Computable kiest het meest ingrijpende Belgische it security incident aller tijden. En daar hebben we u voor nodig. We stellen vandaag tien cases voor waar u een top drie uit kunt kiezen. De finale keuze wordt gemaakt op woensdag 14 maart in het Computable Café op de vakbeurs Infosecurity.be en Data & Cloud Expo te Brussels Expo.
Voor de tien cases vallen we terug op de ervaring en visie van security expert Marc Vael, die onlangs de gids ‘cyberrisico’s – een nieuwe dagelijkse realiteit voorgesteld in tien cases’ voorstelde. De cases in zijn boek vormden de basis voor stemming. ‘Elke case uit deze Belgische lijst vertegenwoordigt een bepaalde categorie in cybercriminaliteit’, stelt Marc Vael. ‘In die zin trachten we ook een mooi overzicht te bieden van wat cybercriminaliteit allemaal behelst.’
Marc Vael zal, samen met de deelnemers, in het Computable Café, op 14 maart om 13.30 uur, het meest ingrijpende security incident ooit in België verkiezen. Vael, zelf global chief information security officer bij Esko, zal de ‘top drie’ komen voorstellen en vraagt bezoekers mee te discussiëren en te stemmen. Die top drie wordt gebaseerd op uw stem. Dat kan via deze stemmodule.
Kiezen uit tien incidenten
Die drie meest ingrijpende security-incidenten in het Computable Café worden geselecteerd uit onderstaande lijst van tien genomineerden:
1. Maersk WannaCry ransomware (Mei 2017)
In verschillende landen heerste vorig jaar een cyberaanval met ransomware. Daarbij werden computers vergrendeld en enkel tegen betaling opnieuw vrijgegeven. De nieuwe aanval maakt gebruik van het WannaCry-beveiligingslek.
Bij containerbedrijf Maersk doken ernstige problemen op. Onder meer in Rotterdam kon er daardoor niet meer geladen of gelost worden aan zeventien terminals. In de haven van Zeebrugge ging men ‘manueel’ verder.
2. Crelan ceo-fraude (Januari 2016)
De bank Crelan werd slachtoffer van fraude, met een schade die kan oplopen tot maximaal zeventig miljoen euro. De bank was slachtoffer van ceo-fraude. Daarvoor brachten de fraudeurs naar verluidt eerst de volledige structuur van het bedrijf in kaart, waaronder het mailverkeer. Zodra zij in het bezit waren van het e-mailadres van de ceo en dat van enkele bedienden van de financiële diensten, sloegen ze toe. Volgens de bank werd de fraude vanuit het buitenland georganiseerd.
3. NMBS datalek door interne medewerker (December 2012)
Een werknemer van de NMBS wilde een bestand met gegevens leegmaken. Om dat te doen, moest hij de gegevens even op een onbeveiligde server plaatsen, maar liet die daar uiteindelijk en per ongeluk staan.
Het bestand met de gegevens stond sinds mei online en werd in december ontdekt. Vervolgens werden de gegevens gekopieerd naar een nieuw bestand en verspreid via het internet. In het document stonden de gegevens van maar liefst zevenhonderdduizend klanten van NMBS Europe, in totaal stonden 1,4 miljoen regels met gegevens online, omdat sommige klanten meerdere keren in het bestand stonden.
4. Google panne en dataverlies door overmacht (Augustus 2015)
Tijdens een zware storm werd het Google datacenter in Bergen meermaals danig geraakt door blikseminslagen. Het datacenter in Bergen moest vier blikseminslagen incasseren en leed schade. Google deed zijn uiterste best om alle defecte schijven opnieuw operationeel te krijgen om data te recupereren, maar 0,000001 procent van de data was definitief verloren. Maar ook dat percentage is eigenlijk te veel voor een cloud provider.
5. Electrabel interne spionage (Februari 2005)
Het ‘betere’ spionagewerk. Op 19 februari 2004 loodst Jean-Pierre Hansen, bestuursvoorzitter bij Electrabel en directeur-generaal bij het Franse moederbedrijf Suez, met zijn toegangspasje drie ict-specialisten het Electrabel-hoofdkantoor binnen. Ze installeren spyware in een pc van een staflid. Zo kan Hansen e-mail onderscheppen.
Vijf dagen later onderschept de ict-afdeling een stroom aan verdachte uitgaande e-mailtjes en vermoedt het een computerinbraak. De directie van Electrabel doet aangifte. Het parket komt uiteindelijk terecht bij Hansen. In 2008 werd hij schuldig bevonden aan het hacken en bespioneren van het informaticasysteem van Electrabel.
6. Heartbleed softwarefout in open source software (April 2014)
Het Heartbleed-lek zorgde voor beveiligingsproblemen waardoor gevoelige gegevens op tal van grote sites zoals Facebook, Google en Yahoo te achterhalen waren. Door een probleem met de encryptiesoftware OpenSSL konden cybercriminelen in theorie gevoelige gegevens zoals gebruikersnamen, wachtwoorden en kredietkaartgegevens onderscheppen. Heel wat grote sites, die OpenSSL gebruikten, bleken dus niet helemaal waterdicht.
7. Emmaüs datalek bij leverancier (Januari 2016)
Een maand lang stonden meer dan tweehonderdduizend dossiers van onderzoeken van twee Belgische ziekenhuizen voor iedereen toegankelijk op het internet. Het bedrijf dat de papieren dossiers hielp inscannen, had de website niet voldoende beveiligd. De ziekenhuizen hebben nadat het nieuws uitkwam een klacht ingediend.
8. Toyota Europe verlies van gevoelige informatie (November 2007)
Autobouwer Toyota Motor Europe raakte in Brussel vertrouwelijke informatie van tweeduizend personeelsleden kwijtgeraakt. De gegevens stonden op een cd die buiten het bedrijf gestolen werd. De gegevens over het loon, het adres en rijksregisternummer van de tweeduizend personeelsleden waren weggeschreven op een cd voor de groepsverzekering die Toyota had afgesloten. Het cd-schijfje werd door een van de werknemers meegenomen en in het openbaar vervoer gestolen.
9. Webcams toegankelijk door standaard configuratie (Augustus 2017)
Jaren aan een stuk konden Belgische gezinnen via een Russische website begluurd worden via hun eigen onbeveiligde bewakingscamera’s. Staatssecretaris Philippe De Backer (Open VLD) was ‘not amused’ en vroeg de mensen om een klacht in te dienen bij de Privacycommissie en de Federal Computer Crime Unit. Vaak hadden de eigenaars de moeite niet gedaan om een wachtwoord voor hun camera in te stellen of gebruikten ze het standaardwachtwoord dat door de fabrikant was ingesteld.
10. Vlaamse Gemeenschap lanceert te realistische sensibiliseringscampagne (Juli 2015)
De Vlaamse overheid stuurde naar twintigduizend collega-ambtenaren een valse e-mail om te testen of ze alert waren voor de praktijken van internet-fraudeurs. Die test lukte aardig, of beter: iets te goed. De Vlaamse overheid verstuurde een zogezegde factuur in naam van Thalys, met de vraag om een treinreis dringend te betalen.
Waar de Vlaamse overheid niet aan had gedacht, was dat een aantal medewerkers de politie zou waarschuwen of zou bellen naar Thalys. En daar vielen ze compleet uit de lucht, want noch de politie noch Thalys waren geïnformeerd over deze actie.
Infosecurity.be
Infosecurity.be en Data & Cloud Expo vinden gelijktijdig plaats op woensdag 14 en donderdag 15 maart in Brussels Expo. Gezamenlijk vormen zij het evenement voor it-managers en -professionals en bieden zij een beursvloer met circa honderdvijftig exposanten die een overzicht bieden van de laatste ict-toepassingen en -diensten. Bezoek aan de beurs is gratis. Wel dient u zich te registreren.
Verreweg het grootste deel van de cases zijn eenvoudig te voorkomen geweest waarbij men zich echt achter het hoofd moet krabben dat zulke zaken vandaag de dag nog voor zouden mogen komen. Immers, van IT professionals mag worden verwacht dat zij een minimale level van expertise en ervaring bezitten dat dergelijke zaken eenvoudigweg niet voor meer zouden mogen komen. Realiteit toont anders. Graag ga ik het rijtje even met u af met een zeer eenvoudig oog voor beveiligen en IT.
1. Maersk Wannacry ransomware
Ik heb eerder al eens met HR persomeel van Maersk Nederland te maken gehad en ben mij ernstig geschokt. Niet alleen blijkt deze afdeling geen enkele kennis en affiniteit te bezitten van IT, maar wel de verantwoordelijkheid neemt voor de zoektocht naar IT talent. Ik werd gewezen op het flitsende gegeven van een sollicitant die binnen twaalf minuten werd afgewezen als zijnde ‘overgekwalificeerd’ voor de job, met alle juiste crudentials !?!? Dat dit daarna bij Maersk gebeurde is genant, tekenend en had gewoon nooit mogen kunnen gebeuren.
2. Crelan ceo-fraude (Januari 2016)
Deze case draag ik bijzonder graag voor. Het laat de IT gebruikende community zien hoe geraffineerd IT criminaliteit werkt en deze zou zeker als ‘lesson to learn’ voor bedrijven in seminars, door mening security professional moeten worden gebruikt. Immers, je hebt voor zoiets inzicht, technische en IT kennis nodig maar ook nog eens organisatorische kennis. Minpuntje, dat het IT personeel van een bank klaarblijkelijk geen oog heeft gehad voor intrusions. Bijzonder interessant.
3. NMBS datalek door interne medewerker (December 2012)
In digitale automatisering bestaan een aantal eenvoudige wetmatigheden. ‘If you pay peanuts, you’ll get monkeys’. Of wel, als u denkt echt talent voor weinig te krijgen, kom je met dit soort zaken meteen bedrogen uit. Uw naam en reputatie liggen meteen en pijnlijk te grabbel. Hoe kan het dat men geen eenvoudig sluitend change protocol voor zoiets heeft gehad?
4. Google panne en dataverlies door overmacht (Augustus 2015)
Heb je het over Big Data als hype, dan zou men hier meteen lessen uit moeten trekken. Het volledig voor proberen te zijn van schade, zoals hier door blikseminslag, is een eenvoudige technische investering. Hier ziet u wat er gebeurd als er geen genoeg aandacht wordt besteed aan de technisch te beveiligen infrastructuur van de faciliteiten en wederom, daar kunt u van op aan, voor het goedkoopste willen gaan. Nu kent google niet al te veel zeer dure data dus voila. Weer een mooi voorbeeld wat zo vaak voor komt. Uit winstbejag bepaalde essentiele zaken laten vallen.
5. Electrabel interne spionage (Februari 2005)
Of dit juridisch iun de haak is, is een tweede. Doel dient altijd te zijn het voorkomen van schade en in geval van ernstige verdenkingen, ook meteen, ook onorthrodoxe maatregelen durven trekken. Zakelijk en technisch, dikke chapeau.
6. Heartbleed softwarefout in open source software (April 2014)
Voor de duidelijkheid, Software fouten bestaan niet. Dat is een algemene fout die men maakt. Digitaal automatiseren, ook programmeren, doet twee dingen. Of het werkt, of het werkt niet. Als het niet werkt is het een fout in de software, als het werkt niet. Wat hier wel aan de hand is? Het niet goed en deugdelijk testen van de software en verder kijken dan de testneuzen lang zijn. Testen is name,ijk niet alleen kijken of het programma wel zal lopen op platform a of b. Testen is ook nadenken over welke stappen verder mensen kunnen zetten bij eventuele misbruik. Neen beste professionals, security is gewoon een standaard onderdeel van uw job en beroep.
7. Emmaüs datalek bij leverancier (Januari 2016)
Dit item is al jaren een hot topic en het is gewoon een blunder en een ankte van onvermogen in één dat zulks vandaag de dag nog zou kunnen voorkomen. Een blamage voor zowel IT management als uitvoerende professionals. Het betreffende bedijf veroorzaakt niet alleen bij de klant schade, een klant die moet controleren, maar een leverancier die meteen de deuren kan sluiten. Was het weer iets met ‘betalen met pinda’s?’
8. Toyota Europe verlies van gevoelige informatie (November 2007)
Een CD anno 2007 voor dergelijke zaken? Van een organisatie met wereldwijde naam en statuur? Dat is gewoon iets ongehoord en dom, zeker geen case voordracht waard.
9. Webcams toegankelijk door standaard configuratie (Augustus 2017)
Beste mede IT professional. Als er al iets hier te leren is dan is het wat er gebeurd als je maar domweg commerciele hypes naloopt en gaat voor het nieuwste van het nieuwste willen in IoT. IoT is allerminst veilig, wat men ook roept en ‘bazelt’ over netwerk security. Al jaren gebruik ik dit voorbeeld in seminars mensen te tonen hoe graag criminelen spelen met IP camera’s. Het scheelt ze namelijk heel veel tijd en inzet te bezien of ‘inbreken’ bij iemand wel zo zinvol is. Pas op, Belgie en Nederland hangen vol met IP camera’s achter volkomen waardeloos beveiligde kabelmodems. Criminelen zijn er echt gek op.
10. Vlaamse Gemeenschap lanceert te realistische sensibiliseringscampagne (Juli 2015)
Hier kan hoogstens gesproken worden van een kleine onhandigheid. Het idee is goesd alleen als zovaak, schort het weer in de uitvoering met scheve gezichten als resultaat. Ook hier geld, als u iets doet in het domein van digitaal automatiseren en IT, denk dan eens aan het woord ‘Pilot’. Dat is niet voor niets een standaard gewenste stap in een keten en niet een onderdeel dat ‘we uit winstbejag weg schrappen…’ Meer het idee dat hier pure onhandigheid in het spel is gebleken.
Case 2 blijft mijn voordracht.
Ieder een bijzonder veilig IT gewenst.
You are missing this one: In 2015 and 2016, a series of cyberattacks using the SWIFT banking network were reported, resulting in the successful theft of millions of dollars https://en.wikipedia.org/wiki/2015–2016_SWIFT_banking_hack
quid Belgacom hack ?