Jeroen Schipper, CISO Den Haag: ‘Wij hebben een voorbeeldfunctie’

Jeroen Schipper, CISO Den Haag.

Met een team van 25 mensen – uit te breiden tot 30 de komende tijd – houdt Schipper zich al ruim zes jaar bezig met alle aspecten die komen kijken bij het veilig houden van de gemeente Den Haag. Daarnaast is hij manager van het Expertisecentrum Security. Zijn eerste kennismaking met security vond plaats bij het ministerie van Defensie, waar hij gedurende 17 jaar het dreigingslandschap steeds sneller zag evolueren.

“Net zoals Defensie voortdurend de aandacht heeft van statelijke actoren, heeft een gemeente zoals Den Haag met instituten zoals het International Criminal Court daar mee te maken. Wanneer Den Haag genoemd wordt in internationaal verband, dan volgen er regelmatig cyberaanvallen op de stad als geheel. Wat dat betreft is de Hofstad wel een bijzondere eend in de bijt.”

Ook in Den Haag zag Schipper hoe het aantal en de diversiteit van cyberdreigingen toenam. “Het lijkt allemaal veel grootser te worden en sneller te gaan. Maar ook makkelijker. Trek je creditcard en je kunt een organisatie met een DDOS-aanval laten platleggen.”

Gebruik geavanceerde technologie

Cybercriminelen maken bovendien steeds meer gebruik van technologie zoals gen-AI om hun aanvallen geavanceerder en meer gepersonaliseerd te maken. De tijd dat je een email kreeg van een Nigeriaanse prins met veel geld is wel voorbij. “Mensen krijgen nu e-mails die op de afzender na niet meer van echt te onderscheiden zijn, zodat het kan lijken alsof je een mail krijgt van een directe collega.”

Alle bewustwording ten spijt, vergroot dit de kans dat iemand op zo’n mail klikt. Dat betekent dat waar je voor security tot een jaar of tien geleden heel erg inzette op bewustwording - waarbij de medewerker zaken moest tegenhouden – je nu niet ontkomt aan de inzet van veel meer technologie, vindt Schipper.

“Ik heb daar wel flinke discussies over, want niet iedereen is het met deze focus eens. En voor de duidelijkheid: ik heb mensen nooit de zwakste security-schakel gevonden. Maar mensen zijn wel de laatste verdedigingslinie. Technologie moet de eerste zijn. Ik vind dan ook dat op een moment dat een gemeenteambtenaar in Den Haag een phishing-mail ontvangt, wij hebben gefaald.”

Zo vroeg mogelijk onderbreken

Hoewel er steeds weer nieuwe soorten cyberdreigingen bij komen, is phishing volgens Schipper ook nog steeds de nummer-1 dreiging, en eentje die steeds geavanceerder wordt. “Denk aan een link die je naar een website leidt die als twee druppels water lijkt op die van jouw organisatie. Dat betekent voor ons dat we niet alleen kijken naar phishing-mails, maar ook in de gaten houden of er opeens websites met het logo van de gemeente Den Haag online komen. Dan weet je dat er een phishing-campagne op komst is. Je moet zo’n campagne zo vroeg mogelijk onderbreken.”

Ook met 30 mensen in zijn team kan Schipper lang niet elke vorm van dreiging zelf tegengaan. De menskracht daarvoor is ook niet te krijgen. “Dat betekent dat we toch vaak managed services moeten inkopen”, zegt hij. “Maar terwijl je technologie zoals een managed SOC kunt uitbesteden, moet je de reactie op een melding of incident toch zelf verzorgen. Je kunt niet alles automatiseren. Je hebt eigen mensen nodig die de impact van een mogelijke aanval kunnen bepalen, hoe te reageren op een incident. Dus al komt informatie over een incident eerst bij een leverancier binnen, wij coördineren uiteindelijk de reactie, zoals een systeem dat offline moet.”

Den Haag werkt niet alleen met strategische IT-partners samen, maar wisselt ook kennis en ervaring uit met andere gemeenten. Zoals de samenwerking binnen koepelorganisatie VNG, waar onder meer de Informatiebeveiligingsdienst onder hangt. Schipper: “Producten, beleidsstukken, bepaalde aanpakken, delen we standaard binnen de VNG. Er is regio-overleg en er is veelvuldig overleg met de andere drie grote gemeenten. Vaak online, soms ook fysiek, zoals afgelopen september weer in Den Haag.”

Voorbeeldfunctie

Als lokale overheid heeft Den Haag ook een voorbeeldfunctie in de aanpak van cybersecurity en -weerbaarheid, meent Schipper. “Wij zullen en moeten ons houden aan alle wetgeving en regels die wij als gemeente of andere overheden invoeren. Denk aan de Cyberbeveiligingswet (NIS 2). Maar we zijn ook nog eens de internationale stad van vrede en recht. We zijn het dan ook aan onze stand verplicht om tot op een hoog niveau cyberweerbaar te zijn en daarin een voorbeeld te zijn.”

Die voorbeeldfunctie geldt ook wanneer het toch een keer mis gaat. Goede voorbereiding is dan ook een must, want een incident wordt pas een nachtmerrie wanneer je niet weet wat je moet doen. Dat is nou net het punt van cyberweerbaar zijn. Daarom werken wij volgens het concept ‘asume brach’, ervan uitgaan dat er al iemand in je netwerk actief is.”

Reden ook om veel te oefenen in de reactie op wanneer het mis gaat. Een voorbeeld hier is deelname aan de landelijke oefening Isidoor, georganiseerd door het NCSC. “Dat doen we vanuit de techniek tot en met het bestuur van de gemeente. Tot op het hoogste niveau wordt drie dagen lang meegetraind om weerbaar te zijn en te weten wat we moeten doen. We hebben een regelmatig geüpdatet risicoplan dat op papier klaarligt. En dat werkt. Enkele jaren geleden hadden we een incident, waarna het crisisteam van de gemeente binnen 20 minuten bij elkaar zat, met 12 mensen uit de hele organisatie. Die snelheid van reactie is ontzettend belangrijk.”

Klaar voor toekomst?

Rest de vraag: is Den Haag klaar voor wat er de komende jaren aan cyberdreigingen op de gemeente afkomt? Om volledig te voldoen aan de eisen van NIS 2 is er al een breed en zwaar fundament neergelegd. “Maar er zijn nog genoeg dreigingen die we op ons af zien komen, zeker met ons dreigingsprofiel”, beseft Schipper. “Denk aan de toppen die regelmatig ook in Den Haag georganiseerd worden. Het voortdurend in de gaten houden van bestaande en nieuwe bedreigingen houdt ons meer dan genoeg bezig.”

En die dreiging strekt zich niet alleen uit tot het IT-landschap, maar ook dat van OT (operationele technologie). Er is steeds meer sprake van gedigitaliseerde OT, met het beheer van bruggen, wegen, verkeersinstallaties. Schipper hierover: “In Scheveningen hebben we ook een smart city opgezet, met bijvoorbeeld slimme lantaarnpalen die allerlei sensoren bevatten. In feite zijn die zaken onderdeel van ons totale aanvalsoppervlak, die we mee moeten nemen in ons totale cybersecurity en -weerbaarheidsaanpak. Monitoring en detectie is een must voor je IT, je IoT én je OT.”

Groeiende complexiteit

De groei van OT als onderdeel van het totale aanvalsoppervlak maakt security zeker complexer, verwacht Schipper. Als CISO wil je dan ook zaken zoveel mogelijk versimpelen. “Waarom honderd applicaties gebruiken als het met 50 ook kan? Dat is misschien niet altijd realistisch, maar feit is: hoe overzichtelijker je security is, hoe veiliger. Je hebt ook liever niet meerdere voordeuren in je woning.”

Om voldoende weerbaar te blijven, organiseert de gemeente Den Haag ook evenementen zoals Hâck the Hague, dat onlangs voor de zesde keer plaatsvond. OT stond ditmaal als speciaal onderwerp op de agenda, juist omdat het steeds belangrijker wordt.

“Het gaat daarbij zeker ook om het vinden van kwetsbaarheden. Je kunt zoiets meteen wereldwijd delen. Dat hebben we tijdens voorgaande edities meermaals gedaan, zoals toen we een kwetsbaarheid in een printsysteem van een Japanse leverancier vonden. Via het NCSC en CERT-Japan is dat doorgegeven, waarna de producent met een wereldwijde patch kwam. Geweldig toch?’

Maar, benadrukt Schipper tot slot: het belang van een event als Hâck the Hague ligt ook in het benadrukken dat transparantie en openheid over wat er goed én fout gaat, heel belangrijk is. “De beste manier om cybercriminaliteit tegen te gaan, is zoveel mogelijk en zo snel mogelijk relevante informatie te delen”, zo stelt Schipper met overtuiging. “Af en toe is het nodig om met de billen bloot te gaan. Dat geldt ook voor leveranciers. Die kunnen bang zijn dat er iets bij hen gevonden wordt dat misgegaan is, maar het is juist belangrijk om dat zo snel mogelijk te delen.”

Over Hâck The Hague

Tijdens Hâck The Hague op 30 september 2024 hebben 40 eerlijke hackers de operationele technologie (OT) van de gemeente Den Haag aangevallen. Tijdens het zes uur durende event zijn onder meer stoplichten, laadpalen, een testopstelling van beweegbare bruggen, de opstelling van een gemaal en camera’s getest. Er kwamen meerdere unieke meldingen van kwetsbaarheden binnen. Drie meldingen wonnen een prijs en twee bevindingen ontvingen een eervolle vermelding.

Jeroen Schipper, CISO van de gemeente Den Haag, legt de noodzaak van het event uit: “Operationele technologie wordt steeds belangrijker als het gaat om beveiliging. De systemen en apparaten die vandaag werden getest zijn ook voor kwaadwillenden bereikbaar. Tijdens Hâck The Hague proberen we op een veilige en gecontroleerde manier inzicht te krijgen in de mogelijke zwakke plekken, zodat we ze kunnen oplossen. Dit vergroot niet alleen onze veiligheid, maar ook die van alle andere gebruikers wereldwijd.”

De OT-editie van Hâck The Hague legde een focus op het opsporen van kwetsbaarheden in de operationele technologie en aanverwante hardware.

Tijdens de speciale OT-editie van Hâck The Hague draaide het allemaal om het opsporen van kwetsbaarheden in de operationele technologie en aanverwante hardware. Daar komt meer bij kijken dan enkel het vinden van kwetsbaarheden in digitale systemen. Bij operationele technologie kun je bijvoorbeeld denken aan laadpalen voor elektrische auto’s, verkeersregelinstallaties en het cameramanagementsysteem. Alle eerlijke hackers moesten akkoord gaan met speciale spelregels. Zo was het verplicht om alle bevindingen aan de organisatie te rapporteren.

De Haagse Wethouder ICT Hilbert Bredemeijer noemde het enorm leerzaam en leuk dat zoveel hackers vandaag de systemen van de gemeente hebben getest. "Met regelmatige interne controles werken wij continu aan digitale veiligheid en weerbaarheid tegen cyberaanvallen. Juist de operationele technologie zoals stoplichten is essentieel voor bewoners. Belangrijk dus dat we tijdens deze editie van Hâck The Hague daar de focus op legden."

Er zijn verschillende kwetsbaarheden gevonden en daarvoor zijn er drie geldprijzen uitgereikt. Twee bevindingen kregen een eervolle vermelding.

• De eerste eervolle vermeldingen was een kwetsbaarheid met een lage dreiging, waarbij er een concreet uitvoerbare suggestie voor de verbetering van het systeem zat.
• De tweede eervolle vermelding had een gemiddelde dreiging omdat het een mogelijk financiële impact zou kunnen hebben.
• De derde prijs werd gewonnen voor een bevinding met een gemiddeld dreigingsniveau. Een verkeerde invoer zou kunnen leiden tot het uitvallen van een portaal.
• De tweede prijs ging naar een melding met een hoog risico, waarbij slechte segmentatie van het netwerk een groot aanvalsoppervlak veroorzaakte.
• De eerste prijs werd gegeven aan hackers die een iets hebben kunnen aanpassen in een webportaal. Deze bevinding had ook een hoog risico.