Let’s talk about hacks 1: Met ethisch hacker Rickey Gevers

Hoe moeilijk of hoe gemakkelijk komt een hacker de systemen binnen van de overheid? En welke schade kan daar worden aangericht? Ethisch hacker Rickey Gevers geeft antwoord op deze en vele andere vragen.

'Let’s talk about hacks' een podcastserie van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties in het kader van de Overheidsbrede Cyberoefening. Kijk voor meer informatie op: www.weerbaredigitaleoverheid.nl

Let's talk about hacks
Beeld: ©ICTU

Let’s talk about hacks 1: Podcast met ethisch hacker Rickey Gevers

Hacken begint vaak als je jong bent. Je morele kompas is nog niet goed afgepeild.
ROTMAN: Welkom bij 'Let's talk about hacks'. Ik ben Robin Rotman
en in dit programma praat ik met deskundigen en betrokkenen over hacken.
Hoe voorkom je het?
Wat moet je doen als het je overkomt en waar zitten de risico's?
GEVERS: Je krijgt een e-mail met een bijlage, dan is er iemand die daarop klikt.
Er wordt één computer gehackt en vanuit die ene computer hacken ze het hele netwerk.
Wat wij in de praktijk vaak zien, is dat vervolgens de ransomware wordt uitgerold.
ROTMAN: Dit is een podcastserie van Binnenlandse Zaken
in het kader van de overheidsbrede cyberoefening.
Vandaag praat ik met cyber security-expert Rickey Gevers.
Ethisch hacker, dat klinkt veel mooier.
Jij wordt door bedrijven en overheden ingehuurd.
GEVERS: Ja, dat klopt.
ROTMAN: Je hebt kennelijk hackers en ethisch hackers.
GEVERS: Ja, klopt.
ROTMAN: Komt elke hacker vroeg of laat op een soort kruispunt?
'Ga ik iets goeds doen met m'n talent of kies ik voor de dark side?'
GEVERS Ja, dat denk ik wel. Ik denk dat het ook meer een menselijk aspect is, hoor.
Hacken begint vaak als je heel jong bent. Ik noem dat zelf altijd:
Je morele kompas is dan nog niet helemaal goed afgepeild.
Dan zie je soms dat hackers op jonge leeftijd de verkeerde kant op neigen,
maar vaak trekt dat naarmate ze volwassen worden wel bij.
Binnen de hackwereld... Je kunt het soms ook vergelijken met een ethisch dokter.
Ik vind het zelfs misschien wat overdreven dat er ethisch hacker voor staat.
Het is nou eenmaal zo dat binnen onze maatschappij
de term hacker vooral wordt geassocieerd met criminaliteit
en daarom staat er ethisch voor.
ROTMAN: Dat komt uit de tijd dat iedereen dacht dat alle hackers verdacht waren
totdat hackers goede dingen gingen doen.
Die bewegingen gingen ook zo, volgens mij, toch?
GEVERS: Ja, ik denk dat dat vooral komt
doordat als je naar het nieuws kijkt, dan zie je vooral de hacks die crimineel zijn.
De goede dingen die gedaan worden, halen het nieuws niet
waardoor er een soort van ondertoon van criminaliteit aan hangt.
Dat woordje 'ethisch' benadrukt dat je echt aan de goede kant staat.
ROTMAN: Dat beeld van jonkies op zolderkamers
die prutsen met computers en internet, dat is het cliché.
Klopt dat ook eigenlijk? GEVERS: Ja, dat klopt.
ROTMAN: Dat zijn jonkies die snuffelen eraan
en denken: o, ik kan op school inbreken misschien.
GEVERS: Ja, Trump zei ooit: 200 pound kit. Of zoiets.
Dat stereotype beeld klopt natuurlijk deels. Die zijn er gewoon.
Dat is in alle vakgebieden natuurlijk het geval.
Maar het begint vaak wel dat, met name jongens overigens,
gelukkig komen er wel steeds meer meisjes,
vaak op hun zolderkamertje beginnen en zo gaat het steeds verder.
Uiteindelijk eindigen ze, of velen van hen, in een keurig net pak,
bij een of ander consultancybureau, hoor.
ROTMAN: Toch wel. GEVERS: Het komt allemaal goed.
ROTMAN: Maar dan begint het dus, dat je achter je schermpje zit en denkt:
Ik ga kijken of ik die krappe zesje voor aardrijkskunde
kan veranderen in ruime achten.
GEVERS: Die motivatie heb ik nooit gehad en je ziet:
Dat is hoe ik cybercriminelen onderscheid van gewone normale hackers.
Dat is de motivatie die erachter zit.
Als jouw motivatie is om het cijfer van je proefwerk te veranderen,
is dat een redelijk verkeerde motivatie in feite.
De mensen in mijn wereld zijn vooral gemotiveerd,
omdat ze een technische uitdaging zien.
Eigenlijk willen ze gewoon weten hoe een bepaald systeem werkt.
Als je namelijk doorgrondt hoe een systeem werkt,
weet je op een gegeven moment ook dat je er misbruik van kan maken.
Het uiteindelijke doel is dat je dat misbruik dicht.
Dus dat je eigenlijk de deurtjes die openstaan, dichtzet.
ROTMAN: Hoe begon het toen jij een puber was?
Wat waren voor jou de klusjes die je voor jezelf bedacht van:
Daar ga ik eens in duiken? GEVERS: Bij mij...
Het verhaal is wel interessant hoe dat gelopen is,
want ik begon ooit met het maken van websites, dat vond ik heel leuk.
Dus iets maken daadwerkelijk.
Mijn website, dat is waarneming.nl, werd toen gehackt.
Dat was het moment dat ik enorm machteloos werd.
Want iemand had mijn website weggehaald.
Toen heb ik mijn website teruggezet, een half uur erna had hij 'm weer weggehaald.
Die machteloosheid kwam van het gevoel dat iemand je huiskamer kan binnenkomen
zonder dat jij hem tegen weet te houden.
Toen had ik zoiets van: Ik wil dat dit nooit meer gebeurt.
Toen ben ik me gaan verdiepen in hoe dat hacken werkt,
want je kan je nooit tegen een hack wapenen als je zelf niet weet hoe het werkt.
Al vrij snel kwam ik erachter dat dat me gewoon heel goed afging.
Dat ik redelijk makkelijk dat wereldje door ging.
Je moet je voorstellen, dat begint letterlijk met googelen naar dingen.
Op een gegeven moment ken je de theorie.
Dan weet je theoretisch hoe je moet hacken
en zo ga je steeds een stapje verder.
ROTMAN: Ja, ik wil daar meer over weten, maar eerst je neerzetten als persoon:
Wat doe jij nu met dat talent? Je hebt dat ontplooid, ontwikkeld.
Je hebt ze buiten de deur gehouden toen het om je eigen website ging.
Toen je zelf ervaarde hoe het is om kwetsbaar te zijn.
Wat doe je nu als professional met je vaardigheden?
GEVERS: Ik doe veel,
maar om het algemeen te houden, help ik mensen met hun veiligheid
en dat kan verschillende fasen hebben.
Het kan zomaar zijn dat een bedrijf mij inhuurt om dat bedrijf te hacken.
Dan schrijf ik daar een rapport over.
Met dat rapport in de hand kan dat bedrijf de veiligheid omhoog krikken.
Een andere, en dat heeft zelf mijn voorkeur, dat vind ik het leukst om te doen.
Dat noemen ze incident response binnen ons wereldje.
Dat houdt in dat als een bedrijf of een gemeente of whatever gehackt is,
dat wij ze gaan helpen om die hackers zo snel mogelijk naar buiten toe te krijgen
om forensisch onderzoek te doen,
dus erachter komen hoe de hacker binnengekomen is,
en bijvoorbeeld erachter te komen welke data er gestolen is door die hacker.
Uiteraard een bedrijf zo snel weer op de rit krijgen,
zodat ze weer verder kunnen.
ROTMAN: Je hebt ervoor gekozen om een good guy te worden.
GEVERS: Absoluut, zeker weten.
ROTMAN: We praten zo in deze opname over wat je kán doen
als het je overkomt of wat je zou moeten doen om het te voorkomen.
Eerst even dat wereldje, je noemde de term 'wereldje'.
Bestaat er zoiets als een hackersscene?
GEVERS: Ja, zeker, het is een redelijk hechte community ook wel.
Je ziet dus heel veel conferenties waar altijd dezelfde mensen komen.
Zo moet je dat een beetje zien.
De community is redelijk hecht, dat zie je binnen alle subculturen wel.
De meeste mensen kennen elkaar wel. Het is een redelijk gesloten wereldje.
ROTMAN: Dat zijn geen jongens en meisjes met zwarte capuchontruien
die alleen maar navelstaarderig...
GEVERS: Als je naar een conferentie gaat, zie je dat veel.
ROTMAN: Toch wel?
-Ja, dat is wel zo.
Het verschilt wel per conferentie. Hoe zakelijker het wordt, hoe minder...
Dat noemen ze binnen ons wereldje de salespersonen die altijd in pak lopen.
Dat is daadwerkelijk zo.
Hoe zakelijker de conferentie, hoe meer mensen je in pak je voorbij ziet komen.
ROTMAN: Er zit ook een soort subcultuur in van misschien wat jongeren
die wat oldskool zijn en zichzelf toffer vinden, die een beetje underground zijn.
GEVERS: Ik weet niet, ik heb zelf nooit zoiets gehad.
Ik ben niet iemand die specifieke kleding draagt of bij een bepaalde groep wil horen.
Ik heb dat gevoel niet heel erg in me.
Wat je vaak op conferenties wel ziet, is toch wel die hoodies, hoor.
Dat soort kleding.
-Leuk. Mooi.
Ik laat elke gast in deze serie een vraag stellen aan de volgende gast in de serie.
Alleen, jij bent de eerste.
Dus dacht ik: Ik ga een paar Rijks I-trainees vragen.
Dat zijn startende ICT, data and cyber professionals bij de Rijksoverheid.
Dat zijn mensen, jongeren, waarvan ik dacht: Die kunnen wel wat.
En die hebben leuke vragen bedacht. Die ga ik nu aan je voorleggen.
Ik heb er vier uitgekozen. De eerste komt van Tim.
TIM: Ik kan me voorstellen dat als je in een systeem zit, je je machtig voelt
en het gevoel hebt dat je alles kan maken.
Mijn vraag is of je weleens de neiging hebt gehad
om iets te doen wat eigenlijk niet mag.
ROTMAN: Tim vraagt naar de dark side. Heb je die opgezocht?
GEVERS: In mijn geval ben ik redelijk jong begonnen met hacken en het is wat je zegt:
Als je een computer hebt overgenomen, heb je volledige controle over zo'n systeem.
Dat voelt ook echt heel machtig.
Ik weet nog heel goed dat ik op een gegeven moment in bepaalde computers gehackt heb.
Dus illegaal heb ik destijds bepaalde computers overgenomen.
Toen was ik minderjarig.
-Want dan mag het?
GEVERS: Nee, dat mag niet,
maar dan is je moreel kompas een flink stuk minder ontwikkeld dan als je ouder wordt.
Maar ik nam die computers over en wat ik eigenlijk psychologisch deed
was het een soort van witwassen.
In de zin van: ik nam die computers over, maar ik heb nooit,
en daar lag m'n interesse ook helemaal niet,
maar ik heb nooit persoonlijke foto's of documenten van mensen bekeken.
Daar lag mijn interesse daadwerkelijk niet.
Ik wilde zo'n computer overnemen, dat was het.
Ik waste dat een beetje wit door die computers veiliger te maken.
Als je een computer weet te hacken, weet je dat ie lek is.
Dus dat lek dichtte ik meteen.
En dan dacht ik: Nou, ik heb die computer overgenomen, veiliger gemaakt
en ik verdwijn weer van die computer. Dat was mijn manier om dit een beetje...
ROTMAN: Zonder te laten merken dat je er was geweest?
GEVERS: Soms liet ik wel merken dat ik binnen was geweest,
maar al vrij snel kwam ik erachter dat daar heel agressief op gereageerd wordt.
Een enkele keer is dat niet het geval, hoor, dus een enkele keer zijn ze er blij mee.
Maar ik denk dat in 50 procent van de gevallen
er wordt gedreigd met politie en: We gaan je pakken. Weet ik veel wat.
ROTMAN: Ik denk dat ik namens Tim spreek als ik aan je vraag:
Ben je weleens in de problemen gekomen? GEVERS: Ja. Bij mij is het zo gegaan.
Je speelt een spelletje. Ik wilde altijd digitaal rechercheur worden.
Mijn stelling was: Je kan alleen een goed digitaal rechercheur zijn
als je daadwerkelijk je voeten in de klei hebt gehad.
Dus als je weet hoe dat wereldje werkt.
Toen dacht ik dus: Nou, laat ik dan zo veel mogelijk computers gaan hacken,
die computers veilig maken en weer verdwijnen.
Dan is er niemand geweest... Ik maakte ze ook niet stuk, hè.
Ik stal geen bestanden, ik stal geen geld.
Dus daar komt niemand achter.
Zo kom ik er altijd mee weg en heb ik ondertussen praktijkervaring opgedaan.
Dat bleek anders in de praktijk te zijn,
want bij de universiteit van Michigan hadden ze me opgemerkt.
Blijkbaar had ik daar een heel belangrijke server gehackt,
dat had ik zelf niet eens in de gaten,
en die hebben een heel uitgebreid onderzoek gedaan.
Die hebben mij uiteindelijk gevonden en zelf in dat onderzoek kunnen constateren
dat ik niks met die gegevens daar gedaan heb.
Dus dat hebben ze eigenlijk een beetje laten liggen.
Op enig moment is Team High Tech Crime hier in Nederland opgericht.
Die zijn toen gaan babbelen met allerlei buitenlandse diensten.
Die zijn toen ook bij de FBI gekomen.
Daar hebben ze gevraagd: hebben jullie een cybercrimineel,
of een dossier waar wij iets aan hebben?
De FBI heeft toen dat dossier van mij overhandigd aan Team High Tech Crime.
ROTMAN: Je stond op de radar van de FBI,
die hebben dat overgedragen aan Team High Tech Crime, en je was 'een grote vis'.
Die hebben mij toen 's ochtends om vijf uur uit m'n bed gehaald.
Daar heb ik 2½ week ook voor in de gevangenis gezeten.
Dat werd serieus aangepakt.
Wat ik heel bijzonder vond tijdens die hele arrestatie...
Ik wist dat ik gehackt had,
maar ik wist ook dat ik geen heel extreme dingen had gedaan.
Maar zij dachten op dat moment dat ze echt een heel grote vis te pakken hadden.
Een stomme fout die ik ooit gemaakt had, heel veel administratie hield ik bij.
Ze konden dus ook direct zien welke andere computers ik gehackt had.
Dus van die ene computer van de universiteit van Michigan
gingen ze naar honderden over de hele wereld.
Het universiteitsnetwerk, het was veel te veel.
ROTMAN: Je moet wel je sporen uitwissen.
GEVERS: Ja, dat had ik moeten doen. Ik had er nooit bij stilgestaan.
In die periode werd je ook zelden of nooit gearresteerd.
Ik was nummer twee zelfs binnen Nederland die daarvoor gearresteerd is.
Dus dat is echt een van de allereersten.
Zij dachten al die tijd dus dat ik een grote vis was.
Ik denk dat het huidige beleid ook deels gebaseerd is op mijn arrestatie.
In de zin van dat ze er vrij snel achter kwamen dat ik maar een simpel zieltje was
dat niet heel veel...
Natuurlijk, ik brak in op computers waar het niet hoorde.
De dingen die ik daar verder gedaan had, stelden niet zo heel veel voor.
ROTMAN: Maar wel een mooie les geleerd. GEVERS: Dat heb ik eraan overgehouden.
ROTMAN: Emma heeft ook een vraag. EMMA: Er ligt een grens
tussen een ethisch en niet-ethisch hacker.
Wat is die grens en wat zijn momenten
waarop u als ethisch hacker daar overheen mag gaan?
GEVERS: Ja, dat is een heel interessante vraag
die je niet op één manier kan beantwoorden.
Het is ook zo dat iedere hacker een eigen ethische grens heeft.
Een goed voorbeeld, een redelijk recente waar veel mensen bekend mee zijn,
is dat het Twitter-account van Trump gehackt is.
Dat is door mijn naamgenoot Victor Gevers gebeurd.
ROTMAN: Geen familie?
-Nee, geen familie.
Hoewel de Gevers goed in hacken zijn.
Wat hij gedaan heeft, is inloggen met een gelekt wachtwoord
op het Twitter-account van Trump. Dat zou ik zelf bijvoorbeeld nooit doen.
Dat geeft een beetje aan dat de grens van één persoon niet de grens van de ander is.
Maar in principe wordt er het meest gekeken naar het strafrecht.
Is dit strafbaar, als je zo'n handeling gaat doen?
Dat is ongeveer, zou ik willen omschrijven, waar die grens ligt.
ROTMAN: Voor jou.
-Voor mij inderdaad.
Per opdracht die je doet, voor wie dan ook, zijn de grenzen ook weer verschillend.
Je moet vooral van tevoren duidelijk afspreken welke grens je hanteert.
ROTMAN: Gijs.
GIJS: Wat maakt nou dat u die security breach onthult aan de organisatie?
Welke criteria hanteert u daarvoor?
GEVERS: Daar moet ik bij zeggen dat ik zelf niet zo heel veel,
dat noemen ze dan 'responsible disclosures', dat ik dat niet doe.
Maar ik weet wel uit het veld hoe dit gaat.
Je ziet veel mensen die bijvoorbeeld iets bij een bank hebben gevonden,
die vinden het moeilijk om naar zo'n bank toe te gaan om een lek te melden.
Ook al hebben ze het per ongeluk gevonden of er wat moeite voor gedaan.
Dat is omdat ze bang zijn voor de acties die zo'n bank gaat uitvoeren.
Is het nou een wat eenvoudiger bedrijf, noem een printerfabriek of iets dergelijks,
dan zijn mensen iets makkelijker geneigd daar gewoon naartoe te gaan
en die lekken te onthullen.
Tegenwoordig heb je zoiets als 'bug bounties'.
Steeds meer bedrijven maken daar gebruik van.
ROTMAN: Bug bounties?
GEVERS: Dat houdt in dat als jij een bug vindt, je geld krijgt.
ROTMAN: Daar staat gewoon een prijs op.
Je wordt bij wijze van spreken uitgenodigd: Zoek maar.
Als je het vindt, meldt het en je wordt beloond.
GEVERS: Ja, want je helpt een bedrijf ermee. Zo'n bedrijf zet daar dus geld tegenover.
Dat werkt in de praktijk heel goed.
Dat is een van de motivaties voor hackers om naar lekken te zoeken.
ROTMAN: Ik kan me ook voorstellen dat als je aan het hacken bent geslagen
en je hebt het gevoel van: o jee, ik ben te traceren.
Dat je dan denkt: ik had kwade bedoelingen, maar ik meld het gewoon.
Alsof ik ethisch hacker ben. GEVERS: Klopt.
Dat is wat je in de praktijk heel vaak ziet gebeuren.
Je ziet bijvoorbeeld ook heel vaak dat mensen het eerst anoniem willen doen
en dan halverwege een foutje maken, want hacken is moeilijker dan je denkt.
Je sporen verbergen, is moeilijker dan je denkt.
Dat ze dan inderdaad besluiten om 'responsible disclosure' te doen.
Je kan maar beter zo'n beleid publiekelijk beschikbaar hebben,
want je wil niet mensen de verkeerde kant op duwen.
Je wil mensen aan de goede kant houden
en zo'n beleid houdt mensen aan de goede kant.
ROTMAN: Ja, mooi, mooi. Een laatste vraag van de trainees, Reggie.
REGGIE: Als ethisch hacker kun je achter informatie en activiteiten van mensen komen.
Mocht je ooit misdadige activiteiten van bekende mensen ontdekken,
hou zou je ermee omgaan?
GEVERS: Iedere burger heeft in principe de plicht om het te melden
wanneer er een bepaald misdrijf gepleegd wordt.
Dus dat is een van de belangrijkste redenen, denk ik.
Ik denk dat je het verder zaakafhankelijk zal bekijken.
Ik heb dat gelukkig in de praktijk nooit meegemaakt.
Even chargerend, stel dat jij met een onderzoek bezig bent
en je ontdekt dat de persoon waarvan je de computer aan het onderzoeken bent
allemaal kinderporno erop heeft staan
dan heb je wel een bepaalde ethische meldingsplicht.
Afhankelijk van de opdracht en hoe je de opdracht uitvoert,
zal je daar iets mee moeten doen.
Dat kan zijn naar je opdrachtgever toe gaan of naar politie en justitie toe stappen.
ROTMAN: Leuk, dank je wel, ik denk dat deze jonge honden
tevreden zijn met je antwoorden.
-Ik hoop het.
ROTMAN: Volgende keer spreek ik
gemeentesecretaris Dennis Lacroix van Hof van Twente.
Zij zijn slachtoffer geweest van een hack. Wat is jouw vraag aan Dennis?
GEVERS: Ik wil graag van Dennis weten wat de allerbelangrijkste les is
die de gemeente geleerd heeft.
ROTMAN: De overheid in z'n algemeenheid.
Hebben die de zaakjes een beetje voor elkaar wat cyberveiligheid betreft?
GEVERS: Dat is een vraag die vaak gesteld wordt.
Daar is geen eenduidig antwoord op te geven. De ene gemeente is de andere niet.
De een kan het perfect op orde hebben en de ander kan het slecht op orde hebben.
Ik doe zelf veel incidenten, dus ik maak vaak de negatieve kant mee.
Ik probeer ook vooral niet vanuit die bubbel te redeneren.
Ik kom ook partijen tegen die het goed voor elkaar hebben, maar pech hebben.
Dat bestaat natuurlijk ook.
Wat je wel ziet, is dat je bij verschillende industrieën ziet dat het heel erg verschilt.
De bankwereld is bijvoorbeeld behoorlijk veilig.
De medische wereld staat er wel om bekend dat het echt een stuk minder veilig is.
ROTMAN: Het is vaak het sluitstuk van beleid: O ja, daar moeten we ook wat mee.
Terwijl het misschien bovenaan de lijst moet staan.
GEVERS: Mensenlevens redden staat echt op één daar.
IT-security staat een beetje onderaan dan.
Dat is hoe de besluitvorming daar gaat natuurlijk.
Overigens zie je dat er een inhaalslag wordt gedaan.
Alles groeit mee uiteindelijk, maar er zal wel een nieuwe industrie...
ROTMAN: Hackers worden slimmer. Terug naar de overheid.
Wat zijn zwakke plekken die je ziet?
Jij wordt kennelijk steeds ingevlogen als het mis is gegaan.
Er zijn natuurlijk veel voorbeelden, maar in het algemeen, waar zitten de zwakheden?
Ja, wat we het meest tegenkomen, is linkjes in de e-mail en bijlages in de e-mail.
ROTMAN: Gewoon zo suf, en erop klikken.
GEVERS: We kennen het allemaal en het gebeurt elke keer weer.
ROTMAN: En halen ze troep binnen. GEVERS: Wat je dan vaak ziet, het is vaak...
In 80 procent van de gevallen ongeveer gaat het op deze manier.
Dus je krijgt een e-mail met een bijlage. Dan is er iemand die daarop klikt.
Eén wordt computer gehackt en vanuit die computer hacken ze het hele netwerk.
Wat wij het meest zien, is dat vervolgens de ransomware wordt uitgerold.
ROTMAN: Ah ja, en dan moet je betalen.
De sterke punten van de overheid? Want jij loopt al een tijdje mee.
Kijk je weleens om je heen en denk je: nou jongens, goed geregeld.
GEVERS: Jazeker. Er zijn zeker plekken waar het goed geregeld is.
Wat mij vooral opvalt, is dat het eigenlijk heel langzaam gaat.
Ik heb zelf het idee dat het langzaam gaat en de praktijk is vaak nog langzamer.
Eén van de voorbeelden is bijvoorbeeld: We hebben recent het Exchange-lek gehad.
Ik denk dat de meeste mensen daar wel van gehoord hebben.
ROTMAN: Even kort?
GEVERS: Dt is een lek in de Microsoft Exchange-server.
Dat is de e-mail eigenlijk, dus de agenda's die iedereen heeft.
Dat wordt actief misbruikt door voornamelijk Chinese hackers.
Inmiddels zijn er ook criminele hackers die daar misbruik van maken.
Het enige wat je moet doen om dat lek te dichten,
is op tijd een patch installeren van Microsoft.
Maar dat patchen is in de praktijk nog heel moeilijk.
Dat doen veel partijen niet. ROTMAN: De updates?
GEVERS: Het simpelste wat er is inderdaad. De updates installeren en je bent veilig.
Om even een goede analoog daarvan te maken:
Als jij één persoon hier in Nederland neerzet
en die laat jij een dag lang in Nederland checken waar die lekken zitten,
heeft hij binnen één dag heel Nederland gescand
en weet hij precies welke servers lek zijn. ROTMAN: Jeetje.
GEVERS: Die persoon zou de dag erna op alle servers
die update kunnen installeren en dan is heel Nederland van het probleem af.
ROTMAN: Oké, we hebben nu twee mooie tips.
Check nou even die mailtjes die je krijgt en klik niet zomaar op die links.
Het is doodeenvoudig. Iedereen weet het, maar kennelijk gaat het constant mis.
De tweede tip is: updates. GEVERS: En vooral direct.
Dat is het allerbelangrijkste.
Mensen denken dat als je een maand later updatet het even veilig is, absoluut niet.
Je moet direct je updates installeren.
ROTMAN: Oké, we blijven even bij de overheid. Dat vind ik interessant.
Wat zijn nou de grote gevaren? Je had het net over de Chinezen.
Zijn het inderdaad de buitenlanden? Het grote buitenland?
Of zijn het pubers op zolderkamers, zoals jij ooit begonnen bent?
Of criminelen die kwaad in de zin hebben? Waar komen de grootste gevaren vandaan?
GEVERS: Ja, we zien twee dingen waar gemeenteland vooral bang voor moet zijn.
Dat zijn andere landen.
En op dit moment ook heel veel ransomware-groepen.
Dat is een spike en dat zal waarschijnlijk snel over gaan.
Op dit moment zie je veel ransomware- groepen die hele gemeentes platleggen.
Dat zorgt voor een grote impact bij een gemeente.
Vanuit de landen zien we vooral spionage. ROTMAN: China?
GEVERS: Ja, dan moet je denken aan China.
China is een bekende speler. Iran is een bekende speler.
Noord-Korea is een bekende speler. De gevaarlijkste is Rusland.
ROTMAN: Die wil ik zo even doorlopen. Eerst eventjes die ransomware.
Wat moet je doen? Betalen?
GEVERS: Dat is zaakafhankelijk.
-Of Rickey Gevers bellen?
GEVERS: Je moet als eerste mij bellen inderdaad.
Of in ieder geval een incident response team.
Wij zien in de praktijk nog te veel dat gemeentes... ik noem even de gemeentes.
ROTMAN: Je mag toch niet betalen aan die gekken?
GEVERS: Dat is een goede vraag.
Wat wij vaak zien bij zo'n incident is dat partijen een lange tijd wachten.
Dan gaan veel sporen verloren en veel geld ook omdat je stilstaat.
Je moet zo snel mogelijk een incident response team bellen
om zo snel mogelijk maatregelen te nemen. Dat is echt heel belangrijk.
Betalen is een kwestie... Vanuit de overheid wordt altijd gezegd:
Wij gaan die criminele business niet financieren.
Dat vind ik een goed standpunt, laat dat duidelijk zijn.
Als je niet hoeft te betalen, moet je absoluut niet betalen.
Maar in de praktijk, en dat geldt dan met name voor bedrijven,
is het vaak zo dat de versleutelde data, daar kunnen ze niet meer bij.
Zonder die data kan het bedrijf ook niet meer verder.
ROTMAN: Dan kost niet betalen meer geld. GEVERS: Je krijgt een patstelling.
Als je niet betaalt, gaat je bedrijf failliet.
Dat is ook een heel grote impact natuurlijk.
Als je wel betaalt, help je criminelen, maar kan je weer verder met je bedrijf.
ROTMAN: Dat moet je maar afwachten. Kan je die gasten vertrouwen?
GEVERS: Ja. Dat is een leuke vraag. Die wordt heel vaak gesteld.
Je hebt criminelen voor je. Als iemand niet betrouwbaar is, zijn het criminelen.
Maar als criminelen, bijvoorbeeld bij een ransomware-aanval,
niet die sleutels teruggeven, weet ik één ding zeker:
Dat er de volgende keer niet betaald gaat worden.
Dus zij hebben er echt baat bij om dat model in stand te houden.
Ik heb zelf nog nooit meegemaakt dat je een sleutel niet krijgt.
Wat ik wel een aantal keer heb meegemaakt, is dat de criminelen de sleutel kwijt zijn.
Dan geven ze alle sleutels gratis. ROTMAN: O, oké.
Dus ze doen er alles aan om dat businessmodel echt in stand te houden.
ROTMAN: Dat over ransomware. Laten we die vier landen even doornemen.
China.
GEVERS: Ja, China staat erom bekend dat ze verschillende groepen hebben.
Die groepen delen allerlei kennis met elkaar,
dus als ze een entry point bij een bedrijf hebben
komt eerst de ene groep binnen en dan de tweede en derde groep.
ROTMAN: Wat doen ze?
-Intellectual property stelen.
ROTMAN: Ze plunderen en zoeken informatie.
Ze stelen geheimen en gaan ermee aan de slag.
GEVERS: Dat doen ze bij bedrijven met intellectual property en bij overheden.
ROTMAN: Noord-Korea.
-Noord-Korea is en' vreemde eet in de bijt.
Die hebben voornamelijk financieel gewin en spionage.
Wat je daar ziet, is dat ze banken aanvallen
en bijvoorbeeld via het SWIFT-systeem hele grote sommen geld proberen weg te sluizen.
Ook bij crypto currency-exchanges proberen ze lappen geld weg te krijgen.
Ze doen ook destructieve aanvallen. Dat houdt in dat ze bedrijven kapotmaken.
ROTMAN: Dat doet Iran ook.
-Ja, dat is exact...
ROTMAN: De nummer drie op onze lijst.
-Goede brug naar Iran.
Iran doet dat ook, daar staan ze om bekend. Ze hebben bijvoorbeeld Saudi Aramco,
het staatsoliebedrijf van Saoedi-Arabië helemaal platgegooid.
Het Sands Casino hebben ze helemaal platgegooid.
ROTMAN: Dat bedoel je met destructieve aanvallen, platgooien die handel.
GEVERS: Computers kapotmaken, dat is wat ze doen.
Op die manier proberen ze impact op een bedrijf te hebben.
We zien ook van Iran veel dat ze zich proberen te nestelen op veel plekken.
Van Iran moet ik er wel bij zeggen dat ze behoorlijk amateuristisch zijn.
Het niveau is niet heel hoog als je dat vergelijkt met in ieder geval China...
ROTMAN: Van deze vier is Iran het minst...
-Iran staat zeker onderaan.
ROTMAN: Rusland?
-Rusland is de geavanceerdste.
Die hebben verschillende groepen. Eentje is veel minder, technisch gezien.
Dat is de GRU. De militaire tak is dat.
De geavanceerdste hackersgroep is die van de FSB, onder andere de FSB.
Die zijn voornamelijk bezig met spionage.
Dan moet je denken aan de Duitse overheid, hebben ze bijvoorbeeld gehackt.
Recent de Finse overheid.
Die jongens zijn echt heel goed.
Ik denk dat de Amerikanen net ietsje beter zijn,
maar die zitten overal en spioneren vooral.
Wij hebben dan de militaire tak die ook destructieve aanvallen doet.
De bekendste daarvan is de NotPetya-ransomware
die hier in Nederland de Rotterdamse havenbedrijven heeft platgelegd.
ROTMAN: Jeetje. Oké.
Er komt dus een overheidsbrede cyberoefening.
Dat is een soort brandweeroefening,
maar niet om te kijken wat we doen als er brand uitbreekt,
maar wat doen we met een hackscenario?
Het lijkt mij ontzettend goed dat de overheid dat doet.
GEVERS: Ja, absoluut. ROTMAN: Ik vraag elke gast tips
voor zowel de overheid, bedrijven, als voor burgers, individuen zoals ik.
Wat kunnen we nou doen? Gewoon een concrete tip.
Je hoeft niet het volledige... Wat is een tip?
Laten we beginnen met de overheden.
GEVERS: Ik ga de tips zo structureren dat ze voor alle drie goed zijn.
Bij overheden is het zo dat segmenteren het belangrijkste is.
Dus als er impact op een businessunit is, dat niet alles gelijk platligt.
Een gedeelte van de gemeente, maar niet de hele gemeente.
ROTMAN: Zoals je in een schip ook compartimenteert.
Dat als ergens een lek is, het een klein beetje volstroomt.
Goeie, dat kun je zo bouwen, kun je zo inrichten.
GEVERS: Ja, en de tweede, voor bedrijven zou ik zeggen:
Check of je back-ups goed in orde zijn. Als jij een aanval hebt,
kun je altijd terugschakelen naar de back-up die je hebt
en kun je verder waar je gebleven bent.
Iedereen weet dit, maar we zien te vaak dat bedrijven dit niet goed op orde hebben.
ROTMAN: Of dat ie net niet recent genoeg is.
-Exact, of dat ie corrupt is.
Dus check je back-ups en of je terug kunt schakelen naar zo'n situatie.
En voor iedereen geldt: multi factor authentication.
Deze is het meest onderschat en mensen vinden het vooral vervelend.
Dat is bijvoorbeeld dat je een sms'je krijgt als je moet inloggen.
Maar dat maakt het voor hackers significant moeilijker om een account over te nemen.
Niet onmogelijk, maar de kans dat je een account nog kan overnemen, dat is lastig.
ROTMAN: Dat je twee stappen hebt als je even naar je bankgegevens wil of zoiets.
GEVERS: Exact, en dat kan een sms'je zijn of een code op je telefoon.
ROTMAN: Fijn. We hadden het over die buitenlandse aanval.
Dat zijn de belangrijkste gevaren voor overheden in Nederland.
Dat is nogal wat. Veel ambtenaren horen deze podcast.
Laten we ook hier weer een soort drietrapsraket maken.
Wat kunnen we doen in de preventie? Als het eenmaal zover is, schadebeperking.
En stap drie: boeven vangen.
Drie keer even: wat kunnen we doen?
De Chinezen, de Iranezen, de Russen zijn binnen, ze hebben iets gedaan.
Wat kunnen we met preventie?
GEVERS: Belangrijk is dat er twee type aanvallers zijn.
Eentje waarbij schade aangericht wordt, geld gestolen of computers worden gelockt.
Die is duidelijk zichtbaar. En spionage.
Spionage moet vooral niet zichtbaar zijn.
Om iets te detecteren wat inherent bedoeld is om niet zichtbaar te zijn,
moet je zorgen dat je zichtbaarheid hebt in je netwerk.
Zorg er echt voor dat je je netwerk goed monitort.
Ook in de praktijk zien we dat dat te vaak niet goed op orde is.
ROTMAN: Dat is ook een beetje de afdeling ICT binnen de organisatie.
Als ik als ambtenaar achter m'n scherm zit,
zijn er signalen waar ik op moet letten?
Wat zijn de kleine dingen aan de preventiekant?
Dat is natuurlijk: check je mailtjes.
Klik niet op elke link, die had je net al genoemd.
GEVERS: Exact. Dat zijn goede, maar het zijn vaak generieke dingen.
Het is een optelsom. Een van de dingen kan zijn dat je computer langzaam wordt.
Of een computer die ineens uitvalt, dat soort signalen.
Het allerbelangrijkste is dat je één centrale plek hebt
waar al dat soort informatie terechtkomt.
Dus niet dat de ene beheerder je naar de andere beheerder naar een derde stuurt.
Maar op één plek zodat die informatie centraal is en iemand goed kan zien:
O jongens, ik heb nu dit en dit en dat gezien, nu moet er iets aan de hand zijn.
Dan kan je een team inschakelen om verder onderzoek te doen binnen zo'n netwerk.
ROTMAN: Oké, dat is dan de volgende. Oké, er is iets gebeurd.
Je bent slachtoffer van een hack. Jouw afdeling, jouw organisatie.
Jij zegt net: bel een team. Bel van die jongens als ik, die kunnen je helpen.
Ik kan me voorstellen, als je gehackt bent, moet je niet dan pas nadenken: wie bel ik?
Het nummer van de brandweer moet je al in je telefoon hebben staan.
GEVERS: Dat is een incident response plan, hoe dat in ons wereldje heet.
Die moet je klaar hebben liggen en er moeten meerdere telefoonnummers in staan.
Het vervelende bij response teams is dat het in golven komt.
Bij Exchange zien we ook zo'n golf. Er zijn veel teams bezet.
Dus zorg dat je meer nummers hebt die je kan bellen
in de hoop dat een van die teams tijd heeft om op locatie te komen.
ROTMAN: En ook stekker eruit trekken?
-Nee, dat is absoluut niet de bedoeling.
ROTMAN: Ik ben gehackt, stekker eruit. Niks meer mee te maken hebben.
GEVERS: Als je dat doet, verwijder je veel sporen.
Dus eerst direct met zo'n team bellen en vragen aan dat team wat je moet doen.
Er is niet één generieke oplossing. Het is afhankelijk van welk type aanval...
ROTMAN: Ik krijg zweethanden als ik eraan denk.
GEVERS: Dat hebben de meeste mensen.
Wat vaak wel, ook weer niet altijd, hoor...
maar stel, je krijgt niemand te pakken, zorg dat je je internetverbinding uitzet.
Laat de computers vooral aanstaan.
Ja, nogmaals: iedere situatie is anders.
Als je ziet dat een voor een de computers versleuteld worden,
ja, dan moet je misschien wel computers uitschakelen.
Maar bel echt direct als eerste een team en vraag wat je moet doen.
ROTMAN: Je wil de daders opsporen, je hebt al een tip gegeven:
Je moet niet je computer uitzetten in ieder geval. Zet niet dat ding uit.
Daders opsporen, kun je daar een bijdrage aan leveren
of is dat gewoon: laat de mensen van de politie-units
die jou destijds van je bed hebben gelicht, maar gewoon hun werk doen
en bemoei je er niet mee.
GEVERS: Mensen denken vaak dat er een heel groot cybercrime-probleem is.
Dat valt op zich wel mee.
De meeste cybercriminelen zijn eigenlijk redelijk goed op te sporen.
Ik zeg dat ze houdbaarheid hebben.
Na twee jaar heb je zoveel fouten gemaakt dat het moet lukken om je op te sporen.
Het is een kwestie van tijd.
Het grote probleem dat wij vooral hebben, is criminelen uit specifieke landen
en dan met name Rusland, die gewoon niet uitgeleverd worden.
We hebben namen en rugnummers, maar ja, Rusland levert ze niet uit,
dus blijft dat probleem zich voordoen.
Maar zorg er dus voor als je een groot incident hebt gehad
dat je het juiste team onderzoek hebt laten doen.
Zorg er ook voor dat je dat onderzoek overdraagt aan politie en justitie,
zodat die grote dossiers kunnen maken en met een beetje mazzel
dat via Europol kunnen oplossen, of Interpol.
Vooral internationaal doen, want cybercrime gaat vooral over de grens.
ROTMAN: Oké, als ik je zo hoor, als ik je mag samenvatten,
heb ik het gevoel dat we met z'n allen onze naïviteit wel kwijt zijn.
Volgens mij hebben we de radars goed ingesteld en zitten we er goed op.
Tegelijkertijd zijn we slordig
en is het af en toe toch niet prioriteit genoeg.
We denken ook niet na over waar we op klikken.
Dus we doen het goed, maar zijn ook slordig. Samenvattend.
GEVERS: Ja, de mens maakt altijd fouten. Een hacker zit te zoeken naar fouten.
ROTMAN: Ondertussen gaat het steeds harder met digitalisering.
'Internet of things' is natuurlijk ook zo'n modebuzzding.
We hangen alles aan internet straks. Alles. Maakt dat ons kwetsbaarder?
GEVERS: Ja. De wet van de grote getallen.
Hoe meer je aan het internet hangt, hoe meer er kwetsbaar wordt uiteraard.
ROTMAN: Wat moeten we daarmee?
GEVERS: Via regelgeving, dat doen we al redelijk goed,
worden bepaalde veiligheidseisen gesteld aan producten.
Maar helaas is het nog zo dat als mensen een beveiligingscamera bestellen
ze dat vaak op AliExpress doen. Daar zijn de regels heel anders.
Dan krijg je camera's die geleverd worden met username en wachtwoord 'admin'.
Die zijn supereenvoudig te hacken.
We moeten er vooral voor zorgen dat we strakke richtgeving hebben
of strakke eisen hebben of minimale eisen
waar bepaalde producten aan moeten voldoen
om hier niet een groot probleem van...
om ervoor te zorgen dat dit niet een groot probleem wordt.
ROTMAN: Ik vind dat de beste hackers voor de overheid moeten werken.
Gewoon voor ons moeten werken.
Dat zijn de good guys. Die moeten bij ons werken.
Zo'n response team, dat zijn vaak ondernemers of zzp'ers,
handige jongens en meisjes, die kosten een hoop geld, helemaal prima.
Jullie doen goed werk.
Die gasten horen toch gewoon bij de overheid te werken?
GEVERS: Ja, dat klopt. Het probleem is eigenlijk vooral...
Deze discipline is zo zeldzaam dat de salarissen gewoon heel hoog zitten.
De echt goede jongens gaan al snel naar het buitenland.
Een gedeelte blijft hier hangen en krijgen exorbitante salarissen.
Dat is in de praktijk niet helemaal zo, maar wel meer dan bij de overheid.
Ik denk dat daar toch wel een probleem in dat opzicht ligt.
ROTMAN: Ho, maar als jullie zo ethisch zijn, gaat het toch niet alleen over geld?
GEVERS: Gelukkig zijn er dus ook ethisch hackers.
Die zitten dus bij de overheid.
Dan moet je denken aan de inlichtingendiensten.
Maar de reden dat die jongens daar zitten, is de technische uitdaging.
Daar mag je zoveel meer dan op andere plekken,
dat eigenlijk de benefits die je krijgt van de speeltuin waarin je mag spelen
groter zijn dan het getal op je salarisstrook.
ROTMAN: Dat vind ik leuk. Dus als de overheid
jonge getalenteerde jongens en meisjes wil aantrekken, de jonge honden,
de kleine Rickey Geversen van deze wereld,
als je die gasten wil binnenhalen, moet je ze...
Je moet ze misschien een leuk salaris bieden,
maar je moet ze aanbieden dat ze los mogen gaan.
Je moet technische kansen...
-Ze moeten een geweldige speeltuin hebben.
ROTMAN: Dat is het.
GEVERS: Bijna alle hackers zijn alleen maar technisch gemotiveerd.
Natuurlijk speelt salaris een rol, laat dat duidelijk zijn.
ROTMAN: Ze willen lol trappen.
-Ja, precies.
ROTMAN: Je moet ze uitdagen op hun vaardigheden. Daar zit de trigger.
GEVERS: Ze hebben een interesse en die zijn ze van jongs af aan gaan ontwikkelen.
Dat willen ze uitbouwen. Daar moet je ze de ruimte voor geven.
ROTMAN: Dank je wel. Cyber security-expert Rickey Gevers.
Succes met je mooie werk.
-Ja, dank je wel.
ROTMAN: Luister ook andere afleveringen van 'Let's talk about hacks'.
Je hoort het: Hartstikke leuk. Ga naar weerbaredigitaleoverheid.nl.