Wat hebben de ontvoering van Freddy Heineken, de dreiging van kwantumcomputers, kunstmatige intelligentie, slimme gebouwen, hacken en managementtaal met elkaar te maken? Het waren de onderwerpen tijdens de tweede VBN Security Summit die afgelopen week plaatsvond.
Het was een gedurft programma. In deze tijd is het sowieso al een uitdaging om mensen naar een grootschalige bijeenkomst te krijgen en als mensen het dan ook nog een beetje ‘ver van mijn bed’-onderwerpen vinden, is het maar afwachten hoe het gaat lopen.Maar het liep goed. Ondanks de wat onconventionele agenda en de schrikbarende coronacijfers gingen ruim tweehonderd beveiligingsprofessionals naar Amersfoort om live de tweede VBN Security Summit bij te wonen. Die vond plaats in de sfeervolle ambiance van de monumentale Rijtuigenloods, een prachtig stukje industrieel erfgoed.Wie nog twijfelde over de onderwerpen, kwam tijdens de Summit al snel op andere gedachten vanwege de uitzonderlijke kwaliteit van de geselecteerde sprekers.
Heineken
Dagvoorzitter Meindert Schut benadrukte hoe belangrijk het voor de toekomst is om van het verleden te leren. “Je moet kunnen voorspellen in, plaats van achter de feiten aan te lopen.” Daarmee gaf hij een mooie introductie voor Gert van Beek, die het over het verleden ging hebben, namelijk over de ontvoering van biermagnaat Freddy Heineken en zijn chauffeur Ab Doderer.Ontvoeringen van captains of industry komen tegenwoordig niet meer voor in Nederland, maar afpersing wel. “Vooral met ransomware”, aldus de oud-politieman. “Waarbij het om vergelijkbare bedragen gaat, terwijl voor de criminelen de risico’s veel kleiner zijn.” Van Beek gaf destijds leiding aan het team dat de ontvoering moest oplossen. “Dat waren de drie spannendste weken uit mijn leven. Als je één fout maakt, kan dat het leven van de ontvoerden kosten. Of er wordt een afgesneden lichaamsdeel als waarschuwing opgestuurd. We zouden niet willen dat zoiets door een stommiteit van ons gebeurt.”
Ingewikkelde casus
Van Beek waarschuwde dat ontvoering nog altijd een risico vormt. “Vermijd voorspelbaar of routinematig gedrag. Dat heeft Peter R. de Vries het leven gekost.” De spreker ging uitgebreid in op de ingewikkelde casus, waarbij zijn mensen het hele land werden rondgestuurd om enveloppen met opdrachten te vinden. Intussen zat de pers er bovenop, terwijl er niets mocht uitlekken. Weekblad Panorama had zelfs 50.000 gulden geboden voor een exclusief verhaal van iemand die nauw bij het onderzoek betrokken was.Daarom werd ook binnen de politie zo weinig mogelijk informatie gedeeld. Een lek zou het einde van de gijzelaars kunnen betekenen. Intussen werd het kat-en-muis-spel doorgespeeld. Heineken had intussen het losgeld verzameld en dat moest naar de ontvoerders, zonder dat die een arrestatie zouden riskeren. Dat losgeld leverde uiteraard spanningen op. Betaal je niet, dan gaan de gijzelaars eraan en betaal je wel, dan kan je wachten op de volgende ontvoering.
Samenwerkingsverbanden
De bijdrage van Van Beek was in drieën geknipt, vanwege de lengte. In het tweede deel toonde de oud-politieman verschillende originele documenten, zoals brieven van de ontvoerders. Alles moest op alles worden gezet om Heineken en Doderer levend in handen te krijgen. Vervolgens zou men proberen de ontvoerders te achterhalen en de 35 miljoen gulden losgeld terug te krijgen. “Een voordeel was dat we al samenwerkingsverbanden hadden met andere rechercheteams.Dat is meteen een goede tip. Begin niet pas met het opbouwen van een netwerk als je al in een crisis zit.” Er moest met alle mogelijke scenario’s rekening worden gehouden. Zo werd een gevechtsveldbewakingsradar van Defensie gehuurd, voor het geval het losgeld met een vliegtuigje op het strand zou worden opgehaald. En er waren allerlei problemen. Zo moest het busje met losgeld ongemerkt vanaf de woning van Heineken vertrekken, maar die was omsingeld door journalisten.
Paragnosten
Intussen kreeg de politie talloze tips binnen. Ook van paragnosten. Alle tips werden nagetrokken, maar pas de 547ste tip bleek van waarde te zijn. Die leidde het onderzoek naar een timmerfabriek in het westelijk havengebied van Amsterdam, waar de gijzelaars uiteindelijk werden aangetroffen.De tip had betrekking op een Mercedes, die vanaf dat moment heimelijk gevolgd werd. Intussen werd nog in heel Nederland verder gezocht, waarbij constant vliegtuigen en helikopters in de lucht waren om een landelijk dekkend mobilofoonnetwerk in stand te houden. Bijzonder voor die tijd was dat ook een helikopter met IR-camera werd ingezet. Die camera werd voor 110.000 gulden gehuurd van de Britse geheime dienst. Daarmee werd onder andere het voertuig met losgeld gevolgd. Uiteindelijk kwamen 24 relaties van de timmerfabriek in beeld, waar gelijktijdig invallen plaatsvonden op het moment dat Heineken en Doderer werden bevrijd. De hoofdverdachten waren intussen naar Frankrijk gevlucht en konden pas drie jaar later worden gearresteerd. Van Beek heeft zijn ervaringen beschreven in het boek ‘Meneer Heineken, het is voorbij’.
Triljoenen aan schade
Wat Van Beek al aangaf is dat criminelen zich tegenwoordig vooral van cybercrime bedienen om bedrijven af te persen. Daarover ging het betoog van Jaya Baloo, chief information security officer (CISO) van Avast.“De schade door cybercrime loopt wereldwijd in de triljoenen, maar hoeveel geven jullie uit aan cybersecurity? We vinden het allemaal belangrijk, maar hebben er geen geld voor over om het te voorkomen. En dat is jammer, want een investering in cybersecurity kan ook geld opleveren. Zo kan je meer online doen, waardoor je op reiskosten en kantoorruimte bespaart.” Wat de risico’s verhoogt is volgens Baloo dat we tegenwoordig alles met elkaar willen verbinden. Vaak gaat het daarbij om apparaten met een fabriekswachtwoord, dat zelden veranderd wordt. “Zo word je in no-time gehackt! Ik spreek niet van ransomware, maar van ransomwhen! Dit probleem blijft bestaan, zolang mensen op linkjes in phishingmails blijven klikken. Criminelen verdienen er meer mee dan met drugshandel, terwijl de pakkans heel klein is. Ze zien het bovendien als misdaad zonder slachtoffers, omdat verzekeraars het losgeld vergoeden.
Supply chain security
Baloo wees ook op de risico’s die ‘supply chains’ vormen. “Wie van jullie beveiligt supply chains van jullie organisatie?” Slechts enkele handen gingen omhoog. In Zweden werd de Rijksdienst voor het wegverkeer gehackt, waarna criminelen ook bij fiscale informatie van automobilisten kon komen en zelfs bij geheime informatie van defensie.Zo zijn er meer zorgen. Biometrie blijkt met deep fake video’s te misleiden en cryptografie is niet langer veilig als kwantumcomputers binnenkort hun intrede doen. “Wat nu eeuwig duurt, duurt over een paar jaar enkele seconden.” De cyberspecialist wees ook op het risico van achterdeurtjes. “Wie Fort Knox wil binnendringen, komt niet via de voordeur. Je moet goed weten wie je aanvaller is en wat diens motivatie is. En hoe lang wil je dat je data veilig blijft? Buitenlandse geheime diensten verzamelen nu al versleutelde data om die te ontcijferen zodra ze over een kwantumcomputer beschikken. We moeten nu dus al encryptie ontwikkelen die ook met een kwantumcomputer niet te kraken is.” Baloo adviseerde om bij elke investering 10 procent voor security te reserveren. “En zorg voor automatische updates, zo lang mogelijke wachtwoorden en tweetrapsauthenticatie. It’s up to us!”
Kunstmatige intelligentie
Na het verleden en het heden was de toekomst aan de beurt. Carlo van de Weijer van de TU Eindhoven was gevraagd iets over kunstmatige intelligentie te vertellen. Volgens hem een modewoord waar je alle kanten mee uitkan.“Computerkracht groeit exponentieel. Het gevolg is dat een kind in Afrika nu over meer data beschikt dan de president van de Verenigde Staten twintig jaar geleden. De volgende stap worden computers die zichzelf kunnen programmeren. In 2040 zijn ze mogelijk al slimmer dan de mens. Wellicht krijgen we dan robots die automatisch criminelen herkennen en doodschieten. Zo ver is het nog niet. Slimme camera’s zien nog niet het verschil tussen een chihuahua en een muffin. En wie bepaalt wat machines moeten doen? Er wordt geëxperimenteerd met automatisch rijdende auto’s. Maar recent knalde zo’n Tesla op een vangrail, nadat een schuin lopende naad in het wegdek voor wegbelijning werd aangezien.” Andere problemen zijn volgens Van de Weijer dat slimme apparaten vaak ruimdenkend met privacy omgaan. De spreker stelde de zaal gerust met de voorspelling dat veiligheid altijd een basisbehoefte zal blijven. Wel zal het meer gaan om een veilig gevoel dan om feitelijke veiligheid.
De taal van de board room
Rinske Geerlings was vanuit Australië overgevlogen om tijdens de summit een brug te slaan tussen fysieke beveiliging en de board room van organisaties.“In tegenstelling tot cybersecurity, vindt men fysieke beveiliging vaak geen onderwerp om binnen de Raad van Bestuur te bespreken. Daar ligt dus een interessante uitdaging, die begint met je af te vragen wat je wilt bereiken. En vervolgens: hoe ga je de board daarvan overtuigen? Wat voor taal wordt daar gesproken? Besef dan eerst dat beveiliging alleen interesse krijgt, als het kansen biedt voor de bedrijfsstrategie. Organisaties zijn altijd bang voor reputatieschade. Kijk welke incidenten die kunnen veroorzaken en geef een bandbreedte voor de mogelijke schade. Kom vooral niet met heel veel tekst. Gebruik liever metaforen om de ernst duidelijk te maken. Waarom heeft een auto remmen? Zodat je harder kunt rijden. Zo is het ook met beveiliging. Zonder beveiliging zou de organisatie veel minder risico’s kunnen nemen en dus minder snel groeien.” Geerlings adviseerde kennis te delen met andere organisaties, er rekening mee te houden dat security niet alleen tegen slechterikken, maar ook tegen gewone mensen beschermt en dat veiligheid mensen een comfortabel gevoel moet geven. Andere tips waren het nemen van normen en waarden van de organisatie als uitgangspunt bij beveiliging, het vermijden van vaktaal, refereren naar successtories en maatregelen te vertalen naar winst en kansen en niet naar het wegnemen van angst. “Ook voor de beveiligingsprofessional gaat het om het creëren van waarde voor de organisatie. Wijs de top verder op wat andere organisaties aan beveiliging doen en betrek het topmanagement bij oefeningen in business continuity, zodat duidelijk wordt wat hun rol is tijdens een crisis. Security is everyones business!”
Denk als een crimineel
De laatste spreker van Erik de Jong van het bekende cybersecuritybedrijf Fox-IT. Hij trad echter niet op als beveiliger, maar als ‘crimineel’.“Wat zullen we eens doen met al die innovatie die ons leven beter moet maken? Mensen gaan steeds meer online bankieren, dus wellicht kunnen we eens kijken hoe zij dat doen en hoe wij ze van hun geld kunnen afhelpen. Alleen jammer dat particulieren vaak maar weinig geld hebben, terwijl het veel tijd en moeite kost om ze te bestelen. Dan is zo’n platform als Zeus wel weer handig. Daarmee kan je inbreken op online bankieren en ook nog eens ransomware installeren, DDoS-aanvallen uitvoeren en mensen via nepadvertenties misleiden. Als je dat dan ook nog met bedrijven kunt doen, gaat het echt geld opleveren. In 2013 dacht men het probleem opgelost te hebben met de arrestatie van het vermeende brein achter Zeus, maar pas een jaar later was het echt afgelopen met het platform. Het was hetzelfde jaar dat aanvallen met ransomware begonnen. Dat was helemaal een uitkomst. Geen door de overheid geblokkeerde bankrekeningen meer, want het losgeld moet in nauwelijks te traceren bitcoins worden betaald. In het begin ging het om lage bedragen, maar dat veranderde in 2017 toen de gerichte aanvallen op bedrijven begonnen. Er werden geen individuele computers meer aangevallen, maar complete systemen, inclusief de back-upservers. Sinds 2019 wordt ook data gestolen en dreigen de criminelen die openbaar te maken als er niet betaald wordt. Dan zit het slachtoffer ook nog met een datalek en reputatieschade.”Ransomware is volgens De Jong alleen te bestrijden met een professionele aanpak. “Zolang je de vitale infra niet aanvalt, heb je van de overheid weinig te vrezen. Belangrijk, want met een internationaal opsporingsbevel kan je niet meer zo makkelijk van je verdiende geld genieten. Het wordt wel lastig als ‘cliënten’ over goede aanvalsdetectie beschikken.” De specialist adviseerde om gebruik te maken van een Security Operation Center. “Zelf aanklooien heeft geen zin. Bereid je ook voor op een aanval en kom niet met maatregelen als de ramp zich al voltrokken heeft. Zorg voor awareness bij medewerkers, updates en segmentering van het netwerk. Maar vooral: denk als een crimineel en fight the good fight!”
Tijdens de VBN Security Summit vonden nog enkele subsessies plaats.Zo begon het evenement met een bijeenkomst voor studenten en andere Young Professonals.Ook kon een workshop over drones worden bijgewoond, verzorgd door Dick Bouwhuis, een expert op dit terrein. Getoond werd wat de mogelijkheden van drones zijn voor beveiligingsbedrijven.Een andere workshop ging over slimme gebouwen en werd verzorgd door Johan de Wit van Siemens Building Technologies. Hij ging in op wat digitalisering van gebouwen betekent voor de samenhang van mens, proces en technologie. De huidige situatie rond de coronapandemie heeft volgens hem de kijk op deze samenhang veranderd en versneld. Het creëren van een slim gebouw vereist daarom een andere denkwijze en technische architectuur. Security speelt binnen een toekomstig Smart Building een cruciale rol. Wat zijn de gevolgen van de digitalisering van gebouwen voor een security manager?
De VBN Security Summit werd mede mogelijk gemaakt door sponsors en een aantal zogenoemde innovatiepartners, die tijdens het evenement hun diensten en producten mochten aanprijzen. Hoofdsponsor was SeSa Groep en subsponsors waren BeveiligingNieuws.nl, Explicate, Securitas en Security Management. De innnovatiepartners waren Alphatronics, Aras Security, Bavak Security Group, Bosch, Entelec, Geran, IDIS, Mauer Assa Abloy, Nenova IT, Nimo Drone Security, R-T Consultancy, Remtech en Verkada.