Tekst Anouk Bakker
Foto Josje Deekens
Hoe kun je ondanks een dreiging toch goed en veilig je werk doen? Victor Flietstra en Daan Soons werken samen om de digitale veiligheid bij het ministerie van Buitenlandse Zaken (BZ) te vergroten. Praktische oplossingen, zonder gedoe voor collega’s. ‘We verhogen de weerbaarheid, maar doen er alles aan om dat niet ten koste te laten gaan van de werkbaarheid.’
Je ziet het soms in spionagefilms. Een vreemde kijkt met je mee terwijl je in de trein je mail checkt, je wordt gevolgd op straat of iemand komt verdacht dicht naast jou en je laptop zitten. Meer dan ooit liggen hackers en cybercriminelen op de loer. Met manipulatieve technieken proberen zij toegang te krijgen tot jouw laptop of telefoon. Ook BZ wordt vaak digitaal aangevallen en heeft informatiebeveiliging hoog op de agenda staan. Senior adviseur informatiebeveiliging Victor Flietstra brengt met zijn collega’s van de directie Veiligheid, Crisiscoördinatie en Integriteit (VCI) potentiële dreigingen in kaart. Dagelijks monitoren ze BZ-werkprocessen en relevante informatie. ‘We bekijken bijvoorbeeld voor wie BZ-informatie interessant is, van een hacker die vanaf een zolderkamer opereert tot aan een statelijke actor. Denk hierbij aan buitenlandse inlichtingsdiensten die gebruik maken van criminele organisaties.’
Slim, gevaarlijk en heel geduldig
Bij een cyberaanval wordt er informatie weggehaald of gemanipuleerd zonder dat je er erg in hebt. Je merkt vaak niet direct wanneer iets misgaat en weet niet wat er gestolen wordt. Victor: ‘De ‘aanvallers’ zijn slim, gevaarlijk en heel geduldig. Iedereen kan doelwit worden. Misschien ben je niet meteen van nut, maar wel interessant op een later moment. Dat kan ook over tien jaar zijn. Vaak doen cybercriminelen vanuit een ander land een aanval. Een veel gebruikt en effectief middel is phishing via e-mail, sms of app-berichten.’ Ook de informatiebeveiligingsspecialisten van de directie Informatievoorziening en Digitale Innovatie (IDI) hebben hun handen vol aan phishing mails. Senior adviseur risicomanagement, informatiebeveiliging & privacy Daan Soons vertelt: ‘De gevaarlijksten zijn waar de afzender zich voordoet als iemand van een andere ambassade uit een partnerland. Deze valse mails zijn nauwelijks van echte te onderscheiden en worden heel gericht verstuurd. Check daarom altijd of het e-mailadres van de afzender bij de organisatie hoort die ze claimen te zijn.’
Incidenten melden
En wat als je per ongeluk op een verkeerde link drukt of als je benaderd wordt door een mogelijk onbetrouwbaar persoon? Victor: ‘Als het een keer misgaat, betekent dat niet dat er gelijk een cyberaanval aankomt. Wees je bewust van de gevaren en meld het als je iets verdachts ziet of meemaakt.’ Neem voor niet-digitale incidenten, zoals benaderd worden door een onbekende, contact op met de collega’s van VCI. Voor digitale incidenten zoals phishing kun je terecht bij het Information Security Centre. Daan benadrukt ook het belang van melden: ‘Als je een mailtje niet vertrouwt, stuur het door naar het Information Security Centre. Ook als je er al op hebt geklikt. Voel je niet dom, de mails worden steeds beter en moeilijker om van echt te onderscheiden. Deze mensen gaan gehaaid en geavanceerd te werk. De technieken worden, door de komst van kunstmatige intelligentie (AI), de komende jaren ingenieuzer en gevaarlijker. Het gaat er dus niet om of een aanval lukt, maar wanneer dat gebeurt. En dan is het belangrijk dat we als organisatie weten wat te doen.’
Plaatsonafhankelijk werken
Digitaal bewustzijn is een eerste belangrijke stap. BZ biedt trainingen aan voor alle medewerkers over hoe je omgaat met gevoelige informatie. De collega’s van IDI en VCI werken samen om de digitale veiligheid in de organisatie te vergroten. Ze zorgen voor praktische oplossingen, zonder extra gedoe. Daan: ‘We verhogen de weerbaarheid en doen er alles om het zo werkbaar mogelijk te houden. Achter de schermen verwijderen we phishing mails, stellen we firewalls anders in en zijn we bezig met de overgang van Becrypt naar Cryhod.’ Toch kunnen deze oplossingen niet alle dreigingen wegnemen. Zo kunnen vanwege de toenemende dreiging wereldwijd niet alle collega’s op de posten thuiswerken. Daan: ‘Nu is het nog erg zwart-wit, je hebt wel of geen toegang tot VPN. Momenteel werken we hard aan werkbare oplossingen voor iedereen. We willen meer smaken creëren, zodat meer collega’s flexibel kunnen werken.’
HR-telefoon voor dienstreis
Steeds meer landen kopen commerciële spyware en schuwen niet om deze in te zetten. Hierdoor is de kans dat je mobiele telefoon besmet raakt met malware fors toegenomen. Daan: ‘Ga je op dienstreis naar een zogenaamd Hoog-Risico (HR) land waar deze dreiging hoog is? BZ collega’s dienen dan hun mobiele telefoon bij de Servicebalie in te leveren en een HR-telefoon mee te nemen. Dit is een lege iPhone met alleen noodzakelijke apps zoals BlackBerry Work erop. Als deze tijdelijke telefoon toch besmet raakt, houden we de impact beperkt. Bij terugkomst wordt alles gewist. Hierdoor neem je de besmetting niet mee naar je eigen werktelefoon.’ Op BZelf staat een overzicht van landen waar een HR-telefoon verplicht is en hoe je deze kunt aanvragen.
Nieuwe wachtwoorden
Hackers worden steeds beter in het kraken van wachtwoorden. Vanuit de weerbaarheid is het nodig om wachtwoorden langer te maken dan 14 tekens. Om de werkbaarheid te behouden, hoeven BZ-medewerkers nog maar eens per jaar hun wachtwoord te veranderen. Hoe kom je tot een sterk wachtwoord dat makkelijk te onthouden is? Gouden tip van Victor: ‘Maak een rare lange zin, het liefst in drie verschillende talen. Zet daar ook een paar tekens en cijfers tussen. Lastiger om te kraken, maar makkelijk om te onthouden.’
Nieuwe middelen slim inzetten
BZ-medewerkers moeten veilig en prettig hun werk kunnen doen. Hoe zetten we de huidige middelen zo slim mogelijk in om dat te waarborgen? Daan en Victor vertellen dat het daarbij belangrijk is om out of the box te denken. ‘Nieuwe slimme technologieën kunnen helpen om verdachte activiteiten sneller waar te nemen zodat wij adequaat kunnen reageren. Zo kunnen we meer collega’s ruimte bieden om plaatsonafhankelijk te werken. Ook sporen we hiermee phishing mails sneller op en kunnen we deze tijdig weren. Dit is nog wel toekomstmuziek. Tot die tijd moeten we de informatiestroom goed en veilig regelen en is het belangrijk om met elkaar in gesprek te blijven. Een juiste balans vinden tussen weerbaarheid en werkbaarheid blijft een continu spel.
Meer weten over de directie Informatievoorziening en Digitale Innovatie (IDI)?
(NB: onderstaande links zijn alleen toegankelijk voor Rijksmedewerkers)