Een ict’er van dienstverlener Orange Business Services heeft per ongeluk meerdere vertrouwelijke documenten van de Europese politieorganisatie Europol via internet gelekt. Hij had de informatie op een network attached storage (nas)-schijf van Iomega opgeslagen die hij privé gebruikte. Op Iomega-schijven staat het wachtwoord standaard uitgeschakeld en als deze niet aangezet wordt, is een schijf via internet benaderbaar. KRO-televisieprogramma Reporter bracht het lek naar buiten.
Reporter deed de afgelopen tijd onderzoek naar computerrandapparatuur en deed verschillende schokkende ontdekkingen. Zo vond het programma lekken in printers van HP, Ricoh en Brother, in netwerkbeveiligingscamera’s van AVtech en in nas-schijven van Iomega, onderdeel van EMC. Vooral dit laatste lek ligt gevoelig, omdat nas-schijven erg veel data, en dus informatie, kunnen opslaan. Reporter vond wereldwijd in totaal zestienduizend ip-adressen van schijven van Iomega die in totaal dertig miljoen gigabyte aan schijfruimte via internet staan te lekken. In Nederland gaat het om twaalfhonderd schijven.
KLM, ING en Ballast Nedam
Via de Iomega-schijven kreeg Reporter inzage in vertrouwelijke en privacygevoelige informatie van verschillende bedrijven. Zo zag het van een medewerker van het bedrijf Jet Effectvie een kopie van zijn paspoort en kon het lezen hoe er vergunningen konden worden verkregen om tot beveiligde delen van Schiphol toegang te krijgen. Op hetzelfde Schiphol heeft vliegtuigmaatschappij KLM zijn beveiligde datacenter staan. Hier binnenkomen lukt zo goed als niet, maar informatie uit dat datacenter wordt ongemerkt wel verspreid door de directeur van het datacenter zelf. Hij neemt vertrouwelijke informatie van KLM op zijn Iomega-schijf mee naar huis.
Op de nas-schijf van de datacenterdirecteur van KLM vond Reporter ook calamiteitenplannen van bank ING. Het ging hier om informatie hoe te handelen bij computerproblemen. Ook wist het KRO-programma zich toegang te verschaffen tot concurrentiegevoelige informatie van Unilever en beursgevoelige informatie over toekomstige bouwprojecten van Ballast Nedam. Het lek dat Orange Business Servcies ontwikkelde bij Europol sprong het meest in het oog.
Europese Commissie
Orange Business Services is al jaren verantwoordelijk voor het wereldwijde wide area network (wan) van de Europese Commissie (EC). Europol is in Den Haag gevestigd en hierdoor zijn er vooral Nederlandse ict’ers bij de Europese politieorganisatie actief. Eén van hen sloeg informatie van het intranet van Europol op zijn privéschijf van Iomega op. Reporter vond dit via internet en vroeg zowel Europol als Orange om een reactie. Volgens Europol heeft Orange een probleem, maar levert het lek geen probleem voor de eigen organisatie op. Het Euopol-intranet is niet voor hackers toegankelijk geweest. De woordvoerder is niet verbaasd over het lek. Orange wilde in de uitzending niet reageren en geeft de eigen ict’er de schuld. Dergelijke informatie mag niet op privéapparaten worden opgeslagen. De ict-dienstverlener probeerde nog wel via kort geding de uitzending van Reporter te voorkomen, maar ving bot bij de rechter.
Tegenover Computable wilde Orange Business Services wel reageren. Hoofd marketing en communicatie van de Benelux Francine Linzell hamert er vooral op dat er geen klanten in gevaar zijn geweest. ‘Het probleem zat bij één iemand zijn persoonlijke harde schijf. Daar stond oudere klantinformatie op. Toen we hierop attent werden gemaakt, hebben we direct de impact bekeken. Al snel constateerden wij dat niemand in gevaar was. We hebben beleid dat werkgegevens niet op privéapparaten opgeslagen mogen worden en dat beleid wordt verder aangescherpt. Zo gaan we technische maatregelen doorvoeren zodat dergelijke informatie niet meer dan op de daarvoor bestemde zakelijke apparaten opgeslagen kan worden.’
Meer klantgegevens gelekt
Linzell betreurt het lek en vindt dat Orange Business Services adequaat heeft gehandeld. ‘We hebben direct een assessment gemaakt en alle klanten ingelicht waarvan er gegevens gelekt waren.’ Naast Europol ging het namelijk om meer klantgegevens. Winzell wil niet zeggen om hoeveel klanten het gaat of welke bedrijven het betreft. Zij bestempelt cybercrime als ‘een groot maatschappelijk probleem’. ‘Dat is ook de reden dat wij via kort geding hebben geprobeerd om de uitzending van Reporter te voorkomen. We willen namelijk niet hackers op ideeën brengen. Uiteindelijk mocht de uitzending onder enkele voorwaarden doorgaan. Dat is goed, want het is belangrijk dat dit soort problemen worden aangekaart.’
Een juiste inschatting van de gevoeligheid van je gegevens is wel belangrijk, lijkt me, het college van bescherming persoonsgegevens zegt daar wel goede dingen over (http://www.cbpweb.nl/Pages/av_23_Beveiliging.aspx).
Mijn netwerk harde schijf is dan wel netjes met wachtwoord beveiligd, maar de vertrouwelijkheid van onze documenten is erg laag.
Overigens wordt het open staan van een schijf pas een probleem als de beveiliging (WPA/WPA2) van de modem/router gekraakt is. Of stond die van genoemde personen open? Dat lijkt me sterk, en zou wel erg dom zijn.
Bewust ermee omgaan is in dit soort gevallen wel het belangrijkst, want technische oplossingen werken nooit of zelden. Orange kondigt aan technische maatregelen te nemen maar die maken het werken in zo’n organisatie vaak erg lastig, en als je perse wilt is het altijd wel weer te breken.
Blijkbaar rammelt bij alle betrokken partijen de beveiliging op zowel technisch als proces-vlak en tussen de oren.
Vraag is wel waarom op het Europol-netwerk de USB-poorten blijkbaar open staan. Want dan kan elk willekeurig USB-opslagapparaat in de trein blijven liggen.
Orange mag dan zeggen dat geen klanten in gevaar geweest zijn, maar dat lijkt me niet juist.
Als Orange IT medewerkers in diens heeft die niet eens zo’n simpele thuis nas kunnen beveiligen, dan mag je je sterk afvragen of het complexere werk dat deze IT-ers bij klanten uitvoeren wel deskundig is.
@j. De Lange:
Een consumenten-NAS kan je ook vaak via andere protocollen benaderen (bv. http(s), ftp(s) dus het is niet gezegd dat je per sé op het netwerk moet komen om op die NAS te komen.
Het is dus waarschijnlijk dat deze persoon zijn NAS via zo’n protocol kon benaderen, maar ergens een standaard wachtwoord niet heeft aangepast.
“Overigens wordt het open staan van een schijf pas een probleem als de beveiliging (WPA/WPA2) van de modem/router gekraakt is. Of stond die van genoemde personen open? Dat lijkt me sterk, en zou wel erg dom zijn.”
Ik denk dat de meeste mesnen de apparaten rechtstreeks met een kabeltje aan de modem/router hangen in de meterkast. Dan is wifi beveiliging niet aan de orde dus.
WPA/WPA2 beveilging is hier niet aan de orde. Dit is alleen maar een encryptie tussen bijv. de netwerkschijf en de (thuis) router. Deze netwerkschijven zorgen er (automatisch) voor via waarschijnlijk upnp dat ze bereikbaar zijn vanaf het internet. Standaard staat er geen of een default wachtwoord op dit soort mogelijkheden. Als je die vervolgens niet aanpast kan iedereen bij je gegevens.
Simpel scenario: Consultant mailt bijlagen naar zichzelf, slaat deze thuis op op zijn NAS, zich niet realiseren dat deze apparaten tegenwoordig zo gebruiksvriendelijk als mogelijk zijn.
Accessibility is-the-most-important thing 😉
Nu hopen dat de “schuldige” een wat sterker gestel heeft dan de telefoniste van een Engels ziekenhuis anders moet KRO reporter ook huilen, zo had die het namelijk nooit bedoeld! (http://www.nu.nl/buitenland/2978525/dj-in-tranen-dood-verpleegkundige-kate-middleton.html )
Het toegang verkrijgen van op het internet geplaatste gegevens zonder daarvoor een authenticatie-methode te omzeilen/kraken is volgens het burgerlijk boek van strafrecht geen ‘crime’.. Dus cybercrime is niet van toepassing, wel grove nalatigheid. Voor de rest weer een groot voorbeeld dat je verantwoordelijkheidsbesef niet kan outsourcen.. ( je kan door een onafhankelijk bedrijf maandelijks audits laten uitvoeren bij je cloud provider en bonussen uitbetalen per gevonden misstand, maar levert alleen angst op de werkvloer op en verdoezelpraktijken).. Niet alles kan je outsourcen of in de cloud brengen dus, tenzij die omgevingen dusdanig beveiligd worden, dat de cloud provider zelf op geen enkele manier de data kan ontsleutelen en het applicatie/OS-beheer door de verantwoordelijken zelf worden gedaan.
Please excuse my English – much easier to write.
I guess I know why, as an owner of Iomega NAS device, why, surprisingly, I received an email from Iomega pointing out that:
IF I had enabled remote access AND I had not set an administrative password I was at risk.
I knew this already, the documentation was quite plain about this, years ago.
So, imho, what this comes down to, is lack of professionalism by the people involved – first and foremost. Read manuals.
Yes, companies are embarressed, and worse, confidential data is “out there” where it should not be.
If you want to help, speak with colleagues about the importance of practicing what we preach – as professionals.
A lot more can be said of course, but the first place to begin with securing IT is with ourselves – and our habits. Hopefully, more people will think before they act – even if it is just reading the warning messages in the manual and dialogs.
Er vallen in deze zaak een paar dingen op.
1 De reflex van de fabrikanten om meteen de schuld op de gebruikers te schuiven
2 De arrogantie bijvoorbeeld door klachten of problemen niet serieus te nemen, niet terug te bellen, dingen pas volgend jaar te fixen
3 Het gebrek aan realiteitsbesef; natuurlijk moet je als fabrikant zorgen dat remote access alleen mogelijk is na diverse pop-ups, waarschuwingen en het aanvinken van een paar features die standaard uit moeten staan.
4 Gebruiksgemak mag nooit ten koste gaan van beveiliging, tenzij de gebruiker hier bewust voor kiest na eerst geconfronteerd te zijn met de risico’s.