Defensie is in 2014 doelwit geworden van grootschalige digitale spionage-aanvallen. De aanvallen op het netwerk en de ict-infrastructuur van toeleveranciers en bondgenoten nemen toe. Bovendien zijn ze steeds geavanceerder en agressiever. Spear phishing en watering holes zijn de meestgebruikte aanvalsmethoden. Dat staat in het openbaar jaarverslag 2014 van de Militaire Inlichtingen- en Veiligheidsdienst (MIVD). Daarin verantwoordt de dienst zijn inzet en handelwijze.
‘Sommige tegenstanders vallen op door de grootschaligheid waarmee zij bedrijfsgegevens of gevoelige overheidsinformatie proberen te stelen terwijl andere bij hun activiteiten veel meer gebruik maken van geavanceerde, technische middelen’, staat in het verslag waarin een hoofdstuk is gewijd aan webdreigingen.
Als meestgebruikte aanvalsmiddelen worden spear phishing en watering holes genoemd. Defensie licht toe: ‘Phishing heeft als doel mensen gegevens te ontfutselen. Spear phishing betreft digitale activiteiten die zich richten op één persoon of een zeer beperkte groep personen in bijvoorbeeld een organisatie, die worden uitgekozen op basis van hun toegangspositie. Naar dit geselecteerde gezelschap van potentiële slachtoffers wordt uitgebreid onderzoek gedaan via sociale media. Met behulp van de informatie die op die manier wordt verkregen, proberen de aanvallers een bericht op te stellen dat zeer relevant lijkt voor het doelwit. Door deze werkwijze is het veel waarschijnlijker dat het doelwit daadwerkelijk slachtoffer wordt van de aanval na te zijn overgehaald bijlagen of hyperlinks te openen.’
Watering holes
‘Watering holes (letterlijk: drinkplaatsen) zijn digitale hinderlagen, vaak gericht tegen een organisatie of een specifieke sector. De aanvaller brengt websites in kaart die door het doelwit regelmatig worden bezocht. Een of meer websites worden vervolgens van kwaadaardige software voorzien om de computers te infecteren waarmee de website wordt bezocht’
In aanvullend onderzoek heeft MIVD een aantal aanvallen kunnen herleiden naar specifieke spionagecampagnes die zijn uitgevoerd in opdracht van bepaalde landen. Defensie meldt dat, voor zover bekend, geen van de aanvallen succesvol is geweest.
Investeringen in personeel
MIVD meldt in het rapport ook dat in het kader van de cyberstrategie van Defensie in 2014 geïnvesteerd is in mensen en materieel om het vermogen van de inlichtingendiensten op het gebied van webbeveiliging te vergroten.
‘Een onderdeel van deze versterking betreft de bundeling van technische kennis en deskundigheid op het gebied van sigint (een samentrekking van signals intelligence) en cyber in de gezamenlijke Joint Sigint Cyber Unit (JSCU) met de AIVD. De JSCU is in de zomer van 2014 operationeel geworden’, staat in het rapport.
Als defensie nu 1% van het budget zouden gebruiken om goede codereviews van critische opensource te sponsoren, dan zou de schade bij doorbraken veel en veel minder worden.
Het is toch zeer beklagenswaardig dat de veiligheid van defensie afhangt van het trainen om niet op blauw onderstreepte tekstjes te klikken? Waarom nemen we genoegen met deze gatenkaas?
Alle landen hebben dikke euro’s uitgegeven om aanvallende cyber-teams op te richten. Maar een beetje budget vrijmaken voor het veiliger maken van *iedereen*, daar zijn geen oren naar.
Let’s play defence!
Als men slechts 1% van de verspilling van het budget van Defensie zou gebruiken om wel veilige software te ontwikkelen, dan had men lang zoveel problemen niet
Pas maar op wat je zegt Marijn,
Voor je het weet wordt je hier van arogantie beticht 😉
Mischien moet men eens realiseren dat je kundige cyberexperts moet zoeken in cyperspace en niet op linked-in.
Mens, processen en techniek. Drie belangrijke pijlers die alle drie geadresseerd dienen te worden om de risico’s op cybercriminaliteit te verlagen. Bij de mens gaat dat om veilig gedrag met ICT middelen en bedrijfsgegevens. Vertel niet alleen maar aan medewerkers wat ze niet mogen doen. Maak ze bewust van de gevaren waaraan ze bloot staan, zowel op het werk als thuis. Bewuste medewerkers maken een organisatie weerbaar. Dit resulteert in een verlaging van het aantal security incidenten. Security awareness gaat over het veranderen van het gedrag van mensen. Dat krijg je niet voor elkaar door éénmaal per jaar het personeel 10 vinkjes te laten zetten in een “awareness audit”. Gedragsverandering wordt gerealiseerd met goede training en herhaling. Bij een goed security awareness programma zet je security op de agenda van de organisatie. Van boven naar beneden en van links naar rechts. Te beginnen aan de top. Iedereen draagt een stuk verantwoordelijkheid voor het beschermen van de kroonjuwelen.
Het is niet alleen defensie (overheid) die met deze uitdagingen kampt, probleem van social engineering is dan ook niet technisch maar organisatorisch. Investeren in opleiding levert dan ook waarschijnlijk meer op dan codereviews, zodra bewustzijn en kennis er zijn komt meestal de betere controle op software er vanzelf:
https://www.computable.nl/artikel/opinie/datacenters/5254268/4907128/internet-maakt-niet-slimmer-wellicht-kritischer.html
Zoals Albert Einstein al stelde is de wereld een gevaarlijke plaats om in te wonen, niet omdat er zoveel kwaadwillenden zijn maar zo weinig om er wat aan te doen.
Goh. Was het niet ene capo di capi Hennis die daarvoor drie topambtenaren de laan had uitgestuurd op defensie? Ze was even vergeten dat zij zelf politiek aansprakelijk was voor dat debacle.
Al eerder stelde ik dat bij de IT professional, uiteraard bij Defensie, security gewoon mandetoir als standaard op het netvlies moet staan en niet alleen het domweg volgen van regeltjes en procedures. Je word van dergelijke instelling gewoon DOM. Iets wat problemen in de hand werkt waarna je heel hard, volgens regeltjes en procedures, achter feiten aan kan lopen.
IT als materie is 100% voorspelbaar en inzetbaar. Anticipeer vooruit zou ik zeggen.
Cybergebeuren uitbesteden aan China. Zij kunnen dat tenslotte veel goedkoper en beter en met een SLA behoud je immers de controle. Niet dan ? 😉
Toch zijn er goede middelen verkrijgbaar die je netwerk kunnen monitoren en de toegang weigeren. Al met al zeer beheersbare problemen.
Defensie kan natuurlijk ook een site als honeypot neerzetten. Het kan interessant zijn om te zien wie daar op af komt.
Ik zie nu in de politieke arena een nieuw onderwerp ontstaan, Cybercrime, waar de politieke partijen gretig gebruik van gaan maken om de angscultuur bij burgers maximaal aan te wakkeren om daarmee commitment te krijgen voor verhoogde belasting t.b.v. wapenhandel en nieuwe koude oorlogen.