarop we effectief hackerskennis binnen konden halen. Een uitvoeringsorganisatie is immers een interessant target. De hoeveelheid persoonsgegevens – van zo’n 3,3 miljoen deelnemers – die wij voor onze klanten verwerken, is nu eenmaal enorm. Daarnaast gaat het over het stroomlijnen van omvangrijke bedragen.

Aanvallen herkennen
Begin dit jaar plaatsten wij een vacature voor een ethisch hacker. Na een korte procedure wisten we een goede hacker tijdelijk aan ons te binden. De maanden daarop doorzocht hij onze systemen, gaf workshops en leerde onze ict’ers hoe zij aanvallen kunnen herkennen. Door collega’s op sleutelposities te betrekken wist hij uiteindelijk 95 ict’ers, verdeeld over 14 teams, te bereiken en bewust te maken van kwetsbaarheden. Gelukkig bleken wij het niet heel slecht te doen. Zo laten wij onze buitendeuren al jaren geregeld testen door securityspecialist Fox-IT, met externe penetratietests in onze live-omgeving. Maar omdat de ethisch hacker bij ons binnen zat – in fysieke én in digitale zin, dus binnen onze netwerken – kon hij ook uitgebreid onze ‘binnendeuren’ testen. Collega’s keken direct over zijn schouder mee.

We hebben geen open deuren of andere acute dreigingen gevonden. Wel ontdekten we dat sommige binnendeuren extra versterking konden gebruiken. Het is eigenlijk net als met huisinbraken: criminelen zoeken de weg van de minste weerstand. Hoe meer barrières je opbouwt – binnen en buiten – hoe meer je voorkomt dat criminele hackers juist jouw bedrijf uitkiezen. Komen ze bij jou niet snel genoeg binnen, dan gaan ze wel door naar de buurman.

Verschuiving naar binnen

Aandacht voor de binnendeuren wordt bovendien noodzakelijker nu de buitenmuren gaan verschuiven. Net als veel andere bedrijven stapt TKP Pensioen de komende tijd over op cloudtechnologie. Een deel van de dienstverlening wordt daarmee als het ware buiten de deur gezet. Wanneer je voor de cloudproviders kiest die aan alle security- en compliance-eisen voldoen, versterk je daarmee alleen maar je beveiliging. Deze cloudproviders hebben gespecialiseerde teams in huis die constant de systemen controleren en thuis zijn in de nieuwste dreigingen en trends. Maar vanwege de koppelingen met de eigen systemen vraagt de groeiende cloudinzet wel om extra alertheid op de beveiliging van de binnendeuren. De focus op de buitendeuren verschuift door de cloud naar de binnendeuren.

Nog een reden dus om een ethisch hacker binnen te halen. Nu onze tijdelijke ethisch hacker weer door is naar een volgende klus, willen wij een meer permanente oplossing. Door een aantal eigen developers op te leiden en om te scholen tot hacker zorgen we voor structurele aanwezigheid van ethische hackers. Daarmee vergroten we niet alleen de veiligheid nu, we zorgen er ook voor dat de opgebouwde kennis in de toekomst behouden blijft. Want laten we eerlijk zijn: het aantal securityspecialisten is schaars. Veel goede hackers vervolgen hun carrière als programmeur, een klein deel gaat het slechte pad op. En dan heb je ook nog een groep die het tekort aan deze specialisten commercieel uitbuit: zij testen het systeem, maar laten je niet achter de schermen meekijken. Dat levert weliswaar een interessant rapport met testresultaten, maar is ook een momentopname met informatie die snel weer vervluchtigt. ‘Ethisch hacker’ is bovendien geen gereguleerd beroep – iedereen kan zich ethisch hacker noemen. En gezien de groeiende populariteit zal de wildgroei alleen maar toenemen.

Buiten je voorstellingsvermogen
Door binnen onze muren ethisch hackers op te gaan leiden, krijgt ethisch hacking een belangrijke plaats in ons hele scala aan securitymaatregelen. De jaarlijkse audits en penetratietests laten zien hoe het staat met het systeem, consultants doen benchmarks en analyses, allemaal op grote lijnen. Gericht op het hier en nu. De ethisch hacker drukt ons met de neus op de feiten en laat ons tegelijk verder kijken. Wij willen natuurlijk niet dat kwaadwillenden bijvoorbeeld stilletjes pensioengegevens zouden kunnen aanpassen. Een ethisch hacker komt op dit soort scenario’s, suggereert passende acties en rekt de grenzen op van wat je zelf zou kunnen voorstellen. Daarmee heeft hij ons bewustzijn vergroot van het belang van security – bij iedereen, niet alleen bij het management, maar bij alle ict-collega’s.

Security by design
En dat vergrote bewustzijn is belangrijk, want nieuwe dreigingen liggen altijd op de loer. Met de groei van koppelingen tussen applicaties en het aantal apparaten dat aan netwerken verbonden is, ontstaat een heel nieuw speelveld voor hackers. Producenten van apparaten als camera’s zijn nu eenmaal niet primair cybersecurity-experts. Daardoor kan het gebeuren dat deze apparaten onvoldoende beveiligd zijn en potentieel eenvoudige toegangspoorten bieden voor hackers.

Dit benadrukt nog eens hoe belangrijk ‘security by design’ is: dat je al bij het ontwerp rekening houdt met veiligheid. Niet als een apart aandachtsgebied, maar als integraal onderdeel van het hele ontwerp- en ontwikkelproces.
Kwetsbaarheden en onzorgvuldigheden wil je in een zo vroeg mogelijk stadium voorkomen. Een echt goed beveiligde gedigitaliseerde organisatie begint daarom aan de basis: met goed gebouwde en geconfigureerde software, gescheiden databases en functionaliteiten en gecompartimenteerde netwerken. Vanuit die overtuiging en met die instelling breng je zoveel mogelijk belemmeringen aan voor kwaadwillenden. En zorg je dat een hacker met slechte intenties aan je voor-, achter- en binnendeuren voorbijgaat.

Conclusie
- TKP Pensioen heeft dit jaar voor het eerst met een ethisch hacker gewerkt.
- Met succes: 95 ict’ers zijn zich nu bewust van het belang van security by design en het voorkomen van kwetsbaarheden in ontwerp en bouw.
- De pensioenuitvoeringsorganisatie gaat daarom een aantal eigen developers structureel opleiden tot ethisch hacker.
- Zo wordt ethisch hacking een logisch onderdeel van het hele securitybeleid: naast jaarlijkse penetratietests en audits, letten ethisch hackers op de dagelijkse praktijk en spotten kwetsbaarheden binnen de digitale muren.
- Noodzakelijk, want steeds meer cybercriminelen proberen hun brood te verdienen met hacking: van gegevensroof tot gijzeling.
- Met een ethisch hacker binnen de muren blijven we kwaadwillenden voor én het vergroot structureel het securitybewustzijn onder de eigen ict’ers.