Vroeger, toen cybercriminelen nog puistige tieners waren, had je twee afgescheiden werelden: cy-berbeveiliging enerzijds en fysieke beveiliging, met deuropeners en beveiligingscamera’s, anderzijds. Nu zijn deze werelden niet meer zo afgescheiden en is niet meer zo duidelijk wie waarvoor verantwoordelijk is, met behoorlijk gapende gaten als gevolg. Bovendien zijn de cybercriminelen gehaaide professionals geworden die feilloos aanvoelen waar ze die gaten kunnen vinden. Het gevolg daarvan zagen we eind vorig jaar: een massale botnetaanval van miljoenen geconnecteerde apparaten, waaronder een groot deel netwerkcamera’s. Hoe zorgen we dat dit nooit meer gebeurt?
Lange tijd was fysieke beveiliging een analoge aangelegenheid, en er was één verbinding met het it-netwerk, helemaal aan het uiteinde. De medewerkers verantwoordelijk voor fysieke beveiliging hoefden zich geen zorgen te maken over netwerkbeveiliging, terwijl de it-afdeling zich niet bezig hoefde te houden met onnodige blootstelling van camera’s enz.
Natuurlijk is zelfs het hacken van analoge systemen altijd voorgekomen (denk aan een babyfoon of garagedeur-opener). Nu beveiligingssystemen op netwerkbasis de nieuwe norm zijn met alle bijhorende voordelen, moeten beide partijen zich realiseren dat de situatie anders ligt.
De uitdaging die wij zien, is dat het fysieke beveiligingsteam en de it-afdeling op het eerste gezicht verschillende visies en prioriteiten hebben en elkaar niet echt begrijpen. Fysieke beveiliging komt van Mars en de it-afdeling komt van Venus.
Vaak is het een kwestie van taal of jargon en begrijpt de ene partij niet waar de andere het over heeft. In veel gevallen kan het ook meer lijken op een gevecht over de voogdij over een ongewenst kind: het fysieke beveiligingsteam beschouwt cyberbeveiliging niet als onderdeel van hun werk en de it-afdeling is zich misschien niet eens bewust van de mogelijke kwetsbaarheid van apparaten die geen duidelijke gebruikers of eigenaars lijken te hebben.
Een zin bleef in mijn hoofd zitten na een gesprek dat ik onlangs met een klant had over cyberbeveiliging: ‘We zijn niet het Pentagon.’ Anders gezegd: we zijn blij dat Axis over deze dingen nadenkt, en het is interessant enzo, maar we maken ons er op dit moment niet druk over. En als ze niet zijn aangevallen (of in elk geval niet weten of ze zijn aangevallen), dan wordt dat antwoord vaak gevolgd door: ‘Cyberbeveiliging is de zaak van de it-afdeling. Ik hoef er alleen maar voor te zorgen dat dit gebouw veilig is.’ Als ik daarentegen met de it-afdeling praat, blijkt dat ze niet altijd op de hoogte is van de potentiële blootstelling van onbeveiligde netwerkcamera’s.
Overbrug de kloof
Hoe zorgen wij met onze branche dat de manager fysieke beveiliging ook it-beveiliging serieus neemt? En dat het it-beveiligingsteam kan praten met de collega’s van fysieke beveiliging in een begrijpelijke taal? Eigenlijk is dat niet zo ingewikkeld. Gebruik de terminologie waar ze allebei vertrouwd mee zijn:
IT-team |
Fysiek team |
Gebruik geen standaardwachtwoorden, zorg dat ze moeilijk te raden zijn en verander ze vaak |
Zorg voor goede sloten en zorg dat de sleutels moeilijk na te maken zijn |
Zorg dat het gebruikersbeheer in orde is |
Geef niet meer sleutels uit dan strikt noodzakelijk – zorg liever voor toegangscontrole |
Zorg dat apparaten zichzelf afsluiten als ze niet worden gebruikt |
Sluit de deuren! |
Spoor netwerkschendingen op |
Spoor inbrekers op |
Laat geen ‘achterdeuren’ open, voor het geval dat |
Laat niet de nooduitgang open staan, voor het geval dat |
Stel een firewall in rond uw netwerk om te voorkomen dat mensen zomaar binnenkomen |
Zet een hek rond het bedrijfsterrein, om te voorkomen dat mensen zomaar binnenkomen |
Drie categorieën bedrijven
Niet alle organisaties en bedrijven zijn gelijk. Bij sommige organisaties is de communicatie tussen de twee afdelingen zelfs goed en zijn zij zich bewust van de dreigingen die ze gezamenlijk moeten aanpakken.
Organisaties zijn grofweg in drie categorieën in te delen, afhankelijk van de mate waarin ze begrijpen welke dreigingen er zijn.
Bovenaan staan bedrijven waarvan het merk, de activiteiten of de geloofwaardigheid draaien rond vertrouwen en veiligheid – banken bijvoorbeeld. Gemiddeld genomen staat veiligheid hoog op hun prioriteitenlijstje (zowel fysiek als met betrekking tot computers) en maakt zij deel uit van de bedrijfscultuur. Deze bedrijven zijn vaak afwachtend als het gaat om het aanschaffen van nieuwe technologieën. Dat doen ze pas als ze zeker weten dat de veiligheid niet in het geding komt. Dit geldt vooral voor nieuwe apparatuur die op het netwerk wordt aangesloten, zoals camera’s, controlesystemen aan toegangspunten enz. Hun it-afdelingen zullen vermoedelijk pas toestaan dat er nieuwe apparatuur op netwerkbasis wordt aangesloten als duidelijk is waar deze vandaan komt en als deze naar behoren getest en geïnstalleerd is.
Dan heb je bedrijven die wel weten dat ze kwetsbaar zijn voor cyberaanvallen, maar niet de specifieke kennis in huis hebben om hun risico’s goed te analyseren en te verminderen. Deze bedrijven staan open voor advies, ook al heeft dit geen kritieke prioriteit. Dit zijn de bedrijven die waarschijnlijk het grootste risico lopen: hun netwerken zijn zo complex dat het beheer ervan een fulltimebaan is, maar ze beschikken niet over voldoende middelen om elk apparaat dat wordt aangesloten goed te controleren.
Tot slot zijn er de kleinere bedrijven die weinig verstand hebben van cyberveiligheid en al helemaal niet weten dat je apparaten zoals camera’s goed moet beveiligen voor je ze op een netwerk aansluit. Ze hebben zelden een fulltime-it-manager, laat staan iemand die alleen verantwoordelijk is voor de fysieke beveiliging. Voor deze bedrijven is een eenvoudige, geautomatiseerde installatie ideaal, waarbij één oplossing voor alles van beveiliging zorgt.
Mirai-botnetaanval
Uiteindelijk moet het zo zijn dat de it-afdeling en de afdeling fysieke beveiliging het probleem belangrijk genoeg vinden om samen te werken, en dat ze de bal niet bij de ander blijven leggen tot er een aanval plaatsvindt. Hoe doe je dat?
Nog maar een paar maanden geleden toonde de Mirai-botnetaanval aan hoe kwetsbaar IoT-apparatuur kan zijn, en hoe alomtegenwoordig deze apparatuur is: twee redenen waarom hackers dergelijke toestellen tot aantrekkelijk doelwit maken. In de loop van enkele maanden infecteerden cybercriminelen miljoenen apparaten, waaronder netwerkcamera’s, digitale videorecorders en thuisrouters. In september 2016 vond een enorme DDoS-aanval (Distributed Denial of Service) plaats op de website van een prominente veiligheidsjournalist, KrebsOnSecurity.com. Een maand later vond de grootste DDoS-aanval in de geschiedenis plaats, en wel op Dyn.com, een van de belangrijkste onderdelen van het Amerikaanse internet. Diensten als Netflix, Spotify en Amazon zijn er afhankelijk van.
Nu zou je kunnen opwerpen dat onze westerse beschaving niet meteen in het nauw komt als we de nieuwste aflevering van ‘Orange is the New Black’ niet kunnen bekijken. Maar het toont wel aan wat er kan gebeuren met fysieke beveiligingsapparaten die niet goed beschermd zijn tegen een cyberaanval. De meeste geïnfecteerde apparaten hadden makkelijk te raden wachtwoorden die nog nooit gewijzigd waren. Of nog erger: wachtwoorden die niet kónden worden gewijzigd. Of het waren apparaten met ingebouwde ‘achterdeurtjes’ waarlangs de fabrikant tijdens de ontwikkelingsfase gemakkelijker de bugs weg kon halen en die nooit gesloten waren voor de productie.
In december 2016 bleken ruim tachtig camera’s van een grote fabrikant achterdeur-accounts te bevatten. Een maand later schreef de Washington Post dat de politie van Washington DC drie dagen lang geen video-opnamen had kunnen maken met beveiligingscamera’s omdat zeventig procent van de opslagapparatuur gehackt was.
Onverdacht is niet per se onbesmet
We weten niet wanneer het de laatste keer is. Op dit moment is internet of things een gemakkelijk doelwit, vooral omdat er weinig mensen bij betrokken zijn en dus bijna niemand merkt dat er een aanval plaatsgevonden heeft totdat het te laat is. Zoals bleek uit de Mirai-botnetaanval, hoeft een aanval niet eens rechtstreeks de host te beïnvloeden. Zo is de kans nog kleiner dat een infectie wordt opgemerkt, tenzij je goed oplet. Anders gezegd: het is niet omdat je toestel zich onverdacht gedraagt dat het ook onbesmet is.
Edwin Roobol, regional director Middle-Europe, Axis Communications