Bedrijven zijn zo lek als een mandje

Reportage Cybersecurity

Ieder bedrijf wordt vroeg of laat gehackt, maar bijna nergens weten ze om te gaan met digitale inbraak. Met een game hoopt PwC zijn klanten beter te wapenen tegen aanvallen via internet.

Cursisten leren bij PwC hoe zij om moeten gaan met een hack door het virtuele bedrijf ACME uit een digitale crisissituatie te loodsen. Beeld Raymond Rutting/de Volkskrant

Bedrijven zijn zich wel bewust van de inbrekers die hen op internet bedreigen, maar doen vaak weinig om zulke hackers tegen te houden. Dienstverlener PwC zet een computerspel in dat bestuurders en managers bewust maakt van de gevaren, het Amerikaanse SANS leert computertechnici denken als internetinbrekers. 'Gewonnen, denk je? Nou, er zitten nog wel drie virussen in je computers.'

De voormalige FBI-directeur Robert Mueller zei vier jaar geleden dat er twee soorten bedrijven zijn. 'Bedrijven die door hackers zijn overvallen en bedrijven die dat nog moet overkomen.' Vorig jaar ging oud-topman John Chambers van netwerkspecialist Cisco nog een stapje verder: 'Er zijn bedrijven die gehackt zijn en bedrijven die nog niet weten dat ze gehackt zijn.'

Bij het bedrijf ACME weten de leidinggevenden inmiddels wél dat hun computers door cybercriminelen te grazen worden genomen. Vier managers kijken zorgelijk naar schermen waarop het ene na het andere alarmerende bericht verschijnt. Twitterberichten maken duidelijk dat de buitenwereld er ook lucht van heeft gekregen. De paniek neemt toe. 'Waar zitten die lui? Moeten we extra beveiliging inhuren? Brengen we een persbericht uit?'

Geen van die maatregelen zal soelaas bieden. De dag eindigt met een strop voor de onderneming. Gelukkig voor de falende managers is ACME een virtueel bedrijf en is de hackersaanval slechts een simulatie - het drama voltrekt zich op acht computerschermen in een Amsterdams kantoor van PwC Nederland. De inbraak is onderdeel van een Game of Threats. Een spel.

Thuis oefenen

Thuis naspelen hoe het is om als bedrijf onder vuur van hackers te liggen kan via Cybersecurity Lab. De speler krijgt de rol van systeembeheerder van een van vier internetbedrijven: Einstagram, SnapCat, Phasebook of Wattsamp, met de taak die te bewapenen tegen hackers. Beveiligingsbeslissingen nemen in de rol van technisch directeur van een organisatie kan via Cyberciege (alleen voor Windows). Op de website van de Naval Postgraduate School van de Amerikaanse marine is een demoversie te downloaden van Cyberciege.

Cybersecuritylab: pbs.org/wgbh/nova/labs/lab/cyber/
Cyberciege: cisr.nps.edu/cyberciege/

Wie niet horen wil, moet maar spelen, redeneerden ze bij de forensische afdeling van PwC, nadat uit gesprekken met klanten steeds weer bleek hoe slecht bedrijven zijn voorbereid op digitale rampen. Het bedrijf ontwikkelde Game of Threats om managers aan den lijve te laten ondervinden hoe het is als een hacker je bedrijfsnetwerk binnendringt en saboteert, er met bedrijfsgeheimen vandoor gaat of je systemen op slot zet voor klanten en leveranciers.

De meeste bestuurders en managers weten wel dat er cybergevaren op de loer liggen, zegt consultant Gerwin Naber. 'Het bewustzijn is er, de bezorgdheid is er ook, maar niemand voegt de daad bij het woord. Een hoop bedrijven hebben zelfs nog niet de basisstappen genomen om hun computernetwerken te beveiligen.' Game of Threats moet leidinggevenden laten zien dat het al te laat is als ze de aanwezigheid van de indringer opmerken. De meeste computerinbraken worden namelijk pas na zes, zeven maanden ontdekt.

Na de eerste Game of Threats, waarbij vier spelers de rol van de managers op zich nemen en vier anderen de rol van hackers vervullen, legt PwC-adviseur Matthijs van der Wel uit wat de verslagen managers fout deden in het spel. De tweede wedstrijd winnen de managers wel. Ze joelen de hackers luidruchtig uit, maar Van der Wel tempert de feestvreugde. 'Er zijn nog steeds drie virussen actief op jullie netwerk.'

Hackers, legt hij uit, zijn altijd in het voordeel. Het gereedschap voor aanvallen of inbraken ligt voor het oprapen op internet. Criminelen hoeven een bedrijf niet eens direct te belagen. Ook een zwakte in de beveiliging bij een toeleverancier of bij de provider kan fataal zijn. Naber: 'Bedrijven vergeten dat ze in de digitale wereld niet op zichzelf staan, maar verbonden zijn met andere bedrijven. Jij kunt de boel dus wel dichttimmeren, maar dat helpt niet als een van je toeleveranciers zijn beveiliging niet op orde heeft.'

Game of Threats is niet in de winkel te koop. PwC gebruikt het spel om klanten te winnen. Het accountantskantoor heeft een bedrijfspoot die gespecialiseerd is in computerbeveiliging.


Leren hoe een hacker denkt met een nagebootste stad

Het Amerikaanse stadje CyberCity heeft een bank, een school, een energiebedrijf, een waterzuiveringsinstallatie, een ziekenhuis en zelfs een militair vliegveld. Maar het plaatsje van 12.386 zielen dat het tv-scherm laat zien is op geen enkele kaart te vinden. CyberCity is een maquette van slechts enkele vierkante meters groot.

Het lieflijke uiterlijk is bedrieglijk: CyberCity is een serieus trainingsmiddel voor ICT'ers van bedrijven en overheidsdiensten. Deze informatietechnici leren met behulp van de stadsmaquette hoe kwetsbaar hun computersystemen zijn, opdat ze zich daarna beter kunnen verweren tegen hackers en cybercriminelen.

De maquette is gebouwd in opdracht van het SANS-instituut, een Amerikaanse bedrijf dat werknemers traint in computerbeveiliging. SANS merkte in de praktijk dat vooral oudere ICT'ers het moeilijk vinden een pure computersimulatie serieus te nemen. Dus liet het bedrijf een mini-stad op schaal bouwen.

CyberCity, de modelstad van opleidingsinstituut SANS. Een maquette van een verkeerssituatie. Beeld SANS

Het oogt kinderachtig, erkent instructeur Tim Medin. 'Maar', zegt hij, 'CyberCity hangt vol met sensoren, meetapparatuur, systemen en camera's die je ook in een echte stad vindt.' Het hospitaal van CyberCity draait op de software die standaard is in alle Amerikaanse ziekenhuizen. Medin: 'Die software zit vol met gaten. We moesten hem zelfs wat bijspijkeren, omdat het anders te gemakkelijk zou zijn om in te breken.'

Zelfs het elektronische bord met de tekst Welcome in CyberCity is te kraken. 'Je zou met nepmeldingen op dat bord het autoverkeer in het honderd kunnen laten lopen', zegt Medin.

Van elke inwoner van het stadje is een uitgebreid dossier gemaakt. Die persoonsdossiers zijn opgeslagen in een database die ook niet waterdicht is afgeschermd van de boze buitenwereld. Het stadje heeft zelfs zijn eigen sociale medianetwerk, FaceSpace, waaruit de hackers privégegevens kunnen lichten om zich ergens naar binnen te praten.

Aan de hand van scenario's leren de ict'ers denken als een hacker. Medin: 'Je zult verbaasd staan hoe weinig informatie je nodig hebt om een beveiligingscamera of een computer over te nemen die open en bloot op internet staat. Modems worden bijvoorbeeld meestal geleverd met een makkelijk standaard wachtwoord. Kopers passen dat wachtwoord zelden aan. Zo kun je als hacker stap voor stap een netwerk kraken.'

Dat fabrikanten apparatuur meestal voorzien van een makkelijk te onthouden standaard wachtwoord, heeft een historische reden, zegt Medin. 'De code voor het lanceren van de Amerikaanse kernraketten bestond twintig jaar lang uit acht nullen. Een complexer wachtwoord vond het leger gevaarlijk. Men was bang dat de VS bij een Russische aanval niet snel genoeg kon reageren, omdat verantwoordelijke officieren zich de code niet konden herinneren.'

CyberCity, de modelstad van opleidingsinstituut SANS. Een maquette van de plaatselijke marinebasis. Beeld SANS
Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@volkskrant.nl.