Een ict’er van dienstverlener Orange Business Services heeft per ongeluk meerdere vertrouwelijke documenten van de Europese politieorganisatie Europol via internet gelekt. Hij had de informatie op een network attached storage (nas)-schijf van Iomega opgeslagen die hij privé gebruikte. Op Iomega-schijven staat het wachtwoord standaard uitgeschakeld en als deze niet aangezet wordt, is een schijf via internet benaderbaar. KRO-televisieprogramma Reporter bracht het lek naar buiten.
Reporter deed de afgelopen tijd onderzoek naar computerrandapparatuur en deed verschillende schokkende ontdekkingen. Zo vond het programma lekken in printers van HP, Ricoh en Brother, in netwerkbeveiligingscamera’s van AVtech en in nas-schijven van Iomega, onderdeel van EMC. Vooral dit laatste lek ligt gevoelig, omdat nas-schijven erg veel data, en dus informatie, kunnen opslaan. Reporter vond wereldwijd in totaal zestienduizend ip-adressen van schijven van Iomega die in totaal dertig miljoen gigabyte aan schijfruimte via internet staan te lekken. In Nederland gaat het om twaalfhonderd schijven.
KLM, ING en Ballast Nedam
Via de Iomega-schijven kreeg Reporter inzage in vertrouwelijke en privacygevoelige informatie van verschillende bedrijven. Zo zag het van een medewerker van het bedrijf Jet Effectvie een kopie van zijn paspoort en kon het lezen hoe er vergunningen konden worden verkregen om tot beveiligde delen van Schiphol toegang te krijgen. Op hetzelfde Schiphol heeft vliegtuigmaatschappij KLM zijn beveiligde datacenter staan. Hier binnenkomen lukt zo goed als niet, maar informatie uit dat datacenter wordt ongemerkt wel verspreid door de directeur van het datacenter zelf. Hij neemt vertrouwelijke informatie van KLM op zijn Iomega-schijf mee naar huis.
Op de nas-schijf van de datacenterdirecteur van KLM vond Reporter ook calamiteitenplannen van bank ING. Het ging hier om informatie hoe te handelen bij computerproblemen. Ook wist het KRO-programma zich toegang te verschaffen tot concurrentiegevoelige informatie van Unilever en beursgevoelige informatie over toekomstige bouwprojecten van Ballast Nedam. Het lek dat Orange Business Servcies ontwikkelde bij Europol sprong het meest in het oog.
Europese Commissie
Orange Business Services is al jaren verantwoordelijk voor het wereldwijde wide area network (wan) van de Europese Commissie (EC). Europol is in Den Haag gevestigd en hierdoor zijn er vooral Nederlandse ict’ers bij de Europese politieorganisatie actief. Eén van hen sloeg informatie van het intranet van Europol op zijn privéschijf van Iomega op. Reporter vond dit via internet en vroeg zowel Europol als Orange om een reactie. Volgens Europol heeft Orange een probleem, maar levert het lek geen probleem voor de eigen organisatie op. Het Euopol-intranet is niet voor hackers toegankelijk geweest. De woordvoerder is niet verbaasd over het lek. Orange wilde in de uitzending niet reageren en geeft de eigen ict’er de schuld. Dergelijke informatie mag niet op privéapparaten worden opgeslagen. De ict-dienstverlener probeerde nog wel via kort geding de uitzending van Reporter te voorkomen, maar ving bot bij de rechter.
Tegenover Computable wilde Orange Business Services wel reageren. Hoofd marketing en communicatie van de Benelux Francine Linzell hamert er vooral op dat er geen klanten in gevaar zijn geweest. ‘Het probleem zat bij één iemand zijn persoonlijke harde schijf. Daar stond oudere klantinformatie op. Toen we hierop attent werden gemaakt, hebben we direct de impact bekeken. Al snel constateerden wij dat niemand in gevaar was. We hebben beleid dat werkgegevens niet op privéapparaten opgeslagen mogen worden en dat beleid wordt verder aangescherpt. Zo gaan we technische maatregelen doorvoeren zodat dergelijke informatie niet meer dan op de daarvoor bestemde zakelijke apparaten opgeslagen kan worden.’
Meer klantgegevens gelekt
Linzell betreurt het lek en vindt dat Orange Business Services adequaat heeft gehandeld. ‘We hebben direct een assessment gemaakt en alle klanten ingelicht waarvan er gegevens gelekt waren.’ Naast Europol ging het namelijk om meer klantgegevens. Winzell wil niet zeggen om hoeveel klanten het gaat of welke bedrijven het betreft. Zij bestempelt cybercrime als ‘een groot maatschappelijk probleem’. ‘Dat is ook de reden dat wij via kort geding hebben geprobeerd om de uitzending van Reporter te voorkomen. We willen namelijk niet hackers op ideeën brengen. Uiteindelijk mocht de uitzending onder enkele voorwaarden doorgaan. Dat is goed, want het is belangrijk dat dit soort problemen worden aangekaart.’
Hoezeer de Orange consultant ook aanspreekbaar is, persoonlijk vond ik de reactie van de directeur van het KPN datacenter schadelijker voor onze beroepsgroep. Je hand voor de camera houden alsof je zojuist bent overvallen door ‘TROS opgelicht’ en daarna snel weer door de draaideur naar binnen. Liet echt een heel professioneel beeld achter….
Een déjà vu en ik ben geeneens een security specialist. Toch zie ik het ook geregeld, vooral bij telecombedrijven. Een collega van mij is wel security specialist. Hij voert quick scans uit bij potentiële klanten met enkele tientallen tot duizenden automatiseerders onder contract. Die zouden toch echt wel voldoende kennis in huis moeten hebben om algemeen bekende lekken te dichten of te voorkomen. Toch is het meestal snel raak. Vaak zijn meerdere eenvoudig te voorkomen lekken. Een tip over 1 beveiligingsgat krijgen ze gratis op discrete wijze aangereikt, en daarna uiteraard de vraag of ze een meer diepgaande betaalde scan willen. Slechts een klein deel reageert, waarvan een deel weer met “nee dat kunnen we wel zelf oplossen”. Na controle blijkt het meestal niet of maar ten dele gebeurd te zijn.
Conclusie, de meeste grote ICT-afdelingen en ingehuurde ICT-dienstverleners bieden slecht beveiligde ICT-diensten aan. Ze weten het, maar wachten gewoon af totdat ze tegen de lamp lopen. En dan proberen ze de boodschapper met behulp van woordvoerders en advocaten, neer te sabelen en spreken van “een losstaand incident”.
Vertrouwelijke data van klanten van je werkgever meenemen en op een privé NAS zetten is niet professioneel (al lopen privé- en werkomgevingen steeds meer door elkaar vanwege het nieuwe werken en BYOD). Maar als je als ICT-er die NAS niet zelf beveiligt, dan mag je toch wel even gaan nadenken wat je vak is. De medewerker van Orange moet zich natuurlijk niet van kant maken, maar hij/zij moet het gebeuren wel als leermoment zien. Dat geldt net zo goed voor de opdrachtgevers zoals KLM, Unilever en Europol. Men is vaak slordig bij het uitbesteden en cloud computing.
Richard Jonker, je hebt natuurlijk gelijk m.b.t. de reflex van de fabrikanten. Maar een ICT-er kan zich niet verschuilen achter fabrikanten of achter leveranciers. Als beheerder heb je een eigen verantwoordelijkheid. Natuurlijk kan het alsnog mis gaan. Dat kan echt iedereen overkomen, maar dan heb je wel je professioneel best gedaan.
Als IT professionals onder elkaar. Wie hier heeft thuis een soortgelijke opstelling of een dedicated internet server waarbij gevoelige informatie via het internet benaderbaar is? En houdt u dan ook bij of die opstelling ook zwakke plekken bevat en handelt u hier ook naar door regelmatig security patches uit te voeren?
Het beleid van Orange om dit soort gevoelige informatie niet privé op te slaan lijkt mij voor iedere IT’er een no-brainer. Maar blijkbaar is niet iedereen zich daar bewust van. Daarom komen dit soort incidenten dagelijks voor en zal uiteindelijk lijden tot nog meer beperkende (onzin) regeltjes die de vrijheid van het internet nog meer beknotten.
Jan, het is een kwestie van functies scheiden. Dat weet elke ict-er. Thuis heb ik aparte omgevingen voor mijn werk, testen en privé. Werkomgevingen zijn up-to-date met router, firewall en anti-malware software. De meeste collega’s die ik ken doen dat ook. Ze gebruiken ook vaak Linux en OS-X.
Juist op het werk lopen de zaken door elkaar. Illegaal downloaden op het werk is een voorbeeld. Maar het zijn vooral bazen die BYOD verkeerd gebruiken en commerciële afdelingen die ontwikkelaars geen tijd geven om website goed te beveiligen.
Redactie, jammer van die kop; net doen alsof het een iOmega probleem is. Je hebt ook (lege) standaard(master)wachtwoorden bij Cisco, LinkSys, NetGear, Nortel, Alcatel en vele tientallen andere hardware leveranciers en tevens bij nog meer softwareleveranciers zoals Apple, Oracle en Microsoft. Daarvan zijn lijsten op het internet te vinden, met vaak enkele duizenden gebruiker-wachtwoordcombinaties.