Heel vaak denkt de directie van een bedrijf of organisatie dat de beveiliging van de geautomatiseerde systemen een kwestie is voor de it-afdeling. Het 'C-level' houdt zich liefst afzijdig en vermoedt dat het alleen om techniek gaat. Een gesimuleerde aanval op de bedrijfssystemen door T-Systems laat zien dat er heel wat vragen ontstaan die een directie moet beantwoorden. 'Wil je nu de politie erbij halen, en het risico lopen dat ze jouw servers in beslag nemen?', vraagt prof. dr. Marco Gercke, directeur van het Cybercrime Research Institute, streng. Hij leidt de fake aanval.
Het mag dan zo zijn dat de DDoS-aanvallen met 15 procent zijn afgenomen in het tweede kwartaal van dit jaar ten opzichte van het kwartaal ervoor (Akamai State of The Internet Q2 2014), het aantal volumetrische aanvallen (gericht op de OSI-lagen 1-4) is toegenomen. Het wordt er niet veiliger op. Reden om in de Troonrede al te zeggen dat Europa meer moet doen aan het tegengaan van cybercrime. Koning Willem-Alexander gaf aan dat er tal van zaken zijn die grensoverschrijdend moeten worden aangepakt. Zoals het energie- en klimaatbeleid. Maar dus ook de georganiseerde misdaad, inclusief cybercrime.
Eerder had zijn moeder in de Troonrede van 2007 al gezegd dat ‘het bestrijden van criminaliteit via internet en van fraude in 2008 meer aandacht moet krijgen’. Beveiliging van systemen is meer dan eens nodig.
Temeer daar uit een recent, wereldwijd onderzoek van BT blijkt dat databeveiliging en het vertrouwen in cloud-gebaseerde diensten een snelgroeiende zorg vormen voor it-beslissers bij grote organisaties. Hoewel 70 procent van de ondervraagden wel gebruik maakt van cloud-opslag en web-applicaties, is hun vertrouwen in cloud-beveiliging nog nooit zo laag geweest.
Geen wonder dat onder meer T-Systems testen kan uitvoeren om de technische onvolkomenheden in geautomatiseerde systemen bloot te leggen. Maar met de Cyber Incident Simulation gaat het bedrijf een stap verder: het wil laten zien hoe gebrekkig de organisatorische aspecten rond beveiliging zijn geregeld.
Aanval
Prof. dr Marco Gercke, directeur van het Cybercrime Research Institute, vertelt regelmatig te worden ingeschakeld door de Navo en de Duitse overheid. Hij werkt nauw samen met T-Systems bij het opstellen van de simulaties. Soms, zoals in dit geval, leidt hij de nagebootste aanval.
Het begint met een eenvoudige e-mail aan de uitgeverij, die eist dat er een positief artikel moet worden gepubliceerd over een bepaalde actiegroep in een van de uitgaven van het bedrijf. Zo niet, dan volgen acties die gevolgen zullen hebben voor de bedrijfsvoering.
De eerste vraag van Gercke is: ‘Jij bent de cio. Het mailtje komt bij jou binnen. Wat ga je doen?’. Een vraag die herhaaldelijk wordt gesteld gedurende het rollenspel: ‘Wat ga je doen?’. Je zet natuurlijk de it-technici aan het werk om na te gaan waar de mail vandaan komt (blijkt niet te achterhalen), of er vreemd verkeer is geconstateerd en dergelijke. Om te voorkomen dat de hacker de web-uitgaven gaat vervalsen, komt de vraag naar voren of alle internetverbindingen van het bedrijf moeten worden afgesloten. ‘Of ga je in op de eis van de hacker? Wil je een positief artikel publiceren? Hoe dan ook: hier liggen meteen twee vragen voor de directie. Want toegeven aan chantage is een beleidsbesluit. En dat geldt ook voor het afsluiten van alle internetverbindingen. Er zijn immers contractuele verplichtingen met adverteerders op de online uitingen.’
Gaandeweg tijdens de hack, blijkt dat de aanvallen een tweet hebben rondgestuurd vanaf het adres van de uitgeverij met de inhoud dat Obama grondtroepen stuurt naar Irak in de oorlog met IS. De tweet heeft meteen gevolgen voor de beursnoteringen van bedrijven. Ondertussen komen er steeds dreigender mailtjes binnen. De fake cio zit tijdens deze fake aanval heftig te zweten om het gevaar af te wenden. ‘Je ziet dat dit geen zaak van de cio alleen is’, stelt Gercke vast. ‘Steeds moeten er beleidsbeslissingen worden genomen.’
Draaiboek
Knut Schönfelder, verantwoordelijk voor Cyber Security Strategy and Programs bij T-Systems International, zegt dat zijn bedrijf regelmatig door organisaties benaderd te worden om een hack simulatie te doen. ‘Dat doen we ter plekke en met gegevens en systemen van het bedrijf zelf’, zegt hij. ‘We pakken dat heel serieus aan. Het doel is dat er een draaiboek ontstaat waarin is vastgelegd welke mogelijke aanvallen er kunnen zijn. En welke respons dan geboden is. Daarbij geef je aan – niet onbelangrijk – waaruit die respons moet bestaan en wie daarbij betrokken zijn. Elke keer als wij bij een organisatie de test doen, ervaren ze dat als een eye opener. Ze denken vaak alles in orde te hebben; de firewalls, intrusion prevention systemen en zo, maar Twitter bijvoorbeeld wordt vaak buiten beschouwing gelaten.’
Hij vertelt dat het bedrijf helpt bij het opstellen van het draaiboek, en dat de organisatie, net zoals bij brandoefeningen, regelmatig in de praktijk moet nagaan of alles nog naar behoren is geregeld.
InfoSecurity
Ook geïnteresseerd in securityvraagstukken op directieniveau? Kom dan op 29 en 30 oktober 2014 gratis naar de InfoSecurity in de Jaarbeurs in Utrecht. Voor meer informatie en inschrijven ga ja naar http://www.infosecurity.nl.
Op zicht een goed initiatief, maar wellicht dat een compleet onafhankelijk instituut of organisatie beter zo’n onderzoek kan uitvoeren. Het is immers niet in het belang van T-Systems om aan de klanten te tonen dat haar cloudservices zwakheden in de beveiliging vertonen.
Verder is de interne beveiliging van de applicaties geregeld door haar klanten zelf en is de totale beveiliging zo sterk als de zwakste schakel. Dus als die klanten zelf de beveiliging niet op orde hebben, kunnen zij daar straks, als de nieuwe EU Data Protection wetten een feit zijn, verantwoordelijk voor worden gesteld in geval van een Data Breach.
Zoals in het (prima!) artikel al staat aangegeven zijn er veel bedrijven die na het inrichten van de technische security oplossingen (Firewalls, IPS, IDS, access management, etc.) denken dat ze veilig zijn. Ook tijdens onze gesprekken met bedrijven komt de uitspraak: “Bij ons komt niemand binnen” veelvuldig langs. Met de beste technische oplossingen blijf je als organisatie hartstikke kwetsbaar als je het beleid en onveilig gedrag van management en medewerkers niet hebt meegenomen bij de maatregelen. Security is niet de verantwoordelijkheid van de CEO of “De IT afdeling”. Iedereen binnen een organisatie (van hoog tot laag en van links naar rechts) draagt een stukje verantwoordelijkheid om de kroonjuwelen van het bedrijf te beschermen. Van alle security incidenten wordt 40% veroorzaakt door menselijk handelen. Security awareness is daarom van groot belang. Iedereen moet bewust zijn van het feit dat die bedrijfsinformatie waarmee je zo gewend bent te werken voor andere (kwaadwillende) mensen héél veel waard kan zijn. Het hebben van een goed beleid, inzicht in de informatie, incident management (incl. draaiboeken), security awareness programma, stimuleren van het gebruik van secure coding technieken, etc. is de basis van alles. De nieuwe Europese Privacy wetgeving zal dergelijke zaken bij bedrijven gaan afdwingen. Ook dit moet bij iedereen in de organisatie bekend zijn aangezien incidenten straks kunnen leiden tot hoge boetes. Wij staan achter het regelmatig checken van het beleid op het gebied van security en privacy. Veel bedrijven moeten nu nog beginnen met het opstellen van een beleid op het gebied van informatiebeveiliging. Met vriendelijke groet, Rob Koch (Sebyde BV)
Een zaak voor de directie, nee, het koningshuis. En wat doen de IT-beslissers zelf ? “Hoewel 70 procent van de ondervraagden wel gebruik maakt van cloud-opslag en web-applicaties, is hun vertrouwen in cloud-beveiliging nog nooit zo laag geweest.”
Goed bezig.
In het artikel verder, is toegeven aan chantage een reele optie. Anders wordt de hacker boos.
Je kunt ook naar Engeland vluchten.