Platgelegde overheidswebsites, vernietigende malware en inzet van hackers; de Russische invasie in Oekraïne gaat gepaard met ernstige cyberincidenten. ‘Met wisselend succes zijn pogingen ondernomen om kritische infrastructuur zoals ziekenhuizen, energiecentrales en het treinverkeer te ontregelen. Deze oorlog legt nog nadrukkelijker bloot hoe kwetsbaar operationele systemen van bedrijven zijn en zet daarmee industriële cyberbeveiliging hoog op de agenda.’ zegt Thomas. 

Thomas Pfann, Cyber Security Specialist bij KPMG. Als we hem spreken werkt hij aan een project in het Midden-Oosten. ‘We maken onderdeel uit van een alles omvattend cyber security traject voor een industrieel bedrijf. Samen met een collega richten wij ons op de cyber security van operational technology (OT). Ons Nederlandse team is daar goed in en daarom werken we regelmatig samen met KPMG firms in het buitenland.’  

Fabrieken zijn per definities kwetsbaar. Machines worden geacht 30 jaar mee te gaan, inclusief de software die erbij geleverd wordt. Windows Vista, XP, en zelfs applicaties zie je nog met enige regelmaat en hier is makkelijk misbruik van te maken, omdat dit niet meer ondersteund wordt. Machines maken gebruik van verouderde software en besturingssystemen, zijn onderdeel van een plat netwerken of worden op afstand aangestuurd. Daarmee staan talloze deurtjes ongewild op een kier. Wij helpen bedrijven te ontdekken waar de kwetsbaarheden zitten door ons te verdiepen in hun netwerk, en eventueel zelf te hacken. Vervolgens nemen we ze aan de hand om hun beveiliging op orde te krijgen.’  

Ethical Hacking  

Halverwege het gesprek met Thomas logt ook Frank Wiersma in. Hij werd opgehouden door een incident bij een van zijn klanten. ‘De klant detecteerde verdachte activiteit in hun netwerk. Alles wees erop dat een aanvaller bezig was met de voorbereiding van een aanval, met schade tot mogelijk gevolg.’ 

Frank maakt als Cyber Security Consultant deel uit van een zogenaamd Red Team. Als Ethical Hacker tonen we aan bij de kroonjuwelen van de klant te kunnen komen. Dit doen we bijna altijd zonder gedetecteerd te worden. Hoe we dat doen presenteren we aan de klant en gaan dan samen aan de slag om detectiemiddelen te implementeren of aan te scherpen. De oplossing daarvoor is over het algemeen maar voor een klein deel technisch van aard. De belangrijkste slagen zijn te maken in governance en de mindset van de medewerkers. Maar het begint bij een gevoel van urgentie en die wakkeren we aan door de organisatie succesvol te hacken.’ 

Ontwikkeling  

Ons team bestaat uit ongeveer zestig Consultants die er veel plezier aan beleven het onmogelijke te realiseren. ‘Op de middelbare school bladerde ik al door de bestanden van de docenten heen, wat ook meteen mijn eerste ervaring was met responsible disclosure’ vervolgt Frank lachend. En dat blijft toch het leukste aan dit werk; de kick om in te breken terwijl iedereen op de uitkijk staat. ’Thomas sluit zich daarbij aan: ‘Elke opdracht is weer een nieuwe puzzel die opgelost moet worden. Je hoort veel, je ziet veel en uiteindelijk is weinig wat het lijkt. Treffender en cryptischer kan ik ons werk bijna niet verwoorden.’ 

‘Nieuwsgierigheid drijft ons, maar ook de wil om individueel en als team beter te worden’, merkt Frank op. ‘Binnen ons team ligt de nadruk dan ook op leren. Dat wordt sterk aangemoedigd en gefaciliteerd. Zo gaf ik onlangs aan me ook wel eens te willen verdiepen in OT Cyber Security en start volgende week op een opdracht. So be careful what you wish for.’