Home

IBM gaat bedrijven trainen tegen cyberaanvallen vanuit hightech truck





Het grootste probleem is niet een aanval van hackers, maar het feit dat bedrijven geen noodplan hebben als zoiets gebeurt. IBM wil deze lacune dichten met een bus die langs bedrijven rijdt. De vrachtwagen kan ook als commandocentrum fungeren.

Wie voor het eerst een plekje zoekt achter een van de twintig werkplekken vergeet binnen een minuut dat hij zich in een vrachtwagen bevindt. Drie rijen met Apple-apparatuur en telefoons met ingebouwde camera´s aan de voorkant HD-camera´s en een grote videowall waarop allerlei informatie kan worden geprojecteerd. Er zijn geen ramen, alleen die schermen. Achter een deur bevindt zich de serverruimte inclusief vele tonnen wegende koelcapaciteit. Voor de uitgenodigde journalisten staat Erno Doorenspleet, beveiligingsdeskundige van IBM. Doorenspleet en zijn collega geven de genodigden in een uur tijd een training die normaliter drieënhalf uur duurt. 

Maar voordat het zover is, legt hij uit wat het probleem is: bedrijven hebben geen plan. Of liever gezegd; de meeste bedrijven hebben geen plan. Volgens IBM heeft 75 procent van de bedrijven (met de financiële sector als gunstige uitzondering) geen enkel idee wat ze moeten doen als ze te maken krijgen met een beveiligingsincident. En dus gaat het bijna altijd fout, zegt Doorenspleet. Soms willen bedrijven onder druk te snel iets naar buiten brengen. Als blijkt dat het niet klopt, raken mensen in de war en kun je heel snel vertrouwen verliezen. Zijn boodschap: sla geen flater als het er echt om gaat. Het is niet de vraag of een aanval plaatsvindt, maar wanneer. Dus je kunt er maar beter op voorbereid zijn.

Slechte reactie
Herkennen wat er gebeurt, de technische kant van het verhaal, gaat over het algemeen nog wel goed, aldus de expert. Daarna gaat het mis. Het is heel belangrijk hoe een organisatie reageert. Een slechte reactie leidt vaak tot meer schade dan een aanval zelf. De oplossing: niet pas tijdens een aanval bedenken wat je moet doen. Dat kost je veel geld en energie en je reputatie gaat eraan. Maar als je het hier al een keer hebt ervaren, zit het in je systeem en weet je hoe je er mee om moet gaan. Zwemmen leer je ook niet op YouTube.

Dit leren ervaren neemt IBM heel letterlijk. In een zaaltje moeten bedrijven aan den lijve ervaren wat het is om aangevallen te worden. Het idee is overgewaaid uit de Verenigde Staten, waar IBM al langer een trainingscentrum heeft op een vaste locatie. Voor Europa is gekozen voor een op maat gemaakte rijdende truck die op verzoek bij bedrijven langskomt. Nu, aan het begin van zijn carrière, staat hij op het parkeerterrein van het hoofdkantoor van IBM in Amsterdam. Met zijn zwarte uiterlijk doe het X-Force Command Cyber Tactical Operation Center, zoals hij volledig heet, aan de buitenkant denken aan de truck van de Amerikaanse jaren-tachtigserie Knight Rider. Aan de binnenkant natuurlijk niet: satelliet- en 4G-verbindingen zorgen dat de vrachtwagen altijd verbonden is, terwijl een generator van 47 kW het centrum voor weken draaiende kan houden, mocht dat nodig zijn. Het 23 ton wegende gevaarte is op maat in Iowa gebouwd. Doorenspleet wil niet zeggen wat de kosten precies zijn: Reken maar op een paar miljoen. Je moet het vergelijken met een Formule 1-wagen. Daar is alles ook op maat gemaakt.


Levensecht
Tijdens de training krijgen werknemers te maken met een scenario waarin hun bedrijf wordt aangevallen. Hackers krijgen toegang tot gevoelige bestanden en eisen losgeld in de vorm van bitcoins; de pers krijgt er lucht van en de aandelenkoersen zakken. In de simulatie komt alles levensecht, in hoog tempo, voorbij, tot aan nieuwsuitzendingen toe en een interviewer die het bedrijf het vuur aan de schenen legt. 

Het idee is dat een bedrijf dat de training volgt verschillende afdelingen afvaardigt, zoals ict, communicatie, juristen en HR. Elke afdeling heeft haar eigen belangen en het blijkt moeilijk samen te werken. Juist die samenwerking is essentieel, zegt Doorenspleet, samen met een eenduidige interne en externe boodschap. Om de oefening zo realistisch mogelijk te maken, heeft IBM verschillende scenario´s bedacht. Een bank krijgt een andere game voorgeschoteld dan een ziekenhuis, luchthaven of overheidsinstelling. IBM zegt de games voortdurend aan te passen. Alles met als doel om het juiste gedrag te trainen. En te blijven trainen.

Gelukkig gaat het ook weleens goed. Als voorbeeld noemt Doorenspleet de reactie van het Deense Maersk (vooral bekend als containerrederij) nadat het halverwege 2017 zwaar werd getroffen door een digitale aanval via een Oekraïens boekhoudprogramma. Er was van alles mis met de beveiliging (volgens Maersk-topman Jim Hagemann Snabe was die hooguit gemiddeld), maar de respons van de top van Maersk kon nauwelijks beter, vindt Doorenspleet: Uit alles zag je dat ze er vooraf heel goed over hadden nagedacht. De communicatie was open en duidelijk. Zo vertelde Maersk vanaf dag één op Twitter in duidelijke taal wat er aan de hand was. Zonder zo´n reactie had de schade aanzienlijk groter kunnen zijn, denkt Doorenspleet. Die schade was overigens nog steeds aanzienlijk: naar schatting 300 miljoen euro. Het bedrijf moest in tien dagen 4 duizend nieuwe servers installeren en 45 duizend nieuwe pc´s, een taak die normaliter een half jaar zou duren. Een dure wake-upcall, zo zei Hagemann Snabe later

Voorgeschiedenis 
De voornaamste taak van de truck is training, maar hij zal ook worden ingezet als rijdend educatiecentrum langs scholen om scholieren wegwijs te maken in alle digitale gevaren. In de training is ook aandacht voor alles wat plaatsvindt voor het moment dat duidelijk wordt dat er iets goed mis is. Een cyberincident kent immers altijd een lange voorgeschiedenis, die wellicht wel begint met een simpel phishingmailtje om achter wachtwoorden te komen. 

Tot slot kan het zwarte gevaarte ook gebruikt worden in echte actie, los van training of educatie. Het mobiele Cyber Operations Centre kan bijvoorbeeld assisteren bij tijdelijke evenementen om aanvallers buiten de deur te houden. Een andere mogelijkheid is om ondernemingen wier eigen cybercentrum door aanvallers buiten werking is gezet te ondersteunen. IBM´s eerste-hulp-bij-cyberaanvallen staat de komende weken nog in Amsterdam en begint daarna zijn tour door Europa.  

Bron: Volkskrant en IBM