De aankondiging van KPN dat een server met persoonsgegevens van klanten en bedrijven is gehackt is slechts een voorbeeld van de continue dreiging vanuit cyberspace. Over het afgelopen jaar zijn er meerdere voorbeelden aan te wijzen waarbij de beveiliging van vooraanstaande bedrijven en overheden werd doorbroken, waarbij er vaak ook data werd gestolen. Recent kwam ook de gebrekkige beveiliging van de Waterschappen [1] en Baby-Dump aan het licht.
Verder kijkend dan de krantenkoppen zijn er twee zaken die ik zeer zorgwekkend vind; ten eerste de manier waarop organisaties hun beveiliging hebben opgebouwd, en ten tweede de manier waarop zij reageren wanneer cybercrime toeslaat. Het lijkt erop dat organisaties geen strategie hebben om cybercrime te voorkomen of zich niet bewust zijn van de risico’s die ze lopen.
Ik ben van mening dat bedrijven die vertrouwelijke informatie beheren, of dat nu data van hun eigen klanten is of dat deze wordt beheerd voor derden, een grote verantwoordelijkheid dragen. En die moeten ze ook nemen. Een besef van de urgentie is hierbij van groot belang. Vraag u zich wel eens af: Hoeveel data beheer ik? Welke risico’s loop ik als deze informatie gestolen wordt? Hierbij kunt u denken aan persoonsgegevens, maar denk ook aan bedrijfskritische geheimen zoals recepturen, plannen of technologie waar jaren van onderzoek en investering in zit. En vergeet zeker ook niet de risico’s van merk- en imagoschade.
Een voorbeeld waarbij dit slecht heeft uitgepakt is het bedrijf Diginotar dat in september 2011 failliet werd verklaard nadat door een hack vertrouwelijke informatie op straat kwam te liggen, vooral omdat zij niet afdoende beveiligd waren én het misbruik lange tijd werd verzwegen. Aan de andere kant is er het beveiligingsbedrijf RSA dat sterker uit de aanval is gekomen, met name door hun adequate reactie en openheid.
Er is sprake van een toenemende noodzaak voor een beveiligingsplan en een proactieve benadering, die verder reikt dan het jaarlijks updaten van de firewall software. Dagelijks worden we geconfronteerd met aanvallen door niet alleen diegenen met een crimineel-commerciële agenda, maar steeds vaker ook door (‘me-too’) activisten die hun doel kracht willen bijzetten, of reputaties en bedrijven willen beschadigen. Dit is geen cyber-bedreiging meer, dit is cyber-realiteit – en dit zal niet minder worden.
De noodzaak voor effectieve en efficiënte beveiliging wordt verder versterkt door een aantal huidige trends in het bedrijfsleven:
- De grenzen van het bedrijfnetwerk vervagen, bijvoorbeeld door het gebruik van meerdere apparaten (pc’s, laptops, tablets en mobiele telefoons) die niet allemaal door het bedrijf zelf worden verstrekt en beheerd (Onderzoek IDC en BT Benelux: 'mobiliteit grootste zorg voor Nederlandse CIO’s') – maar die wel in verbinding staan met het bedrijfsnetwerk via het mobiele- of Wi-Fi-netwerk.
- De beweging naar cloud-gebaseerde diensten. Niet alleen is 'de cloud' in principe overal toegankelijk, het introduceren van cloud-gebaseerde oplossingen heeft vaak het centraliseren van data tot gevolg.
- IT afdelingen hebben geen tijd, budget of mankracht alle systemen te beveiligen. Vaak ontbreekt ook bewustzijn van de risico’s en daarmee draagvlak op directieniveau.
- Data, waaronder e-mail, wordt vaak niet versleuteld.
- Daarbij bevat alle softwarecode fouten, en dit zal nooit veranderen.
Je kunt het vergelijken met schaken; het is zaak om vooruit te denken en om elke keer als de tegenstander een zet doet, deze te blokkeren. Daarbij kan worden gewerkt met zogenaamde ‘ethical hackers’; die denken en doen als hackers, en maken ook gebruik van de laatste middelen die hackers ter beschikking staan. Echter, zij gaan niet verder dan het rapporteren van de problemen die zij ontdekken – en streven zo cybercrime een stap voor te zijn. Maar zelfs een meesterschaker verliest af en toe een partij.
Geen one size fits all
De beveiligingsbehoefte voor digitale data kan verschillen per bedrijf en is afhankelijk van welke data beschermd moet worden. Zij die de noodzaak van een adequate beveiliging inzien, kiezen een proactieve benadering en passend beveiligingsbeleid. Naast bedreigingen van buitenaf, zoals hackers, bestaat er ook de noodzaak voor beveiliging tegen risico’s van binnenuit. Hierbij kun je denken aan vertrouwelijke informatie die vanuit het bedrijf lekt, veelal zonder dat men dat in de gaten heeft.
Er ligt hier een grote verantwoordelijkheid voor ict-dienstverleners om hun klanten passende oplossingen te bieden, zodat zowel zakelijke- als privé-informatie niet op straat komt te liggen. Want zolang de sociale en economische waarde van onze netwerken groeit, zo blijven ook de motieven om deze aan te vallen groeien…
Je hebt kunnen zien dat er bij de KPN van alles fout is gegaan. Beheerstechnisch, technische ondersteuning, security, interne en externe communicatie en wat mij persoonlijk het hoogst heeft verbaasd, dat men ogenschijnlijk niets maar dan ook niets begrijpt van de basale regels van incident en problem management en helemaal niets van IT Crisis management.
Stelt u zich eens voor dat een hele eenvoudige check van die lijst, die de betreffende hacker claimde ‘vrij’ te hebben gegeven, vrijwel de helft van de ellende had kunnen voorkomen, dan zegt dat al heel erg veel.
Als naar voren komt, in een poging tot opening van zaken en verklaren naar klant en publiek, ‘imago communicatie’, volkomen de mist in is gegaan doordat bekend werd gemaakt dat men drie weken daarvoor al hacks had ontdekt, en werkte met verouderde systemen en systemen waarvan de updates al ‘geruime tijd’ niet waren toegepast, dan heeft men een totaal ander probleem.
Als laatste wil ik dan ook even naar voren brengen dat recentelijk dhr.Blok van KPN, aan de vaste kamer commissie voor jusitie en veiligheid heeft aangegeven het niet nodig te hebben gevonden de aandeelhouders te informeren(!!) dan ben ik bang dat KPN totaal andere problemen heeft.
Een van de grootste problemen is namelijk dat men hoger in de KPN hiërarchie geen enkel benul heeft van de wetmatigheden en merites die IT eigen is en waarom IT zich zo beweegt. Men geeft tegelijkertijd blijk geen enkel idee te hebben hoe de processen op te moeten zetten die evenzijdig en evenredig samen gaan met die materie. En als laatste, door sanering op sanering toe te passen, de meest goedkope krachten weer in te zetten waar de senior ‘oudere’/’duurdere’ krachten het veld mochten ruimen, doe je een regelrechte aanslag op je technische continuïteit met dit als gevolg.
In dit geval weet ik niet wat kostbaarder is. Deze aaneenschakeling van ‘murphys law in domino’ of de naam en reputatieschade. Dat men moet uitspreken zich ervan bewust te worden de klant de focus moet zijn en niet de organisatie(??)
In alle ‘simplicity’, dit alles had zeer eenvoudig voorkomen kunnen worden.
One size fits all niet mogelijk?
Au’ contraire. Het is wel degelijk mogelijk een one size fits all procedure te bedenken die zomaar 90% van de materie ‘overkapt’. Waarom niet? IT is er om zaken te vereenvoudigen en gebruik te maken van werkende principes. De reden dat juist die wetmatigheid faalt? Doordat men de werkende principes van IT veronachtzaamd.
Laat ik hierbij beginnen bij wet nummer 1. “Never Asume, Always Verify!”
Een vergelijking met schaken heb ik ook gemaakt in de opinie bijdrage ‘A fool with a tool: schaken in de cloud’ Want mobiliteit en connectiviteit zorgen in combinatie met onwetendheid inderdaad voor nieuwe risico’s. De mens blijft uiteindelijk de zwakke schakel in de beveiliging waardoor risico’s veel weg hebben van de legende waarin uitvinder van het schaakspel een rijstkorrel op het eerste veld en een verdubbeling op elk volgende vraagt. Terecht wordt aandacht gevraagd voor de personeelsingang die vaak nog wagenwijd openstaat door allerlei nieuwe toevoegingen zoals mobiliteit en connectiviteit. Alle dure beveiligingmaatregelen zijn echter nutteloos als gebruikers zonder nadenken informatie de cloud in pompen, deze delen op sociale netwerken of meenemen naar huis. Een proactief beveiligingsbeleid begint dus eerst met een bewustwordingscampagne, zoals banken ons eerder waarschuwden voor ‘phising mails’
Bij eventuele inbraak is het natuurlijk goed dat er openheid van zaken gegeven wordt maar dat laten winkels ook vaak achterwege waarna achteraf blijkt dat het niet om de inhoud van de kas ging maar skimmen. Criminelen kiezen tenslotte voor de weg van de minste weerstand en waarom dus de dame op het bord aanvallen als de pionnen aan de randen veel makkelijker zijn? De wetmatigheid van NumoQuest dat ‘Assumption the mother is of all fuckups’ is dus een wetmatigheid op zich zelf zoals we kunnen leren van DigiNotar en recentelijk KPN. Er wordt namelijk niet alleen vaak aangenomen dat de andere kant van de keten de zaken op orde heeft maar ook vertrouwd op de gebruiker zelf. Als deze dezelfde wachtwoorden voor verschillende systemen gebruikt, deze opschrijft of zijn werkplek onbeveiligd open laat staan tijdens lunch dan blijven technische maatregelen doelloos. En een ethical hacker kan/mag uiteindelijk alleen maar dat testen wat binnen eigen verantwoordelijkheid valt terwijl de niet gebonden hackers ‘out-of-the-box’ denken. Deze krijgen toegenomen connectiviteit en mobiliteit dus steeds meer mogelijkheden krijgen om nieuwe openingszetten te bedenken.