'Hoe maken we Nederland digitaal weerbaarder? Dat is de vraag waar het NCSC zich 24/7 mee bezighoudt', vertelt Hielke. 'Onze taak is om organisaties die van vitaal belang zijn voor Nederland digitaal weerbaarder te maken. Daarnaast staat het NCSC klaar als het misgaat, dit noemen we incident respons.'

Omdat cybersecurity onvoorspelbaar is, weet een NCSC-specialist die op maandag naar kantoor gaat vaak niet wat de dag precies gaat brengen. 'Op een rustige dag analyseren we malware-samples of werken we aan een rapportage van een specifieke IT-dreiging. Maar het kan ook voorkomen dat een ransomware-aanval een rustige maandag verandert in een hectische dag waarbij we organisaties moeten adviseren of actief bij moeten staan. Ook werken we natuurlijk aan projecten om de weerbaarheid op lange termijn te verhogen.'

Neem bijvoorbeeld de ransomware-aanval van vorig jaar die de haven van Rotterdam trof. Als zo'n aanval net begint, is het nog niet meteen duidelijk wat de omvang en impact is. Een van de taken van het NCSC als het landelijke Computer Security Incident Response Team (CSIRT) is om dat helder te krijgen. 'Je krijgt signalen van organisaties die bepaalde malware zien, van internationale partners, bijvoorbeeld andere CSIRT's in het buitenland, en zoals in dit geval ook van de media', legt Hielke uit. 'Het nationale en internationale netwerk is voor het NCSC heel belangrijk: als een collega in het buitenland bijvoorbeeld al heeft gekeken naar wat de malware doet en wat het doel is, dan wil je niet twee keer hetzelfde wiel uitvinden.'

Het NCSC ondersteunt vooral organisaties die een belangrijke rol spelen in de vitale infrastructuur van het land. Denk daarbij aan organisaties binnen de Rijksoverheid, de financiële sector en de energiesector. Maar breder houdt het NCSC digitale dreigingen in het algemeen in de gaten, omdat dreigingen in alle sectoren zich kunnen ontvouwen tot een grootschalig incident waar iedereen last van krijgt. 'Uiteindelijk willen we natuurlijk de bakker op de hoek, maar vooral ook de vitale infrastructuur digitaal veilig houden. Daarvoor is samenwerking met onze partners van cruciaal belang', zegt Hielke.

Doordat organisaties onderling dreigingsinformatie met elkaar delen, kunnen partijen in de private en de publieke sector zich beter wapenen tegen cyberaanvallen. 'Hoe meer we weten over dreigingen, hoe ze zich ontwikkelen en hoe we de impact ervan beperken, hoe beter we de weerbaarheid van Nederland naar een hoger niveau kunnen tillen. Als we het hebben over de snel veranderende digitale wereld, kan zo'n dreigingsbeeld er 's middags opeens heel anders uitzien dan 's ochtends. Daarom kunnen organisaties die dreigingsinformatie via het NCSC delen. Dit doen we bijvoorbeeld binnen het Nationaal Detectie Netwerk (NDN). De grote meerwaarde van het NCSC hierbij is dat wij een compleet beeld hebben; niet alleen van de dreigingen, maar ook van actoren, belangen, processen en van verschillende organisaties in binnen- en buitenland.'

Het NCSC is dan ook vooral een kennis- en netwerkorganisatie, die de expertise heeft om te zien wat er aan de hand is en wat de impact daarvan is; op een individuele computer maar ook in heel Nederland. Een voorbeeld dat Hielke noemt is een kwetsbaarheid in een DNS-server. 'DNS-servers zorgen kort gezegd voor de vertaling van een domeinnaam naar een IP-adres. Een kwetsbaarheid die wordt misbruikt in de software die de meerderheid van DNS-servers draaien, kan potentieel enorme schade aanrichten op het wereldwijde digitale verkeer. De experts van het NCSC nemen de beschikbare oplossingen door en maken een inschatting van hoe eenvoudig de kwetsbaarheid te misbruiken is. En in zo'n geval geeft het NCSC wanneer nodig natuurlijk technische ondersteuning of advies aan organisaties die dat nodig hebben.'

Om een goede inschatting te maken van bepaalde dreigingen en kwetsbaarheden gebruikt het NCSC allerlei technieken en methoden. Eén daarvan is de inschalingsmatrix. De matrix combineert twee elementen: ten eerste, de kans op misbruik. Wat is de kans dat een kwetsbaarheid daadwerkelijk wordt misbruikt om bijvoorbeeld malware uit te voeren of digitaal in te breken? Ten tweede wordt de impact beoordeeld. 'Dat stellen we onder meer vast door te kijken naar de mogelijkheid van een DoS op infrastructuurniveau of de mogelijkheid om rootrechten te verwerven. Soms is deze informatie al voorhanden omdat er al een analyse is uitgevoerd door bijvoorbeeld een beveiligingsbedrijf of internationale partnerorganisatie. Als het onduidelijk is dan onderzoeken we dit zelf.'

Daarnaast zet het NCSC eigen experts in die bijvoorbeeld malware in een sandbox draaien om te zien wat er precies gebeurt, zodat de juiste maatregelen genomen kunnen worden. 'Dat vind ik met name gaaf aan mijn werk. Bij het NCSC lopen zoveel specialisten rond, maar ook generalisten. We leren elke dag van elkaar en dagen elkaar uit. Op die manier houden we samen het digitale landschap in Nederland scherp in de gaten om potentiële grote incidenten op te merken nog voordat ze zich voltrekken. Zo houden we Nederland digitaal veilig.'

Ben jij ICT'er en benieuwd hoeveel impact jij kan maken om de weerbaarheid van Nederland te vergroten? Kijk op werkenvoornederland.nl