Tax Talk 2: Cybersecurity bij de Belastingdienst

Hoe handelt het Security Operations Center (SOC) van de Belastingdienst als een ethisch hacker een zero-day kwetsbaarheid meldt?

Tax talk icoon Belastingdienst
Beeld: ©Belastingdienst

Als een ethisch hacker een zero-day kwetsbaarheid meldt, staan ze bij het Security Operations Center (SOC) van de Belastingdienst klaar om hun systemen goed door te lichten. Zo ook toen internetcriminelen pasgeleden toegang tot de systemen konden krijgen door een kwetsbaarheid. SOC Technical Lead Karl Lovink en zijn team gingen direct aan de slag om beveiligde bedrijfsvoering te garanderen. Wat volgde waren drie dagen van weinig slaap, samenwerkingen met het Nationaal Cyber Security Centrum en de SOC’s van andere overheidsonderdelen. Alles om ervoor te zorgen dat de systemen en de data van burgers en bedrijven veilig zijn. Hoe dat lukte, vertelt Karl in de tweede aflevering van Tax Talk.

Tax Talk 2: Cybersecurity bij de Belastingdienst

Tax Talk
LOVINK: Dan beginnen de rode lampjes te flitsen en te knipperen,
dus dan gaan we aan het werk.
-Welkom bij Tax Talk.
Ik ben Robin Rotman en ik praat met betrokkenen
over de digitale uitdagingen van de Belastingdienst,
misschien wel het grootste IT-bedrijf van Nederland.
LOVINK: Als een ethische hacker bij ons komt met een goede melding
dan krijg je bij ons een beker.
-Een trofee.
Daar staat in: 'I hacked the Dutch Tax Office and never got a refund'.
ROTMAN: Dit is een serie van de RijksAcademie voor Digitalisering
en Informatisering Overheid. En vandaag gaat het over cybersecurity.
Te gast hier tegenover mij Karl Lovink,
Technical Lead bij het Security Operations Center bij de Belastingdienst.
Jij bent een security sheriff, een belangrijke man, of niet?
LOVINK: Ja, nou ja, belangrijke man... Ik doe het niet alleen, hè.
ROTMAN: Nee, maar toen ik jou van de week een paar keer wilde bellen
om een beetje kennis te maken alvast, ik wil iemand z'n stem alvast horen,
toen zei jij steeds: 'Sorry, man, ik heb nu echt geen tijd.
Ik zit midden in een incident. Ik word in beslag genomen.'
En toen belde ik je twee dagen later. 'Nee, ik kan nog steeds niet praten.'
Wat was er aan de hand?
-Nou, de hele wereld had er last van,
dus wij uiteraard ook. Er was een kwetsbaarheid,
dat betekent dat een hacker, eigenlijk een cybercrimineel,
iets kan doen op onze systemen wat we niet willen.
En ja, dat moet je gaan oplossen.
En als je dus een heel grote infrastructuur hebt, betekent dat
dat daar veel werk aan vastzit.
ROTMAN: Wat was er voor kwetsbaarheid ontdekt?
LOVINK: Er was een kwetsbaarheid ontdekt
van software wat zich bevindt in heel veel systemen
en wat het mogelijk maakt dat je extra programmaatjes
op je systeem kan draaien
wat je als eigenaar van het systeem niet wil.
Dat heet een 'remote code execution'.
ROTMAN: En dan kunnen ze naar binnen om rond te snuffelen?
LOVINK: Rond te snuffelen, maar ook zorgen dat er data van jou en van mij
ergens anders terechtkomt waar het niet thuishoort.
ROTMAN: Was dat een potentiële ransomware attack?
LOVINK: Uiteindelijk kun je hier ook ransomware aanvallen mee uitvoeren.
ROTMAN: Hoe heette deze attack?
-Deze attack heette Log4Shell.
ROTMAN: Dit was een wereldwijd ding. Dat heeft het nieuws gehaald.
Oké, hoe ziet jouw wereld er dan uit? Jij bent Technical Lead.
LOVINK: Ik zal eens vertellen hoe het een beetje bij ons gestart is.
Wij kregen om kwart over vier 's nachts, donderdag op vrijdag,
kregen we al een melding van een ethische hacker.
ROTMAN: Precies een week geleden.
-Ja, precies een week geleden, ja.
Van een ethische hacker, want bij de Belastingdienst kun je
coordinated vulnerability disclosures doen, vroeger responsible disclosure.
En die melding kregen we, dus we waren al heel vroeg bezig op vrijdag.
ROTMAN: Dus er belt iemand op...
-LOVINK: Nee, we kregen een mailtje.
ROTMAN: 'Ik heb iets gevonden.'
-LOVINK: 'Let op. Aandacht.'
ROTMAN: En dan krijg jij een telefoontje.
LOVINK: Dan beginnen de rode lampjes te flitsen en te knipperen,
dus dan gaan we aan het werk.
We zagen al gauw dat het heel groot was, dus we hebben al gauw
heel veel personen erbij gehaald.
Bij de Belastingdienst zijn we dus opgeschaald in een crisisorganisatie.
Dat betekent dat alle directeuren van Toeslagen, Douane e.d. ook
allemaal hierbij betrokken waren.
-ROTMAN: Iedereen wakker. En dan?
Is dat checken: Zijn ze al binnen? Wat gebeurt er dan?
LOVINK: Dat hoort er allemaal bij.
Als je naar het SOC kijkt, we hebben twee soorten mensen in het SOC,
dat zijn aanvallers en verdedigers ofwel red teamers of blue teamers.
En die red teamers kijken aan de buitenkant of we systemen hebben
die mogelijk kwetsbaar zijn.
En de blue teamers zorgen dat de detectie op orde komt.
ROTMAN: Dus jullie gaan bezig. Is 't een kwestie van de fik blussen,
kijken of je softwarematig de boel kan dichten of zo?
LOVINK: Exact, ja. We gaan proberen pleisters te leggen,
omdat je snel wil acteren. Je moet ook wachten op leveranciers.
Want die leveranciers die moeten ook hun werk gaan doen.
Als je kijkt hoe dit normaal gaat, als iemand een lek vindt in software
meldt hij dat bij de leverancier en die heeft dan tijd om het op te lossen.
ROTMAN: Die moet dat bij al zijn klanten melden. Iedereen moet wakker worden.
LOVINK: In dit geval was het wat we noemen een 'zero-day'.
Degene die het gevonden heeft, maakt het gelijk aan de wereld kenbaar,
dus dan heeft niemand tijd om het op tijd op te lossen.
ROTMAN: En hoe lang duurde het voordat jij het gevoel had van:
Oké, we hebben de zaak onder controle.
-Zaterdagavond.
ROTMAN: Dus dat heeft 36 uur geduurd voordat je weet: nu zijn we weer safe.
LOVINK: We hebben daartussen wel wat acties uitgevoerd.
Vrijdagavond waren de aangifteportalen, denk aan mijn.belastingdienst.nl,
mijndouane.nl, waar we onze aangiften kunnen doen, die waren al veilig.
Een aantal systemen hebben we gewoon uit moeten zetten totdat ze veilig waren.
En zaterdagavond konden we het sein 'brand meester' geven
en dat betekent dat onze systemen weer veilig te benaderen waren.
ROTMAN: Is dat een spannende 24 uur voor jou geweest?
LOVINK: Ja, ik heb weinig geslapen.
ROTMAN: Diegene die dat gemeld heeft, wordt die dan ook vorstelijk beloond?
LOVINK: Nou, helaas vorstelijk niet.
-Eigenlijk zou dat wel moeten.
LOVINK: We geven jouw geld niet aan een hacker, sorry.
ROTMAN: O, want dit was misschien de bad guy die het meldt?
LOVINK: Nee, het was een good guy.
Als een ethische hacker bij de Belastingdienst iets meldt
en het is een goede melding, dan krijg je bij ons een beker.
ROTMAN: Een trofee. Wat grappig.
-LOVINK: Ja.
En daar staat in 'I hacked the Dutch Tax Office and never got a refund'.
ROTMAN LACHT Is dit een belangrijk deel van jouw werk?
De brandjes blussen? LOVINK: Ja, ik denk het wel.
Wij zijn 'incident handlers'. We houden incidenten in de gaten.
Dit zijn natuurlijk incidenten waar we een beetje van smullen.
ROTMAN: Toch wel, hè? Net als een journalist als er een vliegtuig neerstort,
dat is vreselijk, maar dat zijn de dagen waarop je wordt uitgedaagd in je werk.
Spannend lijkt me dat. Zijn dit de belangrijkste soort bedreigingen?
LOVINK: Kijk, de kwetsbaarheden zijn natuurlijk heel erg belangrijk,
omdat... Wat we nu zien in de wereld, je hebt een aantal soorten software.
Closed software maakt de leverancier en daar kan niemand in kijken.
En je hebt ook open software daar werkt eigenlijk iedereen aan
en vaak zijn het projectjes van goedwillende mensen.
Maar dat zijn vaak fundamenten onder veel belangrijke softwarecomponenten.
Dus wat je nu ook ziet gebeuren,
is dat in dit component, twee mensen hebben dit gemaakt,
en dat valt dan om en dan stort je hele kaartenhuis in.
ROTMAN: Maar wat willen ze? Is het gewoon treiteren, jennen?
Of is het de bedoeling dat ze de boel platleggen en dan die beroemde
som geld, dat ze die willen hebben?
LOVINK: Ja, je ziet dus dat er een hoop goedwillende mensen zijn
die onderzoek doen, security researches, en die vinden daar gaten
en die melden dat netjes.
Maar die gaten worden ook door cybercriminelen en statelijke actoren
worden die misbruikt om bij systemen binnen te dringen.
En wat we dus nu ook zien, is dat er bijvoorbeeld via dit lek
geprobeerd wordt om crypto miners op systemen te zetten.
Dat betekent dat de software wordt geïnstalleerd om bitcoins te maken.
ROTMAN: Via de systemen van de Belastingdienst?
LOVINK: Niet via onze systemen, wij zijn die fase gelukkig voor geweest
omdat we heel snel de boel weer up and running hadden
en gepatcht hadden, dus voorzien van de pleister.
ROTMAN: Willen ze die rekenkracht alleen lenen?
LOVINK: Ja, om bitcoins te maken,
zodat ze zelf niet de energierekening hoeven te betalen. En wat je ook ziet
er werd geprobeerd om ransomware via dit gat op systemen te krijgen.
Want vaak wat je dus ziet met een ransom-aanval
moet een gebruiker ergens op klikken. En in dit geval is dat niet nodig.
ROTMAN: Ik heb de gemeentesecretaris van Hof van Twente geïnterviewd.
Daar is een ransomware geweest, hè. Daar werd heel het systeem platgelegd
en toen rolde er letterlijk een printje uit de printer waarop stond:
'Jullie zijn gehackt.' Het is gewoon Peppi en Kokki, hè?
Jeetje. Heb je dat wel eens meegemaakt?
LOVINK: Gelukkig als Belastingdienst hebben wij nog nooit
succesvolle ransomware-aanvallen gehad.
ROTMAN: Ik kan me voorstellen dat de Belastingdienst
lekker de Belastingdienst treiteren, dat dat voor veel hackers 'leuk' is.
Lekker de overheid pesten.
-Ik heb daar een mooi verhaal over.
LOVINK: Een aantal jaar geleden was er iemand die wou ons DDoS-en.
Een DDoS is zorgen dat je systemen niet meer bereikbaar zijn
door er heel veel verkeer heen te sturen.
ROTMAN: DDoS is een heel netwerk aan computers organiseren
en dat ze allemaal tegelijkertijd op jullie systeem gaan beuken
net zo lang tot het boeltje platligt.
LOVINK: Ja, en die had zijn aanval aangekondigd op Twitter.
Dat vinden wij heel erg fijn.
-ROTMAN: Stoere praat natuurlijk.
LOVINK: Uiteraard stoere praat. Iemand zei nog: 'Doe dat nou niet,
want je wordt gepakt.' Nou ja, hij had zich aangekondigd
en om elf uur, omdat we korte lijntjes met de Opsporingsdienst hebben,
lag er een telefoontap en om half een zat hij op het politiebureau.
Dus de missie was niet geslaagd. Helaas voor hem.
ROTMAN: Is achteraf aangetoond dat hij van plan was om dat te doen?
LOVINK: Hij is op televisie geweest.
Hij heeft zich laten interviewen bij Tros Opgelicht.
ROTMAN: Jeetje.
LOVINK: Hij heeft ook verteld waarom hij het heeft gedaan.
ROTMAN: Wat was zijn intentie?
LOVINK: Hij baalde ervan dat mensen op de laatste dag aangifte deden.
Dat moeten ze eerder doen. ROTMAN LACHT
ROTMAN: Oké, ik las dat in 2020 dat er 162.000 phishingmeldingen
van burgers binnen zijn gekomen. LOVINK: Dat klopt.
ROTMAN: Dat betekent dat burgers worden lastiggevallen door bad guys.
Dat ze hun gegevens willen jatten om bij die bankrekeningen te komen.
LOVINK: Exact.
-162.000. Dat vind ik ongelooflijk.
LOVINK: En we zijn met 15 mensen.
-Wat doen jullie met die meldingen?
LOVINK: Nou, in het begin kregen we natuurlijk heel veel van die meldingen.
Met 15 mensen ga je dat niet redden.
We zijn toen echt gaan automatiseren. Dus als iemand ons mailtje stuurt
met bijvoorbeeld een screenshot van zo'n phishingmailtje,
dan proberen we de tekst eruit te halen en geautomatiseerd te verwerken.
Dan is er een aantal dingen die we dan doen. Als er bv. een bankrekening in zit
dan sturen we 'm door naar de bank.
Dat noemen ze een notice and takedown-procedure.
En dan gaat de bank ernaar kijken in hun fraude-afdeling en als daar
frauduleus gedrag op is, wordt zo'n bankrekening geblokkeerd
om de schade te beperken. Wat wij zien namelijk is dat
je zo snel mogelijk moet acteren, omdat in het eerste uur
de meeste mensen klikken en iets doen met zo'n mailtje.
ROTMAN: Maar jij bent van de cybersecurity.
Dus jij bent van de lekken dichten in de hardware en in de software
aan deze kant van de streep, zal ik maar zeggen.
Maar ja, als ik als burger in zo'n phishingmail trap
of iemand achterhaalt zo mijn wachtwoorden en zo,
ja, dan kan je secure zijn wat je wil
dan zijn ze gewoon binnen in mijn bankrekening.
Daar kan jij eigenlijk niet zo heel veel tegen doen.
LOVINK: Nee, het enige wat we kunnen doen
en dat voelen we ons wel maatschappelijk verplicht
om als er bij ons zoiets gemeld wordt, dat we er ook iets mee doen.
Dat doen kan zijn het blokkeren van een bankrekening,
het laten blokkeren van een telefoonnummer wat gebruikt wordt
om die phishingmail te versturen. Vaak is het 'smishing'.
Je kunt phishing op twee manieren doen. Via mail en via sms.
En dit is dan smishing.
We hebben een dusdanig goede band met de banken en telecombedrijven
zoals KPN, T-Mobile e.d. opgebouwd
dat we ook redelijk snel die meldingen kwijt kunnen en zij er ook iets mee doen.
Want ja, hoe langer dat soort websites, bankrekeningen, telefoonnummers
gebruikt worden, hoe groter de schade.
ROTMAN: Jij kan tweetrapsauthenticatie introduceren, hebben jullie ook gedaan.
Dus je kan nog een extra laag inbouwen waardoor je er wat moeilijker bij komt,
zodat je een stapje verder komt bij zo'n burger,
dat je er nog niet helemaal bent.
LOVINK: Ja, van de phishingmeldingen zien wij eigenlijk helemaal niks.
Want wat er gebeurt, is er wordt ergens een website in de lucht geholpen
en dan worden er valse Belastingdienstpagina's op gezet
en die worden gebruikt.
ROTMAN: Dat is het rookgordijn, hè. Je denkt: het deugt, en dan trap je erin.
Hoe vaak worden die gasten gepakt? Heb je daar een idee van?
LOVINK: Als SOC zijn we niet van de opsporing.
ROTMAN: Jullie werken wel samen met de Opsporingsdienst.
LOVINK: Als wij iets zien wat volgens ons strafbaar is
melden we dat en doen we aangifte, zoals iedere burger dat kan doen.
En daarna start er een opsporingstraject.
En er worden, zoals je terug kunt lezen in de kranten en in het nieuws,
inmiddels redelijk vaak mensen opgepakt omdat het ook steeds duidelijker wordt
hoe die organisaties in elkaar zitten.
ROTMAN: Zitten ze in Nederland? Zijn dat de pubers op zolderkamertjes?
Of zijn dat gewoon maffia-achtige organisaties vanuit de hele wereld?
LOVINK: Uiteindelijk kom je op maffia-achtige organisaties uit.
De jongetjes die achter de laptop zitten zijn vaak 15, 16, 17 jaar. En ja...
ROTMAN: Wat zijn in security-land of in hack-land of in bad guy-land
de trends op dit moment? Waar zit jij nu naar te kijken?
Want ik neem aan dat jij van alles hebt meegemaakt.
Wat is nu een beetje het ding?
LOVINK: Het grote probleem wat we nu met z'n allen hebben
is vooral ransomware. Die partijen zijn zo professioneel geworden
dat ze ook bv een helpdesk aanbieden.
Je koopt ransomware-software om ransomware te gaan doen
en daar kun je support op krijgen.
ROTMAN: Ze hebben gewoon een helpdesk.
LOVINK: En ook als jij met ransomware besmet bent
dan wordt er gevraagd, vaak is het bitcoins wat je moet betalen,
en als je niet weet hoe dat moet, kun je de helpdesk bellen,
die gaan je helpen om te betalen.
-ROTMAN: Dat is toch brutaal?
Oké, dus ransomware is op dit moment prio 1?
LOVINK: Ja.
ROTMAN: Ehm, en is het bij jullie dan ook elke keer weer kijken van:
Hoe doen ze dat? Hoe komen ze binnen? Constant dat kat-en-muis-spel.
LOVINK: Een digitale wedloop is het eigenlijk geworden.
ROTMAN: Kun je beschrijven hoe jullie dat spelletje spelen?
LOVINK: Kijk, wij zijn echt van mening
en gelukkig is dat inmiddels ook redelijk in Nederland doorgedrongen,
en internationaal, dat we deze wedstrijd niet alleen gaan winnen.
We moeten echt samenwerken.
Dus we zitten ook in een groot aantal samenwerkingsverbanden.
We werken uiteraard samen met het Nationaal Cyber Security Centrum.
Wij zijn als Rijksoverheid de doelgroep van het NCSC, uiteraard.
ROTMAN: Omdat jullie tot, hoe noem je dat, de kritieke infrastructuur behoren?
LOVINK: Nee, we zijn de Rijksoverheid.
Je hebt de vitale sector en de Rijksoverheid.
Wij vallen binnen de Rijksoverheid.
-Oké.
Op die manier zijn we aangesloten bij het NCSC.
Verder zitten we in een aantal samenwerkingsverbanden.
We werken met een aantal SOC's security operation centers, samen
binnen de Rijksoverheid. die heet de Joint-SOC samenwerking.
Daar wisselen we samen data uit en informatie.
Netjes conform AVG uiteraard. We voldoen aan de Privacywetgeving.
ROTMAN: Ik had niet anders verwacht van jullie.
LOVINK: Wij vinden onze eigen persoonsgegevens ook belangrijk.
Waarvoor zouden we die van jou dan niet belangrijk vinden?
Dus dat doen we netjes volgens de wetten en normen die er zijn.
En op die manier proberen we samen ten strijde te trekken.
Want de criminelen doen dat ook, die werken ook samen.
Het is ook een complete economie geworden.
Ik zou er ook graag voor willen pleiten om het woord 'hackers'
voor dit soort doeleinden niet meer te gebruiken.
Het zijn gewoon cybercriminelen.
ROTMAN: Aan het begin corrigeerde je jezelf ook al bijna.
Je had het over boeven of criminelen.
Want hackers is wat neutraler. Je hebt goede en slechte hackers.
LOVINK: Ja, dus laten we het gewoon cybercriminelen noemen.
ROTMAN: Ik noem het inmiddels gewoon maffia.
Ik heb wel vaker van dit soort gesprekken gevoerd.
Ik ben wel overtuigd, dit zijn hele zware jongens.
LOVINK: Ja, want kijk, je ziet heel veel van dat soort figuren
die eerst in drugs handelen zie je naar cybercrime gaan,
omdat er veel meer in te verdienen valt en de pakkans veel kleiner is.
ROTMAN: Heb jij enig benul hoe groot die scene is?
LOVINK: Groot.
ROTMAN: Duizenden mensen? Weet je hoeveel geld gaat erin om?
LOVINK: Er gaat echt bizar veel geld in om.
Exacte getallen weet ik niet of hoeveel mensen erin zitten.
Maar op deze wereld zijn er natuurlijk nog steeds landen
als je je eigen burgers niet aanvalt, dan kun je gewoon je gang gaan.
Zolang dat soort landen er zijn, hebben we een probleem met z'n allen.
ROTMAN: Er gaat dagelijks geloof ik 1 miljard euro om
bij de Belastingdienst. Elk jaar moeten miljoenen mensen aangifte doen.
Er werken geloof ik 1600 mensen bij de Belastingdienst.
LOVINK: Iets meer. Iets meer.
ROTMAN: Nee, 1600 mensen, in de eerste aflevering had ik 't erover,
1600 mensen bij IV alleen al.
-Bij IV, Informatievoorziening.
ROTMAN: Om even aan te geven hoe groot de Belastingdienst is
en hoeveel er gedaan wordt.
Als er nieuwe software geïnstalleerd moet worden
of er moet een nieuw systeem gebouwd worden,
dan moet de winkel open blijven terwijl hij verbouwd wordt.
En als er ook maar één dag ergens een Belastingdienst platligt,
worden jullie door tienduizenden mensen gebeld, chagrijnige burgers,
omdat wij hoge eisen stellen aan de Belastingdienst.
Het is eigenlijk een wonder dat het zo vaak goed gaat, hè?
Als je ziet hoe groot het is. Of is het dankzij jou...
LOVINK: Ik vind het wel jammer dat de Belastingdienst vaak
heel negatief in het nieuws komt,
want er gaan ook echt heel veel dingen heel goed.
ROTMAN: Ja, dat blijkt maar weer. Ze komen relatief weinig echt binnen,
er wordt weinig schade aangericht. Of ben ik nou een beetje naïef?
LOVINK: Ik denk dat je daar een goed punt hebt,
want wij proberen natuurlijk de boel zo veilig mogelijk te houden.
Voordat je bij ons zomaar iets in productie mag zetten...
Een applicatie wordt ontworpen en daarna gaat hij in productie.
Dat kan ook niet zomaar. Er worden veiligheidstesten uitgevoerd,
functionele testen, nog een keer veiligheidstesten
en dan mag het pas in productie geplaatst worden.
ROTMAN: In deze serie praat ik ook met iemand die apps bouwt.
Dus jij zit echt aan de binnenkant van het systeem.
Aan de voorkant van het systeem
heb ik als eenvoudige burger te maken met een app.
Er zijn geloof ik iets van 50 apps van de Belastingdienst.
Die worden intern en extern gebruikt. Toeslagen-app... Heel veel apps.
Die worden allemaal aangesloten aan die systemen.
Zit jij er elke keer met je snuit bovenop als er iets nieuws bedacht wordt?
Eerst langs Karl. Is het allemaal dichtgetikt? Is het goed geregeld?
LOVINK: Ja, we hebben natuurlijk richtlijnen en normen bedacht.
Zoals je al zegt, er werken 1600 mensen bij de IV van de Belastingdienst.
En wij zijn met z'n 15-en, dus we kunnen niet bij iedereen aan tafel zitten.
We proberen zoveel mogelijk dat ze via richtlijnen en normen
veilig programmeren. Dat noemen we 'security by design'.
Veiligheid meenemen in het ontwerp van je software, van je apps.
En we gaan ook met dat soort teams in gesprek om uiteindelijk ook te kijken:
Hoe gaan we de monitoring doen? Van de security.
We monitoren of het nog veilig is, of er geen inbraken plaatsvinden.
Dat is een taak die we als SOC hebben.
-ROTMAN: Jullie zitten er echt bovenop.
Internet wordt steeds groter, de digitalisering gaat steeds verder,
het zit steeds dieper in de samenleving.
Hoe gaat 't de komende 10, 20 jaar eruitzien? Wat worden de dreigingen?
Waar werk jij nu al aan dat je weet: over 10 jaar is het ook nog veilig?
LOVINK: We gaan natuurlijk steeds meer digitaliseren.
We moeten ook rekening houden met de groep mensen die dat niet kan.
Dat wil ik ook nog even gezegd hebben.
Er zit een groep in de samenleving die niet met dit tempo mee kan gaan.
Daar moeten we rekening mee houden. Maar er komen steeds meer risico's.
We worden natuurlijk steeds afhankelijker van digitalisering.
En de boeven aan de andere kant worden ook steeds beter.
Waar we vroeger met z'n allen phishingmailtjes kregen
wat heel beroerd Nederlands was...
-Ze worden steeds handiger.
LOVINK: Wij zien nu zelfs dat ze juist taalfouten introduceren
om het niet perfect te laten lijken.
ROTMAN: Kijk eens aan. En ik begreep ook dat die hackers niet
een bepaald doel targetten, zoals de Belastingdienst of een gemeente.
Ze laten automatisch systemen lopen die constant kwetsbaarheden zoeken.
En dan hebben ze een pingeltje en als ze iets gevonden hebben
dan gaan ze gericht beuken op die deur.
-LOVINK: Deels wel, deels niet.
We hebben, vorig jaar is dat geweest, en een aantal jaren veel last gehad
van een aantal mensen die belden dat ze de deurwaarder waren
van de Belastingdienst. Die gingen wel expliciet sectoren af.
Dus dan waren de slagers aan de beurt, en toen de kruideniers,
toen waren de campings aan de beurt. En dan ga ik wel mee in wat je zegt,
er zitten toch maffia-achtige praktijken achter, want na onderzoek, gelukkig,
is wel de persoon die erachter zat gearresteerd. En die zat in Turkije.
Als je op Google zoekt op belastingdienst, deurwaarder, Turkije,
dan kun je nog een mooi filmpje terugvinden van zijn arrestatie.
ROTMAN: Oké, dat gaan we doen.
-LOVINK: Moet je vooral doen.
ROTMAN: Maar waar ik naartoe wilde, wat doe jij aan jouw kant?
Die werken met slimme systemen, misschien met algoritmes
om op zoek te gaan online naar zwakke schakels.
Ben jij dan ook weer een AI aan het ontwikkelen
die die AI's gaat bestrijden? Computer versus computer?
Computers tegen elkaar laten knokken. Is dat wat er gebeurt?
LOVINK: Kijk, wat je zelf ook aangeeft, is dat de cybercriminelen
steeds slimmer worden. Wij moeten daarin mee.
En wat ik toenstraks ook zei, het is een digitale wedloop.
Ja, je moet dingen gaan... Machine learning, artificial intelligence
moet je op gaan zoeken, want als wij als leek naar een zaagtandje kijken
op een beeldscherm, dan zeg ik: nou, dat ziet er echt tof uit.
Dat is echt heel consistent.
Maar als je bv. met AI naar zo'n zaagtandje kijkt, vind je afwijkingen.
ROTMAN: Een zaagtandje? Help me even.
LOVINK: Je ziet gedurende de dag proberen mensen in te loggen
uit te loggen, in en weer uit te loggen... Inloggen is een gebeurtenis,
uitloggen is een gebeurtenis, die horen bij elkaar.
ROTMAN: Patronen kun je daar herkennen?
LOVINK: En dan kijk jij als mens naar zo'n patroon en dan zeg je van:
Nou, dat ziet er perfect uit.
Maar als je met AI naar zo'n patroon gaat kijken, ga je afwijkingen vinden.
Ik denk dat we bij het SOC ook meer aan data-analyse moeten gaan doen
om dit soort dingen te gaan herkennen om juist de slimmere cybercriminelen
ertussenuit te kunnen vissen.
ROTMAN: Ik zei al, je kan doen wat je wil, maar uiteindelijk
heb je gewoon te maken met 17 miljoen mensen die allemaal
op een of andere manier klant zijn van de Belastingdienst.
Uiteindelijk is de mens toch altijd de zwakste schakel.
LOVINK: Ja, mee eens.
-Dat moet soms frustrerend zijn.
Schrijf je wachtwoord nu niet op die post-it op je scherm.
LOVINK: Daar proberen we steeds ook rekening mee te houden.
Bijvoorbeeld, voor DigiD had je vroeger gebruikersnaam en wachtwoord nodig.
Er is natuurlijk samen met DigiD is er nu een DigiD-app gekomen.
En je kunt met SMS-authenticatie, da's altijd beter dan niks.
En Microsoft is aan het experimenteren
met systemen waar je helemaal geen wachtwoord meer nodig hebt.
Dus dat op een andere manier gaat authentiseren.
ROTMAN: Ja, een vingerafdruk of zo?
LOVINK: Er zijn allerlei methodieken om dat te doen.
Dus op die manier... Ik verbaas me ook altijd,
je hebt dan een procedure als je je wachtwoord vergeten bent.
Dan moet je op drie vragen antwoord geven.
Nou, hoe heette je eerste huisdier? Waar ben je geboren?
En hoe heet je moeder?
Nou, ga op iemands Facebookpagina kijken...
en je hebt zo de drie antwoorden bij elkaar geharkt.
ROTMAN: Dus daar is ruimte voor verbetering?
LOVINK: Dat denk ik wel, ja.
Vind je dat je een leuk vak hebt?
-LOVINK: Ja, een erg leuk vak.
ROTMAN: Het lijkt me spannend. Je zit echt in de voorhoede.
LOVINK: Weet je, als je aan het eind van de dag terugkijkt
en je kijkt naar wat ik die week zou doen, komt er vaak geen fluit van terecht.
ROTMAN: Het is altijd spannend. Ja, leuk.
Nou, succes met je mooie werk.
Ik voel me wel vertrouwd als jij mijn Belastingdienst in de gaten houdt.
LOVINK: We zullen jouw ex...
-ROTMAN: Maak je zin maar af.
LOVINK: Nee, ik zal het niet doen.
-ROTMAN: Dank je wel, Karl Lovink.
Als je deze aflevering leuk vindt,
kun je ook de andere afleveringen van Tax Talk terugluisteren
via www.it-academieoverheid.nl.