Introductie
In dit artikel geven we je alles wat nodig is om mee te kunnen praten over de hack bij de Politie in 2024, waarover het NCSC enkele dagen geleden een rapport met adviezen publiceerde. Meepraten? Ja, als projectmanager moet je gewoon weten waar je het over hebt en snappen waar het over gaat – is onze overtuiging. Dus, lees het door en je bent weer helemaal op de hoogte.
Nog even wat er aan de hand is: Een nieuw Russisch hackteam met de onschuldige naam Laundry Bear heeft in 2024 zelfs de Nederlandse politie weten te hacken. Deze groep gebruikte verrassend eenvoudige trucs – denk aan paswoorden raden (password spraying), phishing-mails en het stelen van sessiecookies – om ongemerkt binnen te dringen. Dit is een wake-up call: als zulke basistechnieken werken bij grote organisaties, dan zijn mkb+ bedrijven ook kwetsbaar. In reactie op deze hack hebben de Nederlandse inlichtingendiensten (AIVD/MIVD) samen met het NCSC adviezen gegeven om organisaties digitaal weerbaarder te maken. Maar wat betekent dat concreet voor jou als projectmanager? Hoe implementeer je deze maatregelen binnen een lopend ISO 27001 of NIS2 traject? Hieronder bespreken we de belangrijkste acties – praktisch, helder en direct – zodat je er morgen mee aan de slag kunt.
Multifactor-authenticatie (MFA): dubbele slot op de deur
Waarom? Laundry Bear wist accounts over te nemen door inloggegevens te stelen. Met goede MFA voeg je een extra slot op de deur toe: naast wachtwoord is een tweede bewijs (bijv. code of app) nodig. Vooral phishing-resistente MFA (zoals een authenticator app of hardware security sleutel) maakt het aanvallers lastig om via namaak-inlogpagina’s je inlogsessie over te nemen.
Aanpak: Maak MFA verplicht voor alle belangrijke accounts en systemen. Check of jullie huidige oplossingen dit ondersteunen en schakel het overal in – van e-mail tot VPN. Idealiter gebruik je geen SMS als tweede factor maar bijvoorbeeld een authenticator-app of fysieke sleutel, omdat die minder makkelijk te omzeilen zijn. Combineer MFA met sterke wachtwoordrichtlijnen: lange, unieke wachtwoorden per account. Stimuleer het gebruik van een wachtwoordmanager zodat medewerkers veilige wachtwoorden kunnen kiezen zonder gedoe. In een ISO 27001-context valt dit onder toegangsbeveiliging; zorg dat het in je Statement of Applicability staat. Voor NIS2 voldoet dit aan de eis om passende authenticatiemethoden te gebruiken.
Voorwaardelijke toegang instellen (Conditional Access)
Waarom? Niet iedereen hoeft altijd en overal toegang te hebben. Laundry Bear maakte misbruik van brede toegangsrechten. Conditional access beperkt de inlogmogelijkheden tot vooraf bepaalde omstandigheden, waardoor onbevoegde logins sneller worden geblokkeerd. Denk aan het toestaan van toegang alleen vanaf bepaalde locaties, devices of tijdstippen.
Aanpak: Stel regels in die inloggen alleen toestaan onder conditie X of Y. Bijvoorbeeld: blokkeer aanmeldpogingen uit landen waar jullie niet actief zijn. Laat gevoelige systemen alleen benaderen vanaf bedrijfsnetwerk of via goedgekeurde apparaten. Monitor voortdurend inlogpogingen: als je ziet dat een account ineens vanaf een vreemd IP-adres probeert in te loggen, grijp direct in. In Microsoft 365/Azure AD kun je conditional access policies maken; andere platforms bieden vergelijkbare mogelijkheden. Breng in je projectplan in kaart welke systemen hier baat bij hebben en werk stap voor stap: begin bij accounts met hoge rechten (admin/IT) en rol daarna breder uit. Dit sluit aan op NIS2 en ISO’s focus op risicogerichte toegang: de hoogste risico’s eerst beperken.
Sessiebeheer: beperk de geldigheid van sessiecookies
Waarom? Laundry Bear wist sessiecookies (kleine bewijsjes van een actieve login) te stelen om zo in accounts te komen zonder opnieuw te hoeven inloggen. Als een aanvaller een sessiecookie bemachtigt die nog lang geldig is, kan hij die sessie overnemen. Goed sessiebeheer verkleint die kans.
Aanpak: Zorg dat inlogsessies niet onbeperkt blijven bestaan. Stel een korte session timeout in op applicaties: bijvoorbeeld dat iedereen dagelijks opnieuw moet inloggen of na een paar uur inactiviteit automatisch wordt uitgelogd. Configureer waar mogelijk dat een sessie gebonden is aan één apparaat of IP-adres – zo kan een gestolen sessiecookie niet zomaar vanaf een ander netwerk worden misbruikt. Laat IT uitzoeken of jullie cloudservices of VPN deze instellingen ondersteunen (vaak zijn er opties als “single IP for session” of “requiring re-authentication after X hours”). Ook kun je periodiek alle actieve sessies laten vervallen, bijvoorbeeld wekelijks, zodat een gestolen cookie niet lang bruikbaar is. Documenteer deze instellingen als deel van jullie beveiligingsbeleid (bij ISO 27001 hoort dat bij de operationele controles rond toegang). Binnen NIS2 zal het aantonen van dergelijke maatregelen laten zien dat je de sessiebeveiliging op orde hebt.
Apparaatbeheer en endpoint-beveiliging: grip op alle devices
Waarom? Een favoriete tactiek van Laundry Bear was Living off the Land: ze misbruiken bestaande software op besmette apparaten in plaats van eigen malware te installeren. Dat maakt detectie lastig. Als je alle apparaten onder beheer hebt en goede endpoint-beveiliging inzet, wordt het voor aanvallers moeilijker om ongezien hun gang te gaan. Bovendien voorkom je risico’s via ongecontroleerde privé-apparaten (BYOD).
Aanpak: Beheer alle apparaten die toegang hebben tot bedrijfsdata. Idealiter geef je medewerkers alleen goedgekeurde, door IT beheerde laptops en telefoons. Beperk BYOD (Bring Your Own Device) zoveel mogelijk; als iemand persé met een privédevice wil werken, stel dan minimale eisen en zet Mobile Device Management (MDM) in om die apparaten te beveiligen (bijv. verplichte pincode, versleuteling, mogelijkheid tot op afstand wissen). Implementeer Endpoint Detectie & Response (EDR) software op alle bedrijfssystemen. EDR gaat verder dan klassieke antivirus: het monitort actief op verdacht gedrag of bekende aanvalspatronen. Kies een EDR-tool die past bij jullie budget en infrastructuur – er zijn ook betaalbare opties voor mkb. Stel in je projectplan een fase in om EDR te testen en uit te rollen. Dit valt in ISO 27001 onder maatregelen voor malwarebescherming en apparaatbeheer; voor NIS2 toon je hiermee aan dat je geavanceerde dreigingen kunt detecteren en stoppen op endpoints.
Logging en monitoring: weten wat er gaande is
Waarom? Als een aanvaller toch binnenkomt, wil je dat snel opmerken. Laundry Bear opereerde stiekem, maar er waren sporen: bijvoorbeeld ongebruikelijke inlogtijden, grote hoeveelheden data die ineens worden gekopieerd, of systeemprocessen die rare dingen doen. Zonder goede logging en monitoring blijven die signalen onopgemerkt. NIS2 eist ook dat organisaties “passende detectie” hebben – logs bijhouden en bekijken is essentieel.
Aanpak: Activeer logging op alle kritieke systemen. Denk aan inlogpogingen (geslaagd en gefaald) op servers en cloud-applicaties, wijzigingen in instellingen, en toegang tot gevoelige gegevens. Voor cloudservices zoals Microsoft 365: schakel Advanced Audit Logging in zodat ook bijvoorbeeld mailbox-toegang en gebruik van adminfuncties geregistreerd wordt. Verzamel de logs centraal als mogelijk – een SIEM (Security Information and Event Management) systeem kan helpen, maar dat kan prijzig zijn. Alternatief voor mkb+: kijk of je bestaande IT-beheerpartij monitoring kan verzorgen, of gebruik ingebouwde dashboards (bijv. Azure AD sign-in logs). Monitor actief op afwijkingen: stel alerts in voor dingen als meerdere mislukte logins (teken van password spraying), inloggen vanaf vreemde landen, of grote datadownloads buiten kantooruren. Maak iemand verantwoordelijk om wekelijks (of dagelijks) de lograpportages te bekijken. In je ISO 27001-project hoort dit bij de controles voor gebeurtenisregistratie en incidentdetectie. Leg drempelwaarden en responsacties vast: als er ’s nachts een admin-login plaatsvindt, wie krijgt er een melding en wat moet die doen? Door logging en monitoring te omarmen, ben je beter voorbereid om een aanval in de kiem te smoren.
Bewustwording: de menselijke firewall trainen
Waarom? Technologie helpt veel, maar menselijk handelen blijft cruciaal. Laundry Bear kwam binnen via phishingmails – en elke medewerker kan het doelwit worden van zo’n mail met een besmette bijlage of link. Een goed getrainde medewerker herkent verdachte berichten en klikt niet zomaar overal op. Bewustwording (awareness) is daarmee je laatste verdedigingslinie én vaak de zwakste schakel als je er niks aan doet.
Aanpak: Start een doorlopend bewustwordingsprogramma. Een jaarlijkse e-learning alleen is niet genoeg; probeer creatieve manieren om security top-of-mind te houden. Bijvoorbeeld: regel phishingsimulaties (stuur zelf test-phishingmails en bespreek de resultaten zonder blame, zodat men leert). Organiseer kennissessies of korte workshops waarin je uitlegt hoe een aanval zoals Laundry Bear in z’n werk gaat – maak het concreet en relevant, zodat mensen zich bewust zijn van de risico’s. Maak veilig gedrag onderdeel van de cultuur: beloon het melden van verdachte e-mails, deel successen (“Peter meldde een phishingpoging, daardoor hebben we een echt incident voorkomen, goed gedaan!”). Dit sluit aan op een van de NCSC basisprincipes: bevorder veilig gedrag. In ISO 27001 is awareness-training een verplichte maatregel; plan in je projectkalender regelmatig trainingsmomenten of communicatie-uitingen (bijv. een tweewekelijkse security tip in de nieuwsbrief). Met beperkte middelen kun je al veel doen: er zijn gratis posters en toolkits via Cyberveilig Nederland of het Digital Trust Center die je kunt hergebruiken.
Pentesten en oefening: test je weerbaarheid
Waarom? Wil je echt zeker weten dat al deze maatregelen werken? Dan is het slim ze periodiek op de proef te stellen. Een pentest (penetratietest) laat ethische hackers proberen in te breken, zodat je kwetsbaarheden ontdekt vóór de echte aanvaller dat doet. Ook kan een georganiseerde oefening (zoals een incident response drill of table-top scenario) helpen: je doorloopt stap voor stap een nagemaakt cyberincident om te zien of iedereen weet wat te doen. Voor NIS2 is het belangrijk aan te tonen dat je incidentprocedures getest en paraat zijn.
Aanpak: Plan ten minste jaarlijks een pentest op kritieke systemen. Je kunt kiezen voor een externe partij of – als budget krap is – gebruikmaken van bijvoorbeeld securityscan-diensten die via brancheorganisaties of het Digital Trust Center worden aangeboden voor mkb. Zorg dat bevindingen uit een pentest worden opgenomen als acties in je project of continu verbeterplan. Oefen ook interne processen: bijvoorbeeld, simuleer eens dat er een hack gaande is (papier en pen of in een meeting) en doorloop met het team wie wat zou doen. Dit onthult snel of jullie incidentresponseplan duidelijk en bekend genoeg is. Verwerk zulke oefeningen in je jaarplanning, net zoals je een brandalarm-oefening zou doen. Binnen ISO 27001 valt dit onder het testen van maatregelen en incidentrespons; je slaat dus twee vliegen in één klap: je verhoogt de veiligheid én voldoet beter aan de norm/eis.
Verwerk de adviezen in je projectplan (ISO 27001/NIS2)
Elk van bovenstaande maatregelen is geen losse taak, maar onderdeel van een groter geheel van cybersecurity in jouw organisatie. Als projectmanager kun je het verschil maken door deze acties gestructureerd in te bedden in je huidige project. Tip: Maak een aparte werkstroom of hoofdstuk in je projectplan voor “Laundry Bear maatregelen” of “NCSC-advies opvolging”. Inventariseer welke van de punten al gedekt zijn in jullie ISO 27001 of NIS2 scope en welke niet. De dingen die nog missen, krijgen een actie met eigenaar, deadline en benodigde middelen. Bijvoorbeeld: “Implementeren MFA op alle klantportalen – verantwoordelijke ICT-manager, klaar uiterlijk Q3, afhankelijkheden: upgrade licenties.” Op die manier creëer je overzicht.
Zorg ook voor managementbuy-in: leg in begrijpelijke taal uit dat deze maatregelen voortkomen uit overheidsadvies na een serieus incident. Koppel het desnoods aan bestaande risico’s in je ISO 27001 risk assessment (Laundry Bear’s technieken raken bijv. het risico “datalek door gestolen account”). Wanneer het management ziet dat dit zowel de veiligheid verhoogt als helpt te voldoen aan NIS2/ISO-eisen, is het draagvlak meestal snel geregeld. Reserveer indien nodig budget voor tools (zoals EDR of extra loggingcapaciteit) en training – benadruk dat dit een investering is in voorkomen van schade, en dat de kosten van een daadwerkelijk incident veel hoger zouden zijn.
Tot slot, hou het praktisch: begin klein als het moet, maar begin nú. Elke stap – een extra beveiligde login, een getrainde collega, een gelogde server – maakt je organisatie weerbaarder. Als mkb+ hoef je niet dezelfde middelen te hebben als een multinational om toch professioneel met digitale weerbaarheid om te gaan. Door slim te plannen binnen je project en gebruik te maken van beschikbare middelen (veel informatie en tools zijn gratis via NCSC/DTC), kun je met beperkte middelen tóch grote stappen zetten. Succes!
Bronnen: Gebaseerd op adviezen van NCSC (Laundry Bear publicatie), AIVD/MIVD, Cyberveilig Nederland en inzichten van Microsoft Security en MITRE ATT&CK.
