Cybersecurity

De Champions League op securitygebied

De Nederlandse politie is één van de meest geautomatiseerde politieorganisaties ter wereld. En op securitygebied is het de Champions League. Aanvallers zijn niet alleen script kiddies; ook criminele groepen en statelijke actoren proberen binnen te dringen. Hoofd van het Security Operations Center (SOC) van de politie, Anthonie van Dijk, vertelt wat security bij de politie zo bijzonder maakt: “Je beveiligt geen webshop, je beschermt de staatsveiligheid. Reageren op incidenten betekent soms ook uitrukken en op locatie een gecompromitteerde server onderzoeken. Of meenemen en met een stofkam uitpluizen. Kom daar maar eens om bij een bank.”

Een grote speeltuin

Om er binnen te komen moet je eerst door een sluis die biometrisch is beveiligd. Maar eenmaal binnen, lijkt het SOC op het eerste gezicht niet anders dan op een andere IT-afdeling. Op grote schermen aan de wand staat data uit monitoring op de systemen. Aan bureaus werkt een mix van jongere en meer ervaren medewerkers. Er is een leuke werksfeer en er wordt lol gemaakt. Pas als het over de inhoud gaat, wordt het één en ander geheimzinniger. “Nee, dat kan ik denk ik niet,” lacht een ethical hacker van het Red Team, als hij gevraagd wordt iets specifieker te zijn over zijn werkzaamheden. Hij kan wel zeggen dat het een grote speeltuin voor hem is hier. Maar wat hij precies doet, kan hij eigenlijk alleen delen met twee directe collega’s. “Mijn vrouw weet ook niet wat ik doe. Zij vraagt of ik een leuke dag gehad heb en dan zeg ik ja, of ik zeg nee. Soms haalt een groot security-verhaal de televisie en dan vraagt ze of ik daaraan heb meegewerkt. Zou kunnen, zeg ik dan.” Ze zijn allebei aan gewend aan de geheimhoudingsplicht, maar het is wel iets wat je moet kunnen, voegt hij toe. “Het is weleens frustrerend dat je iets heel cools doet en er is niemand die het weet.”

“Soms haalt een groot security-verhaal de televisie en dan vraagt mijn vrouw of ik daaraan heb meegewerkt. Zou kunnen, zeg ik dan.”

Cyberrisico’s mitigeren

Het SOC monitort de beveiliging, spoort oorzaken van beveiligingsproblemen op en helpt incidenten op te lossen en ethical hackers testen de eigen systemen. Dat is de ‘achterkant’ van de informatiebeveiliging. De ‘voorkant’ bestaat uit beleidsvorming, risicomanagement en threat intelligence. Hoofd informatiebeveiliging Peter Posthuma maakte de overstap naar de politie om de organisatie op pro-actief gebied te versterken: “Hoe ga je om met cyberrisico’s en het dreigingslandschap en hoe vertaal je dat naar monitoring en adviezen voor de organisatie? De politie was altijd al heel goed in handelen tijdens crisissituaties. Maar in informatiebeveiliging geldt dat voorkomen uiteindelijk beter is dan genezen. De organisatie is zich daar nu meer dan ooit bewust van. En dat zie je bijvoorbeeld in hoe we zijn omgegaan met het Citrix-lek.”

Het Citrix-lek

Citrix is met name bekend als een platform dat thuiswerken mogelijk maakt. Maar voor de politie is het belangrijker dan dat. Toen algemeen bekend werd dat er in bepaalde versies van Citrix een kwetsbaarheid zat die nog niet gepatcht kon worden, was het alle hens aan dek. Anthonie: “Was het niet gelukt om op tijd uit te sluiten dat we door Citrix ergens een kwetsbaarheid hadden, dan had dat enorme impact gehad op de bedrijfsvoering en voor de agent op straat. Dan zouden agenten bijvoorbeeld geen identificatie of kentekens kunnen scannen. Er zou maximale bezetting in de meldkamers moeten zijn omdat alles via de portofoons gecommuniceerd zou moeten worden.”

In één nacht moest bepaald worden: Zijn alle Citrix-servers in beeld, welke versies draaien er en is alles op tijd gemitigeerd? De uitkomst daarvan was er bepalend voor of Citrix kon blijven draaien. “Dat begint dan met tien koppen om een vergadertafel, maar in de loop van een nacht ben je met tachtig, negentig mensen aan het werk om de nodige informatie boven water te krijgen en acties in gang te zetten. Er is contact met de crisisteams van andere ministeries en overheidsdiensten, maar ook met de afdeling communicatie. Want lukt het allemaal niet op tijd, dan moeten er maatregelen genomen en moet de organisatie op de hoogte worden gesteld.” Peter: “En dan ben ik heel blij met onze club mensen, die meteen een analyse kan maken: wat betekent dit nou voor de politie? Zijn we kwetsbaar? En wat moeten we doen om eventuele kwetsbaarheden te mitigeren? Uiteindelijk konden wij met zekerheid zeggen: wij zijn niet kwetsbaar, wij blijven open. Dat is mooi.”

Geen grijze muizen

Wie er passen bij de politie? Anthonie: “We zijn op zoek naar IT’ers op HBO-niveau en hoger, met security-expertise en zonder grijzemuizen-negen-tot-vijf-mentaliteit. Op junior-niveau zijn dat bijvoorbeeld programmeurs en netwerkbeheerders. Op hoger niveau zijn dat experts die al meters hebben gemaakt binnen een andere informatiebeveiligingsorganisatie. En er zijn hier voor zowel junioren als voor meer ervaren medewerkers uitstekende doorgroeimogelijkheden.”

Peter: “Heb je inzicht in cyberrisico’s? Kun je dat inzicht omzetten naar adviezen en mitigerende maatregelen? En wil je dat doen voor Nederland? Dat zie je hier ook, mensen hebben een intrinsieke motivatie. Je doet je werk niet om aandeelhouders rijk te maken of voor de bonus van de CEO, je bent hier om Nederland een stukje veiliger te maken.”

Maak er politiewerk van

Informatiebeveiliging moet het gewoon doen, altijd en overal. En als iemand daarvan doordrongen is, dan ben jij het wel. Misschien ben je generalist op dit gebied, of juist specialist. Je bent sowieso een absolute teamplayer. En je wilt met je expertise bijdragen aan een groter doel. Ga jij ervoor zorgen dat de informatievoorziening van onze collega’s op straat betrouwbaar, veilig en continu beschikbaar is? Bekijk onze IT-vacatures.