"Is het genoeg?" Die vraag komt steeds weer terug in gesprekken met Jaimy Thepass. Niet omdat ze paniek wil zaaien, maar omdat ze in realtime heeft gezien hoe het dreigingslandschap is verschoven: weg van snelle ransomware voor geld en naar langdurige, heimelijke operaties die gericht zijn op verstoring, spionage en controle over kritieke processen.
Jaimy is Business Development Manager bij Sentyron. Na een aantal jaren in de privésector te hebben gewerkt, besloot ze bewust weer dichter bij defensie en kritieke infrastructuur te gaan werken. "Na vier jaar voelde het als een goed moment. Ik wilde weer dichter bij Defensie komen, vooral gezien de geopolitieke situatie van de afgelopen maanden en jaren."
De dreiging is niet langer 'geld'. Het is invloed.
Jaimy heeft vijftien jaar bij Defensie gewerkt, eerst als onderofficier en later als officier, altijd op het gebied van communicatie. "Alles wat met IT-capaciteiten te maken had." De laatste vijf jaar van haar carrière werkte ze bij Electronic Warfare, gevolgd door drie jaar bij het Defence Cyber Command. "Daar is mijn passie voor cyber ontstaan." Die achtergrond bepaalt hoe ze tegen de aanvallen van vandaag aankijkt. Niet als iets dat je kunt oplossen door een checklist af te werken, maar als iets waarop je je moet voorbereiden alsof het gaat gebeuren. Want dat gaat het ook.
Wat is er de afgelopen jaren het meest veranderd? "De grootste verschuiving is dat we zijn overgestapt van ransomware, snel geld verdienen, systemen versleutelen zodat je een vergoeding kunt eisen, naar meer geavanceerde, langdurige aanvallen door geavanceerde persistente bedreigingen." En ze is duidelijk over waar die actoren zich op richten. "Het zijn vooral Russische en Chinese actoren die we de laatste tijd veel zien. En zij richten zich op energie, telecommunicatie, havens, water en defensie." Niet omdat die sectoren de snelste uitbetaling bieden, maar omdat ze druk en invloed bieden. "Je kunt zien dat geopolitieke veranderingen echt van invloed zijn op het gedrag van deze actoren. Het landschap is veranderd."
Jaimy klinkt bijna opgelucht als ze zegt: "We hebben gezamenlijk besloten om cyberbeveiliging eindelijk te accepteren voor wat het is." Veel organisaties hebben nu monitoring, pentests, red teaming en incidentrespons geïmplementeerd. Teams staan paraat. Er zijn processen. Maar haar kernpunt is realistisch: "Dat betekent nog steeds niet dat je veilig bent." Als je ervan uitgaat dat er een aanval zal plaatsvinden en je hebt responsplannen klaar, heb je dan ook echt controle? "Kunnen we elkaar eerlijk in de ogen kijken en zeggen: ik denk dat we nu echt veilig zijn? Of gaat alles zo snel dat dat niet meer zo is, en durven we dat zelfs te zeggen?"
Waarom energie en OT fundamenteel verschillen van 'gewone IT'
Als het gesprek gaat over energiesystemen en OT, is het verschil niet theoretisch. Het is maatschappelijk. "Onze samenleving moet draaien op energie, water en soortgelijke essentiële zaken." Als een netwerk uitvalt, of dat nu komt doordat het evenwicht verstoord is of omdat de communicatie met kritieke infrastructuur wegvalt, merkt iedereen dat. "Het is dus echt van levensbelang om ervoor te zorgen dat het beschermd blijft."
Ze ziet wel vooruitgang: "Energiesystemen en OT-omgevingen zijn de afgelopen jaren anders ontworpen." Het oude patroon waarbij je 'hier en daar een update kon doorvoeren' is minder aanwezig. Toch merkt ze hoezeer alles nog steeds door compliance wordt gedreven. "Er zijn maar weinig technische mensen in OT met wie ik heb gesproken die zeggen: ik vind dit echt onaanvaardbaar en ik ga er nu iets aan doen." En zelfs als ze dat doen, liggen de investeringsbeslissingen bij de raad van bestuur. "Ze moeten nog steeds een raad van bestuur overtuigen die daadwerkelijk het geld moet uitgeven."
Gevraagd naar incidenten zoals de situatie in Polen, is Jaimy's eerste observatie veelzeggend: "Niemand zag het aankomen. Omdat we dachten dat we alles op orde hadden. Achteraf is het altijd makkelijk om uit te leggen. Vaak gaat het om dingen die je niet hebt afgesloten omdat je ze niet zag, of omdat je niet hard genoeg hebt geprobeerd om ze te vinden. De methode was niet magisch. Ze was effectief. Het is eigenlijk heel logisch hoe ze binnenkwamen. De toolkit die ze gebruikten, werkte. Het ging hier echt om het verstoren van iets. En dat is een trend die we nu zien, en die niet zal stoppen."
Het aanvalsoppervlak is explosief gegroeid, tot aan de rand toe.
Een andere verandering is net zo belangrijk: "Het aanvalsoppervlak is groter geworden." Ransomwarecriminelen gaan vaak snel verder als ze weerstand ondervinden. Maar door de staat gesteunde actoren doen dat niet. "Dit is een actor die op een heel specifieke plek wil komen, omdat ze een doel hebben: verstoren, spioneren en daar voor langere tijd blijven. Zonder ontdekt te worden."
En dat verandert de reikwijdte van wat beschermd moet worden. "Van randapparatuur tot misschien zelfs de eenvoudige kast die je thuis hebt staan om je zonnepanelen aan te sturen." Met andere woorden: kritieke ketens beginnen steeds vaker met gewone componenten, gewone leveranciers en gewone omgevingen. De vraag is dus niet alleen voor exploitanten van vitale infrastructuur, maar voor het hele ecosysteem: "Van de gewone burger zoals ik tot de grote energiebedrijven in Nederland en de EU, iedereen moet nadenken: wat als?"
En voor kritieke infrastructuur is zij er steeds meer van overtuigd dat het antwoord een volgende stap vereist, die verder gaat dan hygiëne en veerkracht, namelijk maatregelen die een hoger niveau van zekerheid bieden. Niet alleen in staat zijn om te reageren en te herstellen, maar ook kunnen vertrouwen dat essentiële informatie niet kan worden gemanipuleerd. "Ik denk steeds vaker: is er niet iets anders, niet alleen op het gebied van veerkracht, maar dat echt kan garanderen dat je gegevens veilig zijn. Dat er simpelweg niet mee geknoeid kan worden. Ik denk dat 'disruptie' zo'n belangrijk woord is. Want dit gaat verder dan compliance. Dit gaat over onze samenleving."
Beschikbaarheid is koning, maar maakt het ons blind?
In OT staat beschikbaarheid vaak voorop. Processen moeten blijven draaien. Maar Jaimy stelt die standaardbenadering ter discussie. "De vraag is of onze focus op beschikbaarheid ons een beetje blind maakt." Ze waarschuwt dat het afvinken van lijstjes kan leiden tot valse zekerheid. "In mijn ogen wordt dat een soort valse veiligheid."
Ze wil dat de sector integriteit serieus als een eerste prioriteit gaat beschouwen: "Wat als we ons iets minder zouden richten op beschikbaarheid en meer zouden kijken naar de vraag of we kunnen zeggen: deze informatie is betrouwbaar, er is niet mee geknoeid? Want als binnenkomende informatie onjuist is, kan dat fysieke gevolgen hebben. Dan gaat het niet langer alleen om verstoring, maar om mensenlevens."
Ze maakt het concreet met industriële voorbeelden: gegevens afkomstig van een raffinaderij, metingen, processignalen. Als die gegevens kunnen worden gewijzigd, kan dat gevaarlijke gevolgen hebben. Explosies. Onveilige situaties. Een systeem dat 'online' is, maar onbetrouwbaar. Hier komt haar achtergrond bij Defensie weer om de hoek kijken. "Bij Defensie noemen we dat wat-als-scenario's. Je hebt de meest waarschijnlijke scenario's, maar ook de gevaarlijkste scenario's. En die gevaarlijkste scenario's moeten openlijk worden besproken binnen organisaties en sectoren. Want een paar mensen kunnen niet beslissen over het lot van de wereld."
Een boodschap voor CISO's, CIO's en bestuursleden: ga terug naar uw keerpunt
Haar advies aan besluitvormers is verrassend praktisch. “Ga even terug naar waar je begon. Toen je voor het eerst hoorde over hackers, toen je jezelf voor het eerst afvroeg of je moest investeren in monitoring. Vraag jezelf dan af: welk scenario heeft je toen over de streep getrokken? Welk ernstig scenario, welke dreiging, heeft je doen besluiten? Herhaal die oefening nu met het huidige landschap. We kunnen niet zeggen dat wat we eerder hebben gedaan nog steeds voldoende is.”
Ze sluit af met een eenvoudige zin die perfect past in elke directiekamer, juist omdat hij zo ongemakkelijk duidelijk is: "Als je doet wat je hebt gedaan, krijg je wat je hebt gekregen." En dat is precies waarom de lat voor de bescherming van kritieke infrastructuur nu hoger moet worden gelegd.