Casus: cybersecurity-awareness aan het Paul Scherrer Institut in Zwitserland

Over het Paul Scherrer Institut

Cybersecurity is een van de grootste uitdagingen van het PSI: het heeft meer dan 2.100 medewerkers en 2.500 gastwetenschappers - waarvan een groot deel hun eigen devices gebruikt voor wetenschappelijk onderzoek, en 40% van alle systemen en applicaties worden decentraal beheerd. Het onderzoekscentrum krijgt op het vlak van cyberdreigingen vooral te maken met industriële spionage en (spear)phishing-aanvallen. “Naast de klassieke massale phishingmails worden we heel vaak geconfronteerd met uiterst doelgerichte aanvallen, zoals telefoontjes waarbij aanvallers de structuur van de interne organisatie proberen te achterhalen. Maar ook reverse-engineering-aanvallen en CEO-fraude komen geregeld voor”, vertelt Björn Abt.

Aanleiding start cybersecurity-awarenessprogramma

De aanleiding om te starten met een awarenessprogramma waren meerdere incidenten met cryptolockers in 2017. “We constateerden dat het meestal ging het om een gebruiker die (onopzettelijk) iets verkeerds had gedaan. Ons doel was om onze eindgebruikers bewuster maken van online gevaren en van de belangrijke rol die zij spelen in het cyberveiligheidsbeleid van ons onderzoekscentrum”, legt Björn Abt uit.

Het PSI schakelde een bedrijf in dat hen adviseerde en begeleidde bij het uitwerken van concrete campagnes. “Ze schreven onder meer artikelen voor de interne nieuwsbrief, creërden een concept voor posters en hielpen ons bij het vinden van de juiste bewoordingen en tone-of-voice in onze communicatie. We triggerden ook de nieuwsgierigheid van onze medewerkers, onder meer door een expert uit te nodigen voor een lezing over het dark web. Daar was veel interesse voor.”

Actie: USB-drop attack

In een volgende fase besloot het PSI om over te gaan tot een eerste concrete actie, die gesteund werd door het management. “Die bestond uit een 'USB-drop attack', waarbij we zo’n 50 USB-sticks met malware geleidelijk aan verspreidden over de hele organisatie, voornamelijk op plaatsen waar veel collega’s samenkomen: de printer, de koffiemachine, het bedrijfsrestaurant, enzovoort. Om de nieuwsgierigheid van de medewerkers nog extra te prikkelen, plakten we op de USB-sticks labels zoals “directors meeting”, “salary discussion”, “confidential”, enzovoort,' legt Björn Abt uit.

Verrassende resultaten

De resultaten waren verrassend: hoewel de helft van de USB-sticks door gebruikers gerapporteerd werd aan de helpdesk, werden er toch 10 sticks ingeplugd. Om het experiment te laten slagen, zorgde het PSI er voor dat de macro’s in de documenten op de USB toegelaten werden, zodat de ‘malware’ kon worden geïnstalleerd. Gebruikers werden naar een website geleid die hen meldde dat ze een fout hadden begaan door de USB-stick in te pluggen. Ze kregen ook richtlijnen en concrete tips & tricks mee en ze werden gevraagd om de sticks naar de helpdesk terug te brengen.

Doel: vertrouwen geven

De resultaten werden vervolgens – anoniem – verwerkt en gecommuniceerd naar de medewerkers via de wekelijkse interne nieuwsbrief. “Bedoeling was om onze collega’s vertrouwen te geven, niet om hen angst aan te jagen of aan de schandpaal te nagelen. In de periode na deze actie volgden nog verschillende artikelen over de risico’s van social engineering. De USB-drop attack heeft heel wat reacties teweeggebracht en na 3 jaar spreken collega’s er nog steeds over!”

Nog een actie: phishingtest

Een volgende actie was de simulatie van een phishingaanval. In totaal kregen 350 medewerkers een phishingmail in hun mailbox, 10% van de medewerkers van elke afdeling. “Die mail was opgesteld in een vaag taalgebruik met inhoudelijke en spellingfouten en vroeg medewerkers om in het kader van een upgrade van de mailserver in te loggen op de webmailserver. Een klein percentage van de medewerkers voerde daadwerkelijk zijn credentials in. Positief was echter dat er onmiddellijk na de verzending al een aantal medewerkers de mail hadden gerapporteerd aan onze service desk. Net zoals bij de USB-drop attack, gaven we de ‘slachtoffers’ meteen tips mee over de gevaren van phishing en hoe ze valse berichten kunnen herkennen.”

Technische maatregelen tegen phishing

De concrete aanleiding voor de phishingtest was een incident met ransomware. “Vaak begint dat met medewerkers die op een verdachte link klikken. Om vergelijkbare incidenten te voorkomen namen we ook technische maatregelen: we implementeerden software die 'behaviour based' werkt en ransomware detecteert voordat het in werking kan treden. De resultaten zijn uitstekend: waar we voorheen maandelijks met 4 à 5 succesvolle ransomwareaanvallen te maken hadden, hebben we nu geen enkele succesvolle aanval meer gehad”, aldus Björn Abt.

Impact van de coronacrisis

Ook tijdens de coronacrisis bleef het PSI niet gespaard van cyberaanvallen. “Het aantal medewerkers in onze organisatie dat thuiswerkte, steeg van 100 naar 1.800. Naast de risico’s die komen kijken bij de logistiek van tokens en laptops, zagen we ook een toename van 50 tot zelfs 100% meer phishingmails tijdens de COVID-19-crisis. Bij de uitbraak van de crisis startten we onmiddellijk met een ‘pandemic task force’ die meerdere keer per week samenkwam. Daarbij was er ook de nodige aandacht voor de communicatie naar onze medewerkers over hoe ze veilig online konden thuiswerken.”

Videocalls: behoeften van medewerkers zonder in te boeten op veiligheid

Het PSI beschikte voor de crisis al over een conference call systeem van SWITCH maar door de massale overstap naar thuiswerk moest er gezocht worden naar een systeem met een grote capaciteit. “Daarom hebben we besloten om het gebruik van Zoom en WebEx toe te staan, onder de voorwaarde dat een aantal veiligheidsmaatregelen in acht worden, bijvoorbeeld over wat mag je wel en niet mag delen. Zo konden we inspelen op de behoeften van onze medewerkers zonder in te boeten op veiligheid”.

En de toekomst?

Ook de komende jaren zal het PSI verder inzetten op de ontwikkeling van een awarenesscultuur. “Tot nog toe focusten onze campagnes zich op een algemene aanpak. Recent hebben we de maturity van onze verschillende interne doelgroepen laten meten. Momenteel zijn we bezig om een specifieke aanpak per groep uit te werken, met bijhorende content die is afgestemd op hun behoeften en voorkennis”.

Daarnaast ziet Björn Abt nog andere meer algemene uitdagingen: “De exponentiële toename van de data die we genereren, maakt dat connectiviteit en opslag nog belangrijker worden in de toekomst. Momenteel genereren onze onderzoekers een output van enkele petabytes per jaar, binnen enkele jaren zal dat met een factor 10 of 20 toenemen. Het beheer van deze gigantische hoeveelheden data is een grote uitdaging voor ons. Daarom zetten we in op het onderzoek naar het gebruik van ‘reduction technology', waarbij data worden herleid naar een grootte die gemakkelijker hanteerbaar is.

Over het Paul Scherrer Instituut en Björn Abt

Het Paul Scherrer Instituut (PSI) is het grootste onderzoeksinstituut voor natuur- en techniekwetenschappen in Zwitserland en verricht baanbrekend onderzoek op 3 belangrijke gebieden: materie en materialen, energie en milieu en menselijke gezondheid. Het PSI heeft 2.100 mensen in dienst, met een jaarlijks budget van ongeveer CHF 400 miljoen, en wordt voornamelijk gefinancierd door de Zwitserse Bondsstaat. Elk jaar komen meer dan 2.500 wetenschappers (meer dan 5.000 bezoeken per jaar) uit Zwitserland en de hele wereld naar het PSI om hun unieke faciliteiten te gebruiken voor het uitvoeren van experimenten die nergens anders mogelijk zijn.

Björn Abt ontwikkelde zijn vaardigheden vanuit een technisch-projectmatige achtergrond in de richting van IT-beveiliging. Dankzij de combinatie van gedegen technische IT-kennis en kennis op het gebied van IT-beveiliging kan hij PSI waardevolle diensten leveren. Door zijn werk in EU-projecten is hij actief betrokken bij een peers-netwerk, vooral in andere grote Europese onderzoeksinstellingen. Hij onderhoudt ook een professionele uitwisseling met IT-beveiligingsexperts in Zwitserland, vooral binnen het ETH-domein en via SWITCH met het hele Zwitserse universitaire landschap.

Dit is een bewerking van een artikel van GÉANT dat werd gepubliceerd in het kader van de CyberSecurityMonth 2020.