Bankoverval - Lessons learned voor een SOC

Door Robert Metsemakers 12 dec 2017

Organisatie van IB Incident management Cybersecurity

Toen ik tien jaar oud was, liep ik een keer vanuit school naar het huis van mijn grootouders om daar te gaan theedrinken. Ik passeerde het café, de slijterij, de banketbakker en de sigarenwinkel in het laatste rijtje huizen. Ja, mijn opa woonde daar op die hoek heel mooi!

Net toen ik de hoek van zijn huis wilde omgaan, zag ik een vrouw met kinderwagen midden op de weg stilstaan en aandachtig naar het postkantoor kijken. Dat lag, ongeveer veertig meter verder, schuin tegenover het huis van mijn opa. Over die Tilburgseweg denderde de hele dag, dwars door het dorp Goirle, veel zwaar vrachtverkeer en ook veel personenauto’s stoven voorbij. Die vrouw viel mij daarom op. En die auto met draaiende motor, aan mijn kant van de weg met de neus naar België gericht, was ook opvallend. Want je mocht daar vlak voor de onoverzichtelijke bocht niet parkeren. En de bestuurder in de auto stond bovendien vlak naast het meest stinkende urinoir van het dorp. Dat wist elke Goirlenaar. Op dat moment kwam een man het postkantoor uitgerend. Je kon daar geld storten en opnemen wist ik. En omdat de man een geweer in beide handen droeg, realiseerde ik me ook direct dat er een bankoverval gaande was en dat nog een tweede rover zou volgen met de buit. In mijn dorp! In die tijd waren er regelmatig fysieke bankovervallen (cyber crime was nog niet uitgevonden). Er waren toen ook meer afzonderlijke banken dan nu: de Amsterdamsche en Rotterdamsche Bank waren nog niet samen, laat staan samen met de Algemene Bank Nederland. De Coöperatieve Centrale Raiffeisen-Bank en de Coöperatieve Centrale Boerenleenbank moesten nog fuseren tot Rabobank. En al die banken “steunden op een flinke kluit poen”, om het maar eens in het Bargoens te zeggen...

In de zijmuur van mijn opa’s huis zaten nog granaatscherven en kogels van de Duitse soldaten uit de Tweede Wereldoorlog. Maar het huis stond er nog steeds en zou mij ook tegen die paar kogels uit dat oude geweer met houten kolf van die bankrover wel kunnen beschermen. Daarom besloot ik snel het huis in te gaan. Ik rende het steegje naar de tuin in en herinnerde me dat, volgens krantenartikelen over bankovervallen, omstanders vaak vergaten om het kenteken van de vluchtauto te noteren. Ik keek nog even om het muurtje, onthield het nummer en liep door naar de keuken. Mijn oma had daar op een vaste plaats een blocnote met pen op het aanrecht liggen. Zo was er altijd genoeg eten en drinken in huis. En ze kon steeds haar inspiratie kwijt, waardoor ze regelmatig prijzen won met slagzinnen voor producten en winkels. “Zij die het weten.... Gaan bij Borger’s Steakhouse eten!”, dat soort werk.

Mijn ouders zaten al aan de thee met mijn grootouders. Met de koekjes hadden ze nog op mij gewacht. Ik noteerde snel het kenteken en draaide me langzaam om. “Wat schreef je op?”, was hun logische vraag. Ging die kleine nu óók al strijkijzers winnen? Terwijl ik de rechtermouw van mijn denkbeeldige politie-uniform straktrok, zei ik zo nonchalant mogelijk: “Ze hebben net het postkantoor aan de Tilburgseweg overvallen. Minstens één van de mannelijke daders is zwaarbewapend met een geweer, vermoedelijk een Lee Enfield. De vluchtauto, met kentekennummer 12-34-XY, verdween met hoge snelheid in zuidelijke richting. Vermoedelijk naar Poppel, de eerste plaats over de Belgische grens, ongeveer tien kilometer verderop.” Dat van de Lee Enfield was een best guess. Als jochie wist ik wel schrikbárend veel over de wapens die – aan beide kanten – werden gebruikt in zowel het Wilde Westen als in de Tweede Wereldoorlog, maar ook weer niet alles. Maar het was zeker geen modern wapen. Mijn vader stond op, pakte het briefje, streek over mijn haar en complimenteerde me. “Goed gedaan jongen”, zei hij, “maar je kunt dit beter niet tegen de politie zeggen. Voor je het weet, staan die daders bij ons als getuige op de stoep.” Hij verdween uit de keuken. Ik pakte mijn kop thee en ‘enkele’ koekjes en ging in de huiskamer, zoals elke week, Avro’s Televizier en de Panorama lezen. Totdat ik met mijn vader en moeder weer naar huis zou gaan. Na enige tijd keerde mijn vader terug in de keuken, we namen afscheid en reden naar ons eigen huis, ook in Goirle.

De volgende dag stond in het krantenartikel over de bankoverval, dat een jonge moeder met de schrik was vrijgekomen en dat de gevaarlijke daders waren aangehouden bij de Belgische grens. En dat dit allemaal was dankzij een oplettende sigarenboer, die de tegenwoordigheid van geest had gehad om het kenteken te noteren. Weliswaar in een kinderhandschrift, maar wel juist. Ik was licht teleurgesteld over de gang van zaken, maar wel blij dat mijn vader me in bescherming had genomen. Zeker toen enige tijd later de bewuste sigarenboer werd overvallen in zijn eigen winkel.

Mijn gedrag van toen is te vergelijken met de diverse noodzakelijke activiteiten van een Security Operations Center nu.

Ik kwam plotseling in een voor mij onverwachte situatie terecht. Maar ik wist al wel uit de krant dat bankovervallen bestonden (opleiding), hoe het eraan toe ging met wapens en snelle vluchtauto’s en dat die gevaarlijk waren voor omstanders (scenario-analyse). Ik wist dat er een bank met geld was tegenover het huis van opa en oma (kroonjuwelen in kaart). Ik kende de normale verkeersstromen goed genoeg om de vrouw en de vluchtauto als opvallende zaken te signaleren (anomaliedetectie). Ik kon door mijn wapenkennis de ernst van het incident inschatten (threat analysis). Ik kon zelfs door de combinatie van het wapen, het parkeren naast het urinoir en de rijrichting van de vluchtauto, een globale daderanalyse (attributie) doen. Ik paste een lesson learned toe (uit evaluatie van eerdere incidenten), door in de drukte wèl op het kenteken te letten. Ik deed aan risicobeperking (containment, of salvage) door mezelf eerst in veiligheid te brengen. Er was een logboek beschikbaar, waarin alle informatie (hoofdzaken, maar ook belangrijke details) gemakkelijk konden worden vastgelegd en dat deed ik ook echt. Mijn vader, als manager, nam mij als boodschapper in bescherming. Ik gaf een korte, zakelijke omschrijving van het waargenomen incident (situational awareness). Mijn vader en moeder en opa en oma als “hogere managementlaag” geloofden mij meteen. Ze begonnen niet over “Wéét je dat, of denk je dat?” of “Nu doe je een aanname, misschien ging hij wel heel vlug naar de schietvereniging en was hij zijn foedraal vergeten?”. Dat vertrouwen was voor hen ook gemakkelijk te geven, omdat ik als waarnemer expliciet aangaf wat ik zeker wist (een bankoverval) en waar ik over twijfelde (exacte type geweer en dus het mogelijke aantal kogels) (intelligence reporting). En ze beseften dat ik, ondanks mijn jonge leeftijd, inderdaad veel over wapens wist en voelden na tien jaar samenleven ook wel aan, dat ik dit niet zomaar zou verzinnen, compleet met een autokenteken (trust your expert). Daarna werd ik als waarnemend agent (of analist) bewust met rust gelaten, zodat de betreffende experts (de politie) aan het werk konden om de zaak op te lossen. Ook dat laatste geef ik als tip aan security operation centers: wanneer je al je SOC-medewerkers specialist noemt, accepteer dan ook dat ze ieder één ding hebben waar ze heel goed in zijn. Gebruik dat specialisme (waarnemen, aanvoelen, inschatten, benoemen, duiden et cetera) en zet andere uitvoerders en experts in om alle specialismen, zo effectief mogelijk, breed in uw organisatie in te zetten. Vanuit een TEAM-gedachte: Together Everyone Achieves More.

Drs. Robert Metsemakers RA RE CISSP heeft een rijk arbeidsverleden bij Achmea en diens voorgangers in verschillende security en audit functies. Deze column is op persoonlijke titel geschreven. Robert is bereikbaar via metsemakers@live.com.