Het calamiteitenteam voor netwerkbeveiligingsincidenten Govcert.nl voorziet netwerkbeheerders bij de overheid in een vroeg stadium van informatie over kwetsbaarheden in software en andere beveiligingsproblemen. Van deze vroege alarmbellen valt veel te leren.
| Scan van beveiliging Bij ministeries en andere bij Govcert.nl aangesloten instanties bestaat veel interesse voor de penetratietesten die het team uit kan voeren. Bij zo’n test wordt de informatiebeveiliging van een organisatie op drie niveaus gewogen. Er wordt gekeken of het technisch mogelijk is om van buiten mailservers en andere internetvoorzieningen binnen te dringen. Daarnaast wordt er van binnen het bedrijfsnetwerk naar de procedures rond netwerkbeveiliging binnen de organisatie gekeken. Als laatste komt de menselijke factor in informatiebeveiliging aan bod. Er wordt gecontroleerd of met trucs, wachtwoorden, ip-adressen en andere vertrouwelijke informatie los te peuteren valt. Deze scan helpt organisaties om hun beveiligingsplan te verbeteren. |
Telefoontje
Door deze informatie in een vroeg stadium te verspreiden kunnen netwerkbeheerders zich voorbereiden op eventuele aanpassingen in hun systemen. In maart 2003 kreeg De Jong op een vrijdag, vroeg in de ochtend, van een collega Cert-instantie uit Australië doorgeseind dat er een gemakkelijk uit te buiten en kritiek lek aangetroffen was in de populaire mailsoftware Sendmail. Door het lek te misbruiken konden hackers systeemrechten op de aangevallen mailservers verkrijgen. Inhoudelijke informatie over de kwetsbaarheid zou pas na het weekeinde op maandagmiddag naar buiten gebracht worden, gelijk met het lapmiddel dat het probleem in Sendmail moest verhelpen.
“Diezelfde vrijdagochtend heeft Govcert.nl zijn aangesloten leden telefonisch gemeld dat er een ernstige kwetsbaarheid ontdekt was in Sendmail. Op maandagmiddag zou meer informatie volgen, samen met het uitbrengen van de aanpassingssoftware voor dit programma”, vertelt De Jong. Dat weekeinde volgde het team met grote waakzaamheid de ontwikkelingen rond Sendmail. Zodra het geplande nieuws aan het eind van de maandagmiddag loskwam stond het team klaar om in de hoogste versnelling een adviesbericht over het onderwerp uit te brengen. “De kwetsbaarheid is nauwelijks misbruikt en Sendmail-systemen zijn in korte tijd met aanpassingen opgelapt”, aldus De Jong.
Informatiepoel
Govcert.nl haalt veel van zijn informatie bij collega-Certteams. Veel van die informatie wordt uitgewisseld via niet voor het reguliere publiek toegankelijke mailinglijsten. Daarnaast struint het team openbare bronnen af, zoals websites van Cert-organisaties en websites van anti-virussoftwareleveranciers. Verder is er regelmatig overleg met nationale en internationale teams. In Nederland overlegt Govcert.nl om de twee maanden met andere calamiteitenteams van telecom- en internetaanbieders. Ook de banken zijn bij dit overleg betrokken. Eens in de zoveel tijd vergadert een afvaardiging van het Govcert.nl-team met beveiligingsexperts van deelnemende overheidsorganisaties die zij met waarschuwingsberichten van informatie voorzien.
Het team draait elke dag van de week operationele diensten van negen uur ’s morgens tot elf uur ’s avonds. Tijdens deze diensten werken twee mensen samen aan het monitoren van de systemen, controle van de informatiebronnen en het informeren over een incident als er iets misgaat. De taken en verantwoordelijkheden van dit duo zijn strikt verdeeld. De één houdt zich bezig met de controle van alle externe informatiebronnen, de bronnenchecker. De ander concentreert zich op het bijhouden van de loggingsbestanden uit het eigen netwerk. Buiten deze diensten is Govcert.nl oproepbaar door andere Cert-teams en experts uit de achterban als zich calamiteiten voordoen.
Als er een incident plaatsvindt, dan wordt er een aantekening van gemaakt in het systeem. Deze informatie krijgt labels om het te duiden. Zo wordt aangegeven of de informatie vertrouwelijk of openbaar is en of het bevestigd is of juist niet. Als er schade dreigt te ontstaan voor de achterban of als de kans daarop erg groot is, dan wordt er een bericht gemaakt dat uitgestuurd kan worden naar de doelgroep. Voordat dit gebeurt wordt er samen met de technisch manager bekeken of het versturen van een mailbericht afdoende is of dat er ook sms-berichten uitgestuurd moeten worden. Bij deze beslissing wordt ook het belang van de doelgroep voor wie de informatie bedoeld is gewogen. Naast beveiligingsexperts bij de aangesloten instanties voorziet Govcert.nl via de Waarschuwingsdienst ook consumenten en kleine bedrijven van beveiligingsinformatie.
De flink toegenomen virusactiviteit op internet begin dit jaar heeft de druk op Govcert.nl vergroot. “De pizza’s zijn niet aan te slepen als Microsoft op superdinsdag de kwetsbaarheden in zijn software en de aanpassingen daarvoor presenteert en het team deze informatie bewerkt om het door te kunnen spelen aan de achterban”, aldus De Jong. In heel 2003 stuurde Govcert.nl 420 alarmberichten uit. Dat is in de eerste vier maanden van dit jaar al 171 keer gebeurd.< BR>
