Task Force Hybrid Shield wil kritieke infrastructuur beter beschermen. Dit wil het bereiken door een combinatie te maken tussen fysieke en digitale security. Nassau420 levert de fysieke component, Tesorion de digitale. Waarom is dit initiatief er gekomen? Wat is het precies? En welke opties hebben organisaties die hun hybride security willen verbeteren?
Die kritieke infrastructuur moet zich steeds beter wapenen tegen dreigingen van buitenaf. Vooral pogingen tot sabotage van “statelijke actoren” verdienen de aandacht. Dat zijn aanvallers die direct aangestuurd worden door overheden, dan wel onderdeel uitmaken van overheden van andere landen. De namen van die landen kan vrijwel iedereen wel zo’n beetje invullen: Rusland, China, Noord-Korea, Iran staan dan al vrij snel op het lijstje. Erik de Jong, Chief Research Officer bij Tesorion, noemt in gesprek met ons vooral Rusland bij naam. We zien fysieke aanvallen op kritieke infrastructuur dagelijks in Oekraïne.
Het mag duidelijk zijn dat de kritieke infrastructuur aandacht verdient. Vandaar ook dat er nieuwe wetgeving aankomt. Allereerst is er uiteraard de Cyberbeveiligingswet. Dat is de ‘vertaling’ van de NIS2-richtlijnen vanuit de Europese Unie, die in 2026 eindelijk helemaal in werking zal treden in Nederland. Daarnaast komt er in de loop van 2026 ook nog de Wet Weerbaarheid Kritieke Entiteiten. Deze komt dan weer voort uit de Europese CER-richtlijn (Critical Entities Resilience Directive). Goed om te weten is dat bestuurders verantwoordelijk worden voor de naleving van beide wetten. Cybersecurity is dus expliciet geen louter technische exercitie meer.
Task Force Hybrid Shield
Bovenstaande werkelijkheid is een aanleiding geweest voor Nassau420 en Tesorion om de handen ineen te slaan en het Task Force Hybrid Shield op te zetten.
Tesorion komen we gedurende het jaar geregeld tegen; in artikelen, maar ook aan rondetafels en podcasts. Deze Nederlandse leverancier van MDR-, IR-, Red Team- en consultancy-diensten heeft behoorlijk wat in huis om organisaties bij te staan in de strijd tegen cyberaanvallen. Het bedrijf heeft veel klanten die zich tot de kritieke infrastructuur van Nederland mogen rekenen.
Nassau420 was een bedrijf dat we voordat we in gesprek gingen met CEO Daan Dohmen nog niet kenden. Op zich is dat niet zo heel vreemd overigens. Het is immers geen IT- of cybersecuritybedrijf. Nassau420 houdt zich echter wel bezig met de maatschappij weerbaarder maken. Daar zit een overlap in met wat Tesorion doet. Daar speelt cyberweerbaarheid een belangrijke rol. Nassau420 gebruikt de kennis en kunde van onder andere special forces (elite-eenheden uit de krijgsmacht) om vooral fysieke weerbaarheid te trainen bij organisaties.
Special forces en red teams lijken op elkaar
Op het eerste gezicht lijkt de gezamenlijke missie van Nassau420 en Tesorion wellicht wat vergezocht. Want wat hebben special forces nu met het beveiligen van kritieke infrastructuur te maken? “Special forces zijn getraind om met zo weinig mogelijk effort een zo groot mogelijk effect te realiseren”, geeft Dohmen aan.
Voor special forces betekent bovenstaande werkwijze onder andere fysieke sabotage, bijvoorbeeld bij een aanval op kritieke infrastructuur. “We krijgen steeds meer te maken met al dan niet door statelijke actoren uitgevoerde aanvallen [op kritieke infrastructuur, red.], om moedwillig chaos te creëren”, stelt Dohmen. De aanvallers willen dan niet eens zozeer binnenkomen, maar vooral zaken kapot maken en ontregelen.
In feite is de weg van de minste weerstand en grootste impact ook hoe hackers te werk gaan bij het beramen van cyberaanvallen. Red teaming bij Tesorion houdt in dat men daar met de mindset van een hacker naar de IT-omgeving van een organisatie kijkt en op zoek gaat naar zwakke plekken en ingangen. Ook via de cyberroute kan er veel kapotgemaakt worden als het gaat om kritieke infrastructuur. De koeling uitzetten van een belangrijk datacenter kan veel apparatuur stuk laten gaan, om maar een voorbeeld te noemen.
We zagen recent nog dat de combinatie van eenvoud en impact niet enorm ingewikkeld hoeft te zijn. Een ethisch hacker wist in acht uur tijd van Anthropic’s Claude LLM een malware-fabriek te maken. Als je er maar op de juiste manier naar kijkt, is het vaak mogelijk om zelfs geavanceerde defensieve maatregelen op een relatief eenvoudige manier te omzeilen.
De juiste blik, op verschillende niveaus
De achterliggende gedachte van Task Force Hybrid Shield is duidelijk. Door het combineren van fysieke en digitale securitydreigingen kan het een beter beeld geven aan organisaties wat deze moeten veranderen. De grote vraag is hoe organisaties de juiste kijk op de zaak krijgen. Ze zitten niet allemaal op hetzelfde niveau qua volwassenheid als het gaat om weerbaarheid. En voor verschillende lagen van de organisatie heeft weerbaarheid ook een andere implicatie. Vandaar dat Task Force Hybrid Shield is opgedeeld in meerdere niveaus.
Het eerste niveau van Task Force Hybrid Shield richt zich op bestuur en directie van een organisatie. Dit is een sessie met onder andere een workshop die bij de organisatie gegeven wordt. Het tweede niveau wil vooral de crisisteams van organisaties goed voorbereiden. Dit kun je zien als het uitvoeren van missies die een combinatie zijn van een klassieke cyberrange met ook een fysieke component. Het gaat hierbij vooral om het handelen onder druk en het ontwikkelen van leiderschap in die situatie.
Bovenstaande twee niveaus kun je zien als de basis. Als die eenmaal op orde is, kan er naar red teaming gekeken worden. Het derde niveau bestaat uit een papieren aanval op de organisatie. Daar komen risico’s uit en concrete verbeterpunten. Een vierde niveau, dat niet op de officiële website staat, maar wel aangehaald wordt tijdens ons gesprek, is die van fysieke red teaming. Dat wil zeggen, dan gaan mensen daadwerkelijk aan de slag om een organisatie aan te vallen en te ontregelen.
Niet compliance-gedreven
Met Task Force Hybrid Shield spelen Nassau420 en Tesorion in op nieuwe wetgeving. Dat is duidelijk. Datgene wat ze aanbieden, is echter niet verplicht om te kunnen voldoen aan de eisen die in die wetgeving gesteld worden, geeft De Jong aan. Dat is wat ons betreft een goede zaak, want dat betekent dat dit geen onderdeel is van een compliance-lijstje met vinkjes. Met andere woorden, het is iets waar organisaties daadwerkelijk met hun volle verstand zelf voor hebben gekozen. Dat moet de bewustwording ten goede komen, schatten we in.
Volgens Dohmen is die bewustwording een belangrijke maat voor het succes van Task Force Hybrid Shield. “Het is voor ons een succes als het besef doordringt dat veiligheid geen vinklijstje voor compliance is, maar dat daadwerkelijke bedreigingen een rol spelen. Er worden nu heel doelbewust specifieke sectoren getarget”, volgens hem.
Een wat ons betreft interessante uitspraak die Dohmen tijdens ons gesprek doet, is dat het op het gebied van bewustwording vooral om de eenvoud draait. Net zoals de aanvallers vaak op ogenschijnlijk eenvoudige manieren binnen kunnen komen, kunnen verdedigers ook relatief eenvoudige maatregelen nemen. “Hoe simpel moet je denken”, is hierbij een belangrijke vraag. Soms kan het zo simpel zijn als het bewaren van reserve-onderdelen op een andere locatie, geeft Dohmen aan.
Doe wel iets met de uitkomsten
Wij kunnen dan wel enthousiast worden van het feit dat een gecombineerde red team laten uitvoeren geen onderdeel is van compliance-lijstjes, het kan er potentieel ook voor zorgen dat organisaties de uitkomsten minder serieus nemen. Nu zal dat risico niet zo groot zijn, omdat die organisaties er immers zelf voor hebben gekozen om het te laten uitvoeren. Toch benadrukt De Jong voor de zekerheid dat het uitvoeren van de test je “niet ontslaat van de verantwoordelijkheid”. Er komen heel duidelijk dingen uit die beter moeten om de eigen weerbaarheid en die van de keten waar organisaties deel van uitmaken als geheel te verbeteren.
Daarnaast zitten er ook allerlei haakjes aan de uitkomsten die gesprekken met bijvoorbeeld CISO’s beter kunnen kaderen. Die kijken vanzelfsprekend goed naar de Cyberbeveiligingswet en de Wet Weerbaarheid Kritieke Entiteiten. De uitkomsten van wat Task Force Hybrid Shield aanbiedt aan klanten kunnen daar goede haakjes voor bieden. Zo kan deze niet-verplichte extra assessment en/of gecombineerde red team onderaan de streep wel een (grote) positieve impact hebben op de weerbaarheid van organisaties.