Blog: ‘Ik controleer of de deur echt op slot zit’

Om te zorgen voor een financieel gezond Nederland heeft de Belastingdienst veel informatie nodig. Het Security Operations Center (SOC) van de Belastingdienst bewaakt onze gegevens door voortdurend te speuren naar mogelijke kwetsbaarheden. Gerben is een van de technical leads van het SOC. Om scherp te blijven bij mogelijke cyberaanvallen trainde Gerben en zijn team onlangs samen met bijna 1.500 collega’s verspreid over 90 bedrijven en organisaties. "Je weet pas echt hoe de samenwerking gaat als er druk op staat."

Mijn werk gaat over de bescherming van de data en systemen van de Belastingdienst. We hebben ontzettend veel gegevens en Nederlanders moeten er op kunnen vertrouwen dat we daar zorgvuldig mee omgaan. Belanden die gegevens op straat, dan schaadt dat het vertrouwen. Juist dat vertrouwen is de basis van alles.

Speuren naar kwetsbaarheden

Bij het SOC monitoren we onder andere mogelijke signalen van fraude. Als iemand bijvoorbeeld 'Belasting-dienst.nl' als URL registreert, dan zitten we daar bovenop. Zo’n site kan gebruikt worden voor phishing waarbij criminelen zich voordoen als de Belastingdienst. Verder zoeken we naar kwetsbaarheden in onze eigen systemen, criminelen doen dat ook. Als Technical Lead doe ik de inhoudelijke aansturing van dit werk en zorgen we dat de deur ook écht op slot zit.

Samen sta je sterker en om onze verdediging tegen cybercriminaliteit zo sterk mogelijk te maken werken we samen met andere overheidsorganisaties. Bijvoorbeeld met het SOC van Rijkswaterstaat (RWS) en het NCSC (Nationaal Cyber Security Centrum). Daarnaast hebben we contacten binnen het bedrijfsleven.

Gijzelsoftware en een fictieve cyberaanval

Op 1 en 2 juni 2021 werd onze verdediging en onderlinge samenwerking echt op de proef gesteld tijdens de grootste nationale cybercrisisoefening: ISIDOOR. Deze realistische oefening werd onder andere voorbereid door het SOC, de Douane en de centrale ISIDOOR oefenleiding.

Wij deden tijdens deze dagen 2 oefeningen tegelijk; een landelijke casus én een nagebootste acute aanval bij de Douane. De laptops van 2 ‘groene’ collega’s werden erg traag en kregen de melding dat hun laptops en gegevens waren gehackt. Vervelende gevolgen konden alleen worden voorkomen door een betaling in Bitcoins binnen 14 uur.

Twitter, landelijke media; alles werd super realistisch nagebootst en vanuit Den Haag was de oefenleiding present met medewerkers van het SOC, CTO Office en Douane. We werden via diverse communicatiemedia benaderd. Bedenk dat het normale werk ook gewoon doorging en je snapt dat dit erg heftige dagen voor ons waren.

We zaten met een kleine groep op anderhalve meter samen in ons SOC en het was fantastisch om na zo’n lange periode weer op deze manier samen te werken. Sommige collega’s zag ik voor het eerst in het echt en het is fijn om zo weer met elkaar in een ruimte te kunnen werken.

Toen we er in slaagden om versleutelde code van de gebruikte malware zelf te ontcijferen voelde ik me trots. ‘Wow, mijn collega’s weten van wanten’, ging er door me heen.

Oefenen is echt noodzakelijk. Als je een paar keer hebt geoefend, dan test je de procedures en technieken en weet je hoe en wanneer je landelijk op moet schalen. Hier hebben we weer veel van geleerd.

Zelf maatregelen treffen

Voorkomen is altijd beter dan genezen. Voorlichting blijft ons grootste wapen. Dat doet de overheid met spotjes op radio en tv en op Belastingdienst.nl kunt u lezen hoe u criminelen een stapje voor blijft.

Meer info

• Alle informatie over het melden en herkennen van fraude op Belastingdienst.nl
• Over de oefendagen op de website van het Nationaal Cyber Security Centrum
• Wat u kunt doen tegen phising