Eerste scyber arena in West-Europa geopend

cybergym

Op 25 oktober opende Scyber, in samenwerking met Cybergym, de eerste arena in West-Europa. Het heeft niets te maken met fitnessapparaten. Die zijn er in de verste verte ook niet te vinden. Wél gaat het over procesinstallaties: boilers, turbines, HMI-schermen, plc’s van diverse merken, I/O, pompen, schakelaars, et cetera. In een ‘scyber arena’ worden cursisten zeer realistisch getraind op diverse aspecten van industriële cybersecurity. 

Trainingen in cybersecurity zijn er genoeg: bewustwording van wat er speelt (awareness), opzetten van een cybersecurity beheerssysteem, op een veilige manier schrijven van software, veilige websites maken, database beveiliging, cryptografie, IEC-62443, ethisch hacken, er is keuze genoeg. Maar hierbij gaat het steeds om de vaardigheden/kennis van één persoon. Dat bereidt echter nog niet voor op wat er gedaan moet worden als een bedrijf aangevallen wordt. Scyber’s training in samenwerking met Cybergym doet dat wel: hierbij gaat het om de kwaliteiten van alle personen in een team en hun onderlinge samenwerking, de samenwerking tussen teams en hun management, en hun werkprocessen. Dit met als doel om de aanval zo snel mogelijk te stoppen en (reputatie)schade zo beperkt mogelijk te houden. 

Cybergym komt uit Israël en is bezig met een wereldwijde expansie. De eerste arena stond in Israël, en die was al heel snel het hele jaar volgeboekt. Daarna volgden er meerdere in Japan, Litouwen, Australië, Zuid-Afrika en in New York. En nu is er dus een in Nederland, op Schiphol, op loopafstand van de aankomstterminal. Ik sprak Henk Pieper - Cybergym Director of Sales, en Danny Onwezen, CEO van Scyber.

Wat is de rol van Scyber?

Danny Onwezen: “Mijn achtergrond is informatiebeveiliging. Om grip te krijgen op de risico’s, moet je weten hoe je IT-landschap eruit ziet. Wat is er, welk systeem is vitaal, welk niet? En als er een incident is, wat gaan we doen? Dit is niet alleen werk voor de eerstelijns specialisten, maar ook voor de tweedelijns, die zich meer bezighouden met regelgeving en compliancy. Wij bekijken de training vanuit een risk management aanpak, waar zitten de bedreigingen en wat is een mogelijke aanval met de grootste impact? Die willen we specifiek trainen, uiteraard in overleg met de klant. Hierin vullen we dus Cybergym aan.”

Wie komen er op een training?

Henk Pieper: “Idealiter komt er een gecombineerd team, minimaal zeven en maximaal twintig uit een bedrijf - van C-level management tot aan de technische staf op de werkvloer, IT’ers én OT’ers, en soms zelfs secretaresses. Zij vormen samen het ‘blauwe’ team dat het besturingssysteem moet beheren en bewaken. Verder is er een ‘rood’ team, dat zijn wij dus, en die gaan cyber­aanvallen op de systemen uitvoeren. Tenslotte is er een ‘wit’ team. Zij zijn de begeleiders van de cursisten. Zij observeren en analyseren wat iedereen doet , helpen ze waar nodig, kijken naar de interactie tussen de cursisten, hun persoonlijk functioneren, en de samenwerking tussen de teams onderling en hun management.” 

Danny Onwezen: “Het management kan in de arena in een eigen ruimte zitten. Zij hebben anders vaak de neiging zich te gaan bemoeien met de technische details. Het management moet besluiten nemen, gebaseerd op de informatie van de technici. Op hun beurt moeten die ook leren welke informatie het management nodig heeft. Beide teams hebben hun eigen taak, moeten leren op elkaar te vertrouwen en niet elkaars werk opnieuw te doen. Ik zie weleens dat men elkaar onbewust begint tegen te werken.”

Hoe verloopt een training?

Henk Pieper: “Een training wordt afgestemd op het type netwerk, de apparatuur en de software die de klant bezit. Van te voren geeft de klant op wat voor soort cyberaanvallen men wil zien: ransomware, phishing, social media of ‘Advanced Persistent Threats’ - de speciale malware gemaakt voor industriële omgevingen zoals Stuxnet, BlackEnergy, TriSis, Shamoon, et cetera. Het blijkt erg leerzaam te zijn om te zien wat er gebeurt met een pc als je op dat linkje klikt waarvan je wist dat je er niet op had moeten klikken. Dat kun je ook wel vertellen in een PowerPoint-presentatie, maar het echt ervaren is toch net even anders.” 

“Nadat de cursisten de tijd gekregen hebben om zich vertrouwd te maken met de systemen, begint de eerste oefening. Het rode team zet een aanval op, bijvoorbeeld via het netwerk, maar het kan ook anders - iemand komt binnenlopen en vraagt of hij zijn telefoon aan de usb mag opladen. Natuurlijk mag dat dan van de cursisten, die zich niet realiseren dat dan ook een stuk malware binnenkomt via die telefoon. Dan gaan er even later dingen goed fout in de systemen, en het blauwe team moet dit dan detecteren, analyseren, tegengaan en repareren. Maar de pc’s en de SCADA-systemen liggen er dan al uit, en de website van het bedrijf ook. In de arena in Israël gaat ook de verwarming nog een flink stuk hoger, de vloer loopt onder water, het brandalarm loeit, het licht doet raar … de druk wordt opgevoerd! Met ons beheersplatform kunnen we complete aanvalsscenario’s afspelen, die zich ook aanpassen aan de acties die de cursisten nemen. 

Danny Onwezen: “Veel organisaties weten niet eens welke systemen en gegevens beschermd moeten worden. Daar is nog nooit over nagedacht. Vanuit de risico-gestuurde denkwijze wil je waarschijnlijk niet alles beschermen, maar alleen de ‘kroonjuwelen’ uit het bedrijf. Maar welke zijn dat?” 

“Dan blijkt hoe goed een organisatie is in crisismanagement - weet iedereen wat er dan gedaan moet worden? Wie is verantwoordelijk voor wat? Wie weet waar iets van? Welke procedures moeten gevolgd worden, wat moet eerst en wat kan later? Als dit in een bedrijf nog nooit eerder is geoefend, dan gaat dit uiteraard fout. Het gaat trouwens ook fout bij bedrijven die aangeven beter voorbereid te zijn. Maar als men zwaar onder druk staat, werkt het toch weer net even anders. Dan wordt door miscommunicatie en onervarenheid de opgelopen schade nóg groter.”

Henk Pieper: “De mensen in het witte team beoordelen hoe dit loopt, en pauzeren de oefening na enige tijd.
Er volgt dan een evaluatie van wat er gebeurd is. Dit doen we per persoon, op teamniveau , op management niveau en op bedrijfsniveau. Dan is duidelijk waar de kennis-, ervarings- en samen­werkingslacunes zitten. We bespreken op persoonlijk niveau en op teamniveau wat er anders kan. Daarna beginnen we een volgende ronde.”

Danny Onwezen: “Teams staan onder een enorme druk en beslissers nog meer. Er is weinig tijd voor onderzoek en om na te denken maar er moeten wel beslissingen genomen worden. De ene persoon kan dit beter dan de andere. Maar de mentale weerbaarheid van beslissers is te verhogen door training. Met een externe partij gaan we dit ook in de training integreren.”

Wat is de gemiddelde uitkomst van een training?

Henk Pieper: “Er is altijd een probleem met de interne communicatie. Die loopt in het begin niet. Verantwoordelijkheden zijn niet duidelijk. Management denkt geen rol te hebben. IT’ers en OT’ers werken op een andere manier, en kennen elkaars omgeving niet, en werken elkaar soms tegen. Het is niet duidelijk hoe verdere schade beperkt kan worden, en wie daarin het voortouw moet nemen. Uiteraard kan niemand alles oplossen, maar iemand moet de leiding hebben, en iedereen moet zijn deel doen. Daarom is het goed als een team uit een bedrijf komt, met mensen uit alle niveaus. Je moet elkaar leren kennen, juist in een crisissituatie.”

Hoe zien Scyber en Cybergym de nabije toekomst?

Danny Onwezen: “Deze eerste arena op Schiphol gaat zich onder andere richten op de luchtvaartsector. Maar ik wil ook arena’s bouwen voor andere vitale sectoren. Dan krijgen we ook de mogelijkheid om arena’s aan elkaar te koppelen en een cyberaanval in meerdere sectoren tegelijk te simuleren. Opeens blijkt dat je bedrijf onder vuur ligt, maar de stroom valt uit en de telefoon ook nog.” 

cybergym2

De opening van de training arena door (v.l.n.r.) Henk Pieper, Ofir Hason (CEO Cybergym) en Danny Onwezen.

Henk Pieper: “De arena’s die we op andere plaatsen in de wereld hebben, kunnen allemaal aan elkaar gekoppeld worden. Bijvoorbeeld in Israël is een arena opgezet voor de energiemarkt. Men kan vanaf Schiphol ook een training volgen op die arena, of een andere elders in de wereld. Verder geeft de aanwezigheid van meerdere arena’s wereldwijd ook de mogelijkheid om aanvallen over meerdere tijdzones en in meerdere landen uit te voeren met meerdere wereldwijd opgestelde teams. Bedrijven die wereldwijd actief zijn, hebben meestal wel een 24/7 SOC - Security Operations Center, maar ook hier geldt dat goed met elkaar samengewerkt moet worden.” 

Danny Onwezen: “Wij richten ons ook op ecosystemen in de vitale sector. Elektriciteit, toegang tot internet, drinkwater en betalingsverkeer zijn voorbeelden van vitale processen. De vitale sector wordt steeds afhankelijker van bedrijven (vaak mkb) die in een toenemende mate een belangrijke rol spelen. De digitale veiligheid van de producten en diensten die deze bedrijven leveren zijn belangrijk, maar ook de digitale weerbaarheid van deze organisaties. In een verbonden ecosysteem ben je pas veilig als je partners dat ook zijn. Een vitale sector kan zich daarom niet alleen wapenen tegen cyberaanvallen. Een bedreiging is, dat veel organisaties in een ecosysteem de basismaatregelen voor cybersecurity nog niet op orde hebben. Onveilige producten en diensten maken het de aanvaller nog makkelijker. Bovendien hebben organisaties vaak een aantal maanden nodig om te ontdekken dat ze gehackt zijn. Cybercriminelen kunnen al die tijd dus ongehinderd hun gang gaan. Security awareness trainingen onder medewerkers helpen de grip op cyber­risico’s te vergroten, zodat men zich meer bewust wordt van de mogelijke gevolgen. Ook netwerkbeheerders van deze bedrijven hebben trainingen nodig om bijvoorbeeld een cyberaanval te herkennen.” 

“Verder moet cybersecurity een speerpunt zijn bij het ontwikkelen van nieuwe producten en diensten. Secure by design! Vooraf nadenken over digitale veiligheid en weerbaarheid in plaats van achteraf. Voorkomen is altijd beter dan genezen.”

Rob Hulsebos is journalist