…zegt Laura Kankaala, Security Consultant bij F-Secure. Zij was een van de vier vrouwen die dit jaar een demonstratie over cyberbeveiliging gaven op de Disobey-conferentie in Helsinki.
Hun workshop Think Security was een van de vele evenementen onder de koepel van ‘Future Female’, een organisatie die zich ten doel stelt om vrouwen bekend te maken met technische onderwerpen. In de zaal waren voornamelijk mannen te vinden.
De andere vrouwen die de workshop gaven, waren F-secure-medewerkers Christine Bejerasco (Consumer Security), Laura Noukka (Senior Risk Management Consultant) en Karmina Aquino (Labs).
“Het is leuk om dingen kapot te maken”, merkt Laura Kankaala op. Collega Laura Noukka voegt toe: “Ik probeer actief alles in het kader van risico- en privacybeheer te beveiligen zodat ze weinig kan uithalen, maar het lukt haar toch.”
32 deelnemers werden onderverdeeld in vier teams van acht mensen, waarbij aanvallers en verdedigers het tegen elkaar opnamen.
Bedrijfsvoering op het spel
De aanvallers, die meer hulpmiddelen tot hun beschikking hadden, moesten schade aanrichten of zich bezittingen toe-eigenen op het netwerk en de systemen van een toeleverancier voor een zorginstelling. De verdedigers werden vertegenwoordigd door cyberbeveiligingsexperts die cyberdreigingen en -risico’s moesten onderzoeken, detecteren en voorkomen.
Het scenario van de oefening was als volgt: de overheid heeft de CISO (Chief Information Security Officer) van een zorginstantie geïnformeerd dat er een binnenkort een beveiligingsevaluatie plaatsvindt zodat de instantie kan worden geaccrediteerd.
Na drie maanden zou de overheid zelf beveiligingsadviseurs inhuren om het netwerk en de systemen van de instantie te controleren. Accreditering door de overheid zou betekenen dat de instantie nog meer zaken zou kunnen doen.
De CISO kwam direct in actie en huurde een extern cyberbeveiligingsbedrijf met AVG-ervaring in om ervoor te zorgen dat ze zouden slagen voor de beveiligingsevaluatie van de overheid. De cyberbeveiligers voerden een evaluatie uit en hielpen bij de beveiliging van hun systemen.
“Het doel van de workshop is te leren hoe een aanvaller denkt, zodat we ons kunnen verdedigen en de zwakke plekken kunnen herkennen waar aanvallers het netwerk kunnen binnendringen”, zegt Christine Bejerasco.
Terugblik
“Ik vind dat de teams het goed hebben gedaan. Ze hebben zich goed ingeleefd in het probleem en waren zeer betrokken bij wat er op dat moment speelde.”
Elk team gebruikte zowel vergelijkbare als unieke methodes en kwam met slimme ideeën. Zoals het geven van OPSEC (Operations Security)-training aan de werknemers van het bedrijf dat werd aangevallen – een suggestie van de verdedigende partij.
“We denken vaak eerst aan technische oplossingen en vergeten dat mensen ook een rol spelen in het geheel. Zelfs onze sterkste beveiliging kan worden omzeild via social engineering“, aldus Christine.
De workshop op zaterdag, die met 6–5 door de verdedigers werd gewonnen, leverde ook een aantal verrassingen op.
“Ik denk dat niemand dit had verwacht, aangezien de infrastructuur zwak was en zij minder hulpmiddelen hadden”, zegt Karmina Aquino.
Er was ook een undercover element aanwezig: HR-medewerkers keken toe en gingen op zoek naar talent.
“Ik nam bij elk van hen een kijkje om te bepalen wie het meest proactief waren, wie met de meeste ideeën kwamen, wie de leiders waren en wie de volgers, enz.”, aldus Domnita Lungu van de afdeling Talent Acquisition bij F-Secure.
“Dit doen we omdat we uiteindelijk niet alleen een technisch profiel aannemen, maar een persoon. En hoe iemand zich gedraagt in een groep die voor een uitdaging staat, kan veel zeggen over zijn of haar persoonlijkheid, werkwijzen en interactie met collega’s.”
Categorieën