How Fox-IT Secured the NATO Summit 2025

On 24 and 25 June, the NATO Summit 2025 took place in the World Forum congress building in The Hague. It was the first time since the establishment of NATO in 1949 that the Netherlands organised a NATO summit. Present were 45 heads of state and government, 45 foreign ministers and 45 defence ministers, about 6000 people representing different countries, plus more than 2000 journalists. In total, around 9000 people!

In addition to physical security, cyber security was of course also a top priority for the NATO summit. The entire IT infrastructure and cloud access had to be secured, as well as building systems that use that structure, such as surveillance cameras, climate control and the information screens (narrowcasting). The Ministry of Foreign Affairs, (co-)organiser of the summit, needed a security partner for cyber security. 

Fox-IT was chosen, not only because of our close cooperation with Dutch and international intelligence services, but also because of Fox-IT's approach: not a standard solution, but customisation, carried out by security experts with years of experience on site.

The threats that the summit could face were characterised by both sophisticated attack methods and the tenacity of potential attackers. Anything could be a target for cybercriminals and state actors. We were intensively involved in analysing all possible attack paths and minimising the attack surface. 

The technical challenges to achieve this were enormous, given the initially exceptionally large attack surface, both digital and physical, and the potentially highly sophisticated threats from state actors.

Customisation

Our team was responsible for a cohesive set of security services, all within a strategic security model that we had developed specifically for the NATO summit. To tackle this, we were able to apply our usual working method. That is, tailoring security to the specific context and needs of the organisation to be secured. These are exactly the same principles that apply to our services to organisations of all sizes and with less extreme threats.

Those security services included an in-depth threat analysis, a site survey, customised monitoring from a Security Operations Center (SOC) that we had on-site in the World Forum, a rapidly deployable Computer Emergency Response Team (CERT) that was on standby at the same location, and continuous red teaming to test defences. All carried out by a multidisciplinary team of five to eight cyber security specialists.

Great poise under time pressure

Compared to conventional security processes, the dynamics in the run-up to the NATO summit were very different. Vulnerabilities in organisations can usually be adjusted in phases, for example for budgetary reasons, whereby the risk that a system will remain vulnerable for a longer period of time is accepted.

But there was enormous time pressure, and everything had to function flawlessly during the two days that the summit lasted. This meant that the vulnerabilities found had to be solved immediately, so the cycle of detecting and fixing vulnerabilities was very short. And all this in an environment that consisted of IT infrastructure, endpoints, servers, applications, networks, network equipment, the cloud, internet access, telephony, surveillance cameras, digital signage TVs, climate control and access equipment.

From the beginning of January, Fox-IT carried out pen tests with a red team of three experts. The team has been working on this full time for months. They attacked everything that could be attacked. Initially, the IT applications were tested. The findings of the red team formed the basis for advice to the software builders.

In-depth threat analysis

Of course, we also carried out an in-depth threat analysis, using information from our relations up to the highest level. This analysis provided an overview of the whole that the top could have to deal with: who are the potential attackers, what attack methods do they use and what tools do they use. The analysis also provided clarity by also showing whether the 'front doors' were properly locked, but also whether there are back doors and how they are secured. We also mapped out interconnections and risks, such as the role of the cloud, which was essential for access security for the participants.

Finally, we determined the possible impact of threats: what we absolutely had to prevent and what had to happen if a system unexpectedly failed. All this provided the information needed to shut down the IT systems, while also taking into account insider threats and possible hacked equipment. Very important was also the site survey, which was much more focused on the entire building and in which all equipment 'with a cord' was looked at with a 'cyber view'.

Clear cohesion and the right mindset

But even if all vulnerabilities that are already known and found by pen testing have been resolved, there is still a risk that something will go wrong due to an unknown or missed vulnerability. We therefore absolutely wanted to provide the feeling of being in control. Not only by providing structure, overview, certainty that parts are safe, but also by organising prevention, detection and response in a clear coherence.

In our view, it is necessary for prevention to be set up with the right mindset, i.e., with the mindset of a hacker. Especially in complex environments, such as that of the NATO summit, there are a lot of details and context dependencies, and the usual frameworks and checklists do not touch that level. This can be compared to the peer review that is common within software development. Colleagues are able to see in detail where errors can be. Necessary, because it is precisely at that level of detail that mistakes often arise.

A hacker's mindset therefore means being able to think creatively about how mistakes can be exploited at a detailed level. State actors are investing in building this mindset and there is also enormous tenacity. Even layered security can hardly withstand this.

Immediate response

Vulnerabilities found during the prevention phase were fixed in collaboration with the supplier, either by a patch or by replacing the equipment. In some cases, fragile equipment was simply turned off. When setting up the detection, the focus was on customisation and I think we did the most customisation for the NATO summit that we have ever done for a customer. The customisation mainly included tailor-made detection algorithms, completely matched to the specific threats that we had mapped out in the threat analysis.

No matter how good prevention is, it can never be ruled out that an attacker will get through. Detection must determine this immediately, after which the response must also take immediate action. A tailor-made plan had also been drawn up for this, in which it was determined who should do what and when. In order to be able to respond as quickly as possible in the event of an incident, all teams were ready on-site.

In control from start to finish

The result of all these intensive tensions was that we were able to optimally seal the IT and all related systems at the NATO summit. And with success, so much so that potential attackers couldn't get through or were scared off to such an extent that they didn't even try.

For me, the highlight was that we were able to forge the consultancy, prevention, detection and response into one coherent whole. That created a good sense of control during the NATO summit. And I'm not just saying that — Pyke van Koutrik, IT project manager of the Ministry of Foreign Affairs, also indicated that thanks to the cooperation of the Cyber Emergency Response Team of the Ministry of Foreign Affairs, the Network Operating Center and the Fox-IT team, there was a sense of control from start to finish. 

Dutch version

Hoe Fox-IT de NAVO-top 2025 beveiligde 

Op 24 en 25 juni vond in het World Forum congresgebouw in Den Haag de NAVO-top 2025 plaats. Het was de eerste keer sinds de oprichting van de NAVO in 1949 dat Nederland een NAVO-top organiseerde. Aanwezig waren 45 staatshoofden en regeringsleiders, 45 ministers van Buitenlandse Zaken en 45 ministers van Defensie, ongeveer 6000 mensen die verschillende landen vertegenwoordigen, plus ruim 2000 journalisten. In totaal maar liefst rond de 9000 mensen! 

Naast fysieke beveiliging was natuurlijk ook cybersecurity een topprioriteit voor de NAVO-top. Niet alleen moest de gehele IT-infrastructuur en de cloudtoegang worden beveiligd, maar ook de gebouwsystemen die van die structuur gebruik maken, zoals bewakingscamera’s, klimaatbeheer en de informatieschermen (narrowcasting). Het ministerie van Buitenlandse Zaken, (mede)organisator van de top, had voor de cybersecurity een beveiligingspartner nodig.  De keuze viel op Fox-IT, niet alleen vanwege onze nauwe samenwerking met Nederlandse en internationale inlichtingendiensten maar ook vanwege de aanpak van Fox-IT: geen standaardoplossing, maar maatwerk, uitgevoerd door securityexperts met jarenlange ervaring op locatie.  

De dreigingen waarmee de top te maken zou kunnen krijgen werden gekenmerkt door zowel geavanceerde aanvalsmethoden als de vasthoudendheid van potentiële aanvallers. Alles kon een doelwit zijn voor cybercriminelen en statelijke actoren. Wij werden intensief betrokken bij het analyseren van alle mogelijke aanvalspaden en het zo klein mogelijk maken van het aanvalsoppervlak. De technische uitdagingen om dat voor elkaar te krijgen waren enorm, gezien het in eerste instantie uitzonderlijk grote  aanvalsoppervlak — zowel digitaal als fysiek — en de mogelijk zeer geavanceerde dreigingen van statelijke actoren. 

Maatwerk 

Ons team had de zorg voor een samenhangende reeks beveiligingsdiensten, allemaal binnen een strategisch beveiligingsmodel dat we speciaal voor de NAVO-top hadden ontwikkeld. Voor de aanpak hiervan konden we onze gebruikelijke werkwijze toepassen. Dat wil zeggen het afstemmen van de beveiliging op de specifieke context en behoeften van de te beveiligen organisatie. Het zijn precies dezelfde principes die gelden voor onze dienstverlening aan organisaties van elke omvang en met minder extreme dreigingen. 

Die beveiligingsdiensten omvatten een diepgaande dreigingsanalyse, een site survey, op maat gemaakte monitoring vanuit een Security Operations Center (SOC) dat we op locatie in het World Forum, een snel inzetbaar Computer Emergency Response Team (CERT) dat  op dezelfde locatie paraat stond, en continue red teaming om de verdediging te testen. Uitgevoerd allemaal door een multidisciplinair team van vijf tot acht cybersecurityspecialisten. 

Grote tijdsdruk 

Vergeleken met gangbare securitytrajecten was de dynamiek in de aanloop naar de NAVO-top heel anders. Meestal kunnen kwetsbaarheden bij organisaties vaak gefaseerd worden aangepast – bijvoorbeeld om budgettaire redenen – waarbij het risico men dat een systeem wat langere tijd kwetsbaar blijft wordt geaccepteerd. Maar nu was er enorme tijdsdruk en moest alles tijdens de  twee dagen dat de top duurde, vlekkeloos functioneren. Dat betekende dat de gevonden kwetsbaarheden meteen worden moesten oplost, de cyclus van kwetsbaarheden opsporen en verhelpen was dus zeer kort. En dat in een omgeving die bestond uit IT-infrastructuur, endpoints, servers, applicaties, netwerken, netwerkapparatuur, de cloud, internettoegang, telefonie, bewakingscamera’s, narrowcasting-tv’s, klimaatregeling en toegangsapparatuur. 

Vanaf begin januari voerde Fox-IT met een red team van drie experts pentesten uit. Het team is hier maandenlang full time mee bezig geweest. Zij vielen alles aan wat maar aan te vallen was. In eerste instantie werd begonnen met het testen van de IT-applicaties. De bevindingen van het red team vormden de basis voor advies  aan de softwarebouwers.  

Diepgaande dreigingsanalyse 

Natuurlijk hebben we ook een diepgaande dreigingsanalyse uitgevoerd, waarbij gebruik konden maken van informatie, afkomstig van onze relaties tot op het hoogste niveau. Deze analyse zorgde voor een overzicht van het geheel waarmee de top te maken zou kunnen krijgen: wie zijn de potentiële aanvallers, welke aanvalsmethoden hanteren zij en welke tools zetten zij in. De analyse gaf ook duidelijkheid door ook zichtbaar maken of de ‘voordeuren’  goed op slot zaten, maar ook of er achterdeurtjes zijn en hoe die beveiligd zijn. Ook brachten we onderlinge verbanden en risico’s in kaart, zoals de rol van de cloud die essentieel was voor de toegangsbeveiliging voor de deelnemers.  

Tot slot hebben we de mogelijke impact bepaald van dreigingen: wat moesten we per se voorkomen en wat moest er gebeuren als er een systeem onverhoopt zou falen. Dit alles leverde de informatie die nodig was om de IT-systemen dicht te t timmeren waarbij we ook nog rekening hielden met insider threats en mogelijk gehackte apparatuur.Erg belangrijke was ook de site survey, die veel meer op het gehele gebouw was gericht en waarbij met een ‘cyberblik’ naar alle appratuur ‘waar een snoer aan zat’ is gekeken. 

Heldere samenhang en de juiste mindset 

Maar ook als alle al bekende en door pentesten gevonden kwetsbaarheden zijn opgelost blijft het risico bestaan dat er iets door een onbekende of gemiste kwetsbaarheid misgaat. We wilden daarom absoluut zorgen voor het gevoel in control te zijn. Niet alleen door structuur, overzicht, zekerheid dat onderdelen veilig zijn te bieden, maar ook door preventie, detectie en respons in een heldere samenhang  in te richten. 

In onze visie is het voor preventie noodzakelijk om die met et de juiste mindset, dat wil zeggen met de mindset van een hacker, in te richten. Zeker in complexe omgevingen, zoals die van de NAVO-top bestaan er erg veel details en contextafhankelijkheden en de gangbare raamwerken en checklists raken dat niveau niet. Dat is te vergelijken met de met peer review die binnen softwareontwikkeling gangbaar is. Vakgenoten zijn in staat tot op detailniveau te zien waar fouten kunnen zitten. Noodzakelijk, want juist op dat detailniveau ontstaan vaak missers. Mindset van een hacker betekent dan ook creatief kunnen nadenken over hoe missers op detailniveau uitgebuit kunnen worden. Statelijke actoren investeren in het opbouwen van deze mindset en daar komt nog een enorme vasthoudendheid bij. Zelfs gelaagde beveiliging is hier nauwelijks tegen bestand. 

Onmiddellijke respons 

Tijdens de preventiefase aangetroffen kwetsbaarheden werden in samenwerking met de leverancier verholpen, hetzij door een patch  of door het vervangen van de apparatuur. In sommige gevallen werd kwetsbare apparatuur gewoon uitgezet. Bij het inrichten van de detectie lag de focus op maatwerk en ik denk dat we voor de NAVO-top het meeste maatwerk hebben verricht dat we ooit voor een klant hebben gedaan. Het maatwerk omvatte vooral op maat gemaakte detectiealgoritmen, hele afgestemd op de specifieke dreigingen die we in de threat analyse in kaart hadden gebracht.  

Hoe goed preventie de preventie ook is, het is nooit uit te sluiten dat er toch een aanvaller doorheen komt.  Detectie moet dat onmiddellijk vaststellen, waarna ook de respons direct in actie moet komen. Daarvoor was ook een op maat gemaakt plan opgesteld, warin was vastgelegd wie wat moet doen en wanneer. Om in geval van een incident zo snel mogelijk te kunnen reageren stonden alle teams on-site paraat.  

In control van begin tot einde 

Het resultaat van al deze intensieve spanningen was dat we de IT en alle daarmee samenhangende systemen op de NAVO-top optimaal hebben kunnen dichttimmeren. En met succes, zodanig dat  potentiële aanvallers er niet doorheen kwamen of zodanig werden afgeschrikt dat ze het niet eens hebben geprobeerd.  

Voor mij was het hoogtepunt dat we  de consultancy, preventie, detectie en respons tot  één  samenhangend geheel konden smeden. Dat zorgde voor een goed gevoel van controle tijdens de NAVO-top. En dat zeg ik niet alleen, ook Pyke van Koutrik, IT-projectmanager van het ministerie van Buitenlandse zaken gaf aan dat dankzij de samenwerking van Cyber Energency Resonse Team van het ministreie van Buitenlandse Zaken, het Network Operating Center en het team van  Fox-IT er vanaf het begin tot het einde gevoel van controle was.