Ondernemingen zullen om de schade aan hun imago niet gauw aangifte doen van digitale criminaliteit. Liever huren ze een forensisch onderzoeksbureau in om te achterhalen wat er precies gebeurd is én om bewijsmateriaal boven tafel te krijgen.
Zo spannend als de bekende tv-serie CSI wordt het natuurlijk nooit, maar digitale sporen blijken net zo interessant als dna, vingerafdrukken en vuilniszakken. De forensisch onderzoekers die op commerciële basis worden ingehuurd door bedrijven en overheden vullen hun dagen met het achterhalen en veiligstellen van elektronische bewijslast. Meestal gaat dat om gegevens op pc's, laptops en mobiele telefoons, soms om informatie die in de backoffice-systemen van grote ondernemingen te vinden is.
"Het kan om hele simpele zaken gaan," vertelt Christian Prickaerts, forensisch it-expert bij Fox-IT. "Een medewerker wordt verdacht van fraude of verduistering. Een personeelslid wordt lastig gevallen per e-mail. Gevoelige informatie wordt naar de concurrent of de pers gelekt. Of het gaat om digitale inbraak." Dat laatste heeft meer raakvlakken met netwerkbeveiliging en auditing.
Quarantine of doordraaien
"Als er een incident plaatsvindt, kijken we eerst naar wat we dénken dat er aan de hand is," vervolgt Prickaerts. "Daarna moeten we de keuze maken: of we zetten de betrokken systemen in quarantine, of we besluiten door te draaien. Het merendeel van de bedrijven wil niet eens weten waar de problemen vandaan komen; ze willen zo snel mogelijk weer verder. Daarmee overschrijf je mogelijk bewijzen. Daar kun je omwille van de productie voor kiezen, maar het moet wel een bewuste afweging zijn."
"Een aangifte leidde voorheen ook niet tot vervolging. Het gaat vaak om complexe zaken, waar je echt even voor moet gaan zitten. Tegenwoordig is dat beter. Wij leiden ook Officieren van Justitie op, zodat ze meer feeling voor de materie krijgen."
Outsourcing is bijvoorbeeld één van de zaken die het lastig maakt om bewijslast te verzamelen. "Het bedrijf is weliswaar eigenaar van de data, maar die bevindt zich ergens anders. De ict-omgeving is vaak van meerdere partijen. Bovendien worden de processen gedeeld met andere klanten. Wel of niet fixen is een commerciële afweging."
Kiezen voor aangifte
Het leeuwendeel van de forensische onderzoeken resulteert dan ook helemaal niet in een aangifte. De meeste zaken worden intern afgehandeld. Als er beveiligingsproblemen zijn met internet-bankieren wil een bank dat wel laten onderzoeken, maar wil het dat vanwege de schade aan zijn merk en het vertrouwen van zijn klanten niet in de openbaarheid brengen.
Daarmee kies je er automatisch voor geen aangifte te doen. De politie kan immers geen geheimhouding beloven en het openbaar ministerie zal met een aansprekende zaak in de media willen ‘scoren'. "Als een onderzoeksteam of een externe club advocaten binnenkomt, gaat het al gonzen," zegt Carlos Neves Cordeiro, senior vice-president bij risk-consultancy Marsh. "Zodra er enige overheidsinstantie bij betrokken is, houd je het zelden stil. Dat is een van de redenen dat grote ondernemingen hun eigen onderzoeksunits oprichten."
Dat heeft ook consequenties voor de mogelijkheid om zich tegen dit soort risico's te verzekeren. "Zodra de verzekeraar uitkeert, zal deze proberen zijn schade op de dader te verhalen, en dan komt het verhaal alsnog in de openbaarheid. Als verzekeringsnemer moet je nadenken of je wel wilt claimen."
Fraude en verzekering
Cordeiro ziet cybercrime steeds vaker gecombineerd met de fraude-verzekering. "Daaraan zie je dat de moderne fraudeur niet om ict heen kan. Als de bewijzen van zijn fraude in een database terug te vinden zijn, kan hij proberen om dat systeem te corrumperen om zijn sporen te wissen."
"Gaat iemand er met twee miljoen vandoor, dan wordt dat gedekt door de fraude-polis," vervolgt Cordeiro. "De kosten om de betreffende facturen boven tafel te krijgen, worden vergoed door de verzekeraar. Maar de kosten voor het bekijken van al die andere facturen worden niet betaald. Dat wordt gezien als achterstallig onderhoud van de administratie."
Afgezien van de hoge kosten, is het soms zelfs onmogelijk om de benodigde gegevens terug te krijgen. "Wat doe je als een fraudeur al tien jaar in dienst is?" vraagt Cordeiro. "In het archief staan alleen nog de totaalbedragen van de facturen, maar niet meer de afzonderlijke orderregels. Kun je die data nog ontsluiten? Kun je daar nog queries op uitvoeren? En wat als je drie jaar geleden bent overgestapt van Baan naar SAP? Zorg dat je alle relevante gegevens bewaart om een incident en de daaruit volgende schade te kunnen achterhalen."
Voorbereiding
Cordeiro hamert dan ook op wat hij ‘forensic readiness' noemt. "Wat opvalt bij alle grote zaken is dat het weken, soms maanden duurt voordat iemand een incident herkent en oppakt. Er blijkt iets niet te kloppen en dat wordt aan de baas gemeld. Pas als het weer gebeurt, wordt het een niveau hoger neergelegd."
"In de tussentijd loop je het risico dat de relevante gegevens verdampen. Bovendien worden er hele hoge kosten gemaakt voor het terughalen. Je moet de backups terugzetten en uitzoeken wat er aan de hand is. Dat is maatwerk. De forensische onderzoeksbureaus eten daar goed van."
Veel bedrijven kunnen die voorbereiding bovendien combineren met hun algemene ‘incident preparedness'. "Stel dat een autofabrikant tot de conclusie komt dat een bepaald type stuurhuis niet voldoet. Voor de kosten van het terughalen van die auto's kunnen ze zich verzekeren. Als in hun erp-systeem alleen de factuurbedragen staan maar niet de regels van de afzonderlijke onderdelen, dan moet hun pr-man nu zeggen "Ik weet niet precies om hoeveel auto's het gaat, maar ik denk dat het er vijfhonderdduizend zijn." Als na twee maanden dan blijkt dat het er maar vijftigduizend waren, dan heb je onnodige imagoschade opgelopen."
Moeilijke mensen
Beheerders tenslotte zijn bij forensische onderzoeken vaker een last dan een hulp. "Dat blijken regelmatig moeilijke mensen," vertelt Prickaerts. "Ze voelen zich vaak aangevallen. Ik heb nog nooit meegemaakt dat iemand iets wilde wegmoffelen, maar wel dat het meer dan een week duurt als je om de logs van de proxy-, mail- en webservers vraagt."
"Óf de ict-mensen vinden dat zij eigenlijk zelf dat onderzoek zouden moeten doen. Het is natuurlijk een welkome afwisseling op hun dagelijkse werk. Als dan een externe partij ingeschakeld wordt, merk je dat mensen wat stug zijn. Ik heb geen zin in die discussies, dus steek ik het liever op een hoger niveau in."
"Maar als het bij een onderzoek om de beheerder zelf gaat, moet je creatiever zijn," aldus Prickaerts. "Dat betekent dat je 's nachts moet werken of dat je systemen moet hacken." Hij benadrukt dan ook dat managers moeten zorgen dat ze een gesloten envelope met alle master-wachtwoorden in de kluis hebben liggen. "Die heb je ook nodig als de systeembeheerder onder de tram komt of zijn geluk gaat zoeken in een warm en zonnig land."
Vervalste mail
Een praktijkvoorbeeld van forensisch computeronderzoek: het contract van een werknemer bij een groot bedrijf wordt niet verlengd. Na zijn vertrek ontvangen alle medewerkers een mail-bericht met een vervalst afzenderadres waarin de voorzitter van de Raad van Bestuur zijn verontschuldigingen aanbiedt voor dit ontslag. Expert Carlos Neves Cordeiro van risk-consultancy Marsh is toen meteen begonnen met de log files. "De namen in de lijst kwamen overeen met de situatie van drie maanden geleden. Bovendien had de dader over het hoofd gezien dat zijn ip-adres in de mail headers stond. Omdat de voorzitter eerder al bedreigd was, besloten we naar het bedrijf dat bij het ip-adres hoorde te bellen. Toen we de naam van die jongen noemden, bleek hij naast de directeur te staan. De dader heeft toen een verslag met onze bevindingen ondertekend, waarbij hij tevens verklaarde de afzender van de mail te zijn. Dat verslag is in de kluis opgeborgen. De opdrachtgever garandeerde er geen zaak van te maken als de dader zoiets nooit meer zou doen."
Macht van systeembeheerders
Digitale fraude of inbraak is soms terug te voeren op de systeembeheerder. Recent voorbeeld is de beheerder bij de gemeente San Francisco die vanwege dreigend ontslag alle beheerwachtwoorden behalve die van hemzelf uitschakelde. Forensisch deskundige Carlos Neves Cordeiro van risk-consultancy Marsh verbaast zich over het feit dat systeembeheerders zelden of nooit worden gescreend. "Die jochies kunnen overal bij en weten hoeveel macht ze daarmee hebben."
Hij noemt een praktijkvoorbeeld: "We zijn eens gebeld vanwege ernstige performance-problemen. De collega die ging kijken ontdekte dat de servers op grote schaal werden gebruikt voor de illegale handel in films, muziek en software. Toen de beheerder daarmee werd geconfronteerd, zei die jongen dat hij allerlei backdoors in de systemen had ingebouwd. Als hij aangepakt zou worden, dan zouden zijn vrienden wel zorgen dat het bedrijf uit de lucht ging."
"Daar hebben we toen een team op gezet," vervolgt Cordeiro, "en hem duidelijk gemaakt dat het bedrijf hem direct aansprakelijk zouden stellen als er wat zou gebeuren. Die jongen woonde nog bij zijn ouders en trok zijn dreigementen in nadat we hem hadden voorgerekend wat de schade zou zijn die we op hem zouden verhalen."
Nu consultant Service Management maar in een grijs verleden systeembeheerder. Ik was mij destijds erg bewust van de macht die ik zou kunnen hebben. Ik kon in alle systemen. Ik was in staat data (ook prive) van collega’s in te zien. Ik kon “iets flikken” onder de naam van een ander. De verleidingen zijn dan groot. Mijn manager in die tijd sprak mij aan op die verantwoordelijkheid en gaf aan die te willen delen en deed dat ook. Hij maakt aan mij, als jonge systeembeheerder, duidelijk dat hij heel goed wist wat ik zou kunnen doen. Samen (!) legde wij het ook uit aan gebruikers en het management van de organisatie. Iedereen werd en was bewust van deze zaken en er werden heldere afspraken over gemaakt. Wat doe je met prive data, wat kan wel en wat kan niet? Hoe ga je om met bedrijfskritische gegevens? etc. En daar ligt precies de oplossing. Let op: iemand die echt kwaad wil hou je niet tegen maar neem wel voorzorgsmaatregelen en verder wees open en direct en maak heldere afspraken. Dan kom je een heel eind.
Een kwaadwillede garagemonteur kan ook je remleiding doorknippen; wat dat betreft is de macht van een IT-beheerder niet uitzonderlijk. Maar als er een dreiging van controle is (bijvoorbeeld audit trails) dan is het gevaar een stuk minder. En wat ook gaat helpen is wanneer het fenomeen reputatiemanagement verder op gang komt: als je de boel belazert sta je niet meer in LinkedIn maar in LinkedOut… Probeer dan eens aan werk te komen.
Goed beschouwd is het natuurlijk vreemd dat systeembeheerders zonder enige moeite inzage kunnen hebben in meer informatie dan de directie van een bedrijf. De (meestal jonge) systeembeheerders worden vrij gemakkelijk achter systemen gezet waar ze enorm veel macht over krijgen, vaak zonder dat ze goed worden voorbereid hoe ze om moeten gaan met die macht.
Niet alleen zou er een goede screening moeten zijn van systeembeheerders (let wel: deze screening zou regelmatig herhaald moeten worden), maar ook zou aan de technische kant ??n en ander kunnen verbeteren.
Er bestaan al systemen die de systeembeheerder niet alle inzage in data geven. Alle data kan standaard encrypted opgeslagen worden en kan ook encrypted over het netwerk worden gestuurd. Alleen degene die inzage in de data moet hebben, zouden hiervan de (digitale) sleutel moeten hebben.
Voor het werk dat systeembeheerders doen is het meestal helemaal niet nodig om alle informatie van iedereen te kunnen zien. En mocht het nodig zijn, dan zou dat alleen moeten kunnen met medewerking van personen die normaal gesproken ook bij de informatie kunnen, of in een uiterst geval, met medewerking van het hoger management.
Overigens maakt een dergelijke setup het forensisch onderzoek naar frauderende medewerkers naturlijk wel wat lastiger.
Ik ben lang systeembeheerder geweest en heb altijd toegang tot alle gegevens gehad. Dat betekent niet dat je naar believen gaat snuffelen, normaal is daarvoor ook geen tijd, maar met een nieuwe generatie van point-and-click beheerders kunnen misschien meer problemen verwacht worden. Ook omdat ze het goede voorbeeld van hun directie krijgen, die met miljoenen gaat schuiven en die daar ook niet bepaald eerlijk aan gekomen zijn.
Wanneer in een maatschappij de verdeling niet meer terecht is, kweek je problemen, dus ook deze. Dat is een maatschappelijk fenomeen dat niet specifiek voor de ict is.
Vraag maar in Liechtenstein waar een ict-er gegevens van belastingontduiking van Duitsers op grote schaal aan de Duitse belastingdienst verkocht heeft. Een beter voorbeeld bestaat niet.
In sommige kleine of middelgrote organisaties heeft een systeem- of applicatiebeheerder een positie als goeroe, nerd, techneut, God in Frankrijk of noem de scheldwoorden, liefkozingen en andere kwalificaties maar op. In het artikel worden ze jochie of jongen genoemd. Geen wonder, dat het een week duurt voor het gevraagde komt. Neem een beheerder eens serieus. Hij kan die vaak eenzame post aan, omdat hij een vak geleerd heeft. Je moet er niet aan denken, dat hij weggaat. Niemand heeft grip op zijn werk of kan het controleren. In het beste geval heeft hij een geheimhoudingsverklaring ondertekend. Dit geldt vaak weer niet voor tijdelijke (ingehuurde) beheerders.
ICT helpt de beheerder daarbij ook niet. Welke leverancier of producent van ICT (applicatie of apparatuur) levert hulpmiddelen waarmee de beheerder bijvoorbeeld aangebrachte veranderingen in een systeem kan terugvinden. Laat staan, dat een in- of externe auditor het kan.
Welk systeem beschermt de beheerder tegen zichzelf en voorkomt daarmee, al dan niet opzettelijke, fouten. Een beheerder in een middelgrote organisatie moet alle rechten hebben om tekortkomingen in systemen of applicaties te kunnen corrigeren, zodat de business verder kan. Beveiligingsnormen op het gebied van informatie- of netwerkbeveiliging veranderen daar niets aan, omdat zij uitgaan van de huidige complexiteit en defacto onbeheersbaarheid. Als de beheerder maar documenteert, maar wie stelt vast dat het gebeurt. Waarom gebeurt dat niet automatisch?
De complexiteit van ICT neemt dusdanige vormen aan, dat vrijwel niemand de gevolgen van veranderingen of misbruik meer overziet. Een beheerder kan en mag rechtstreeks in configuratiebestanden, systeemregistries en stuurbestanden, maar ook in de personeelsdossiers wijzigen. Voor de organisatie lijkt er niets aan de hand.
De tegenwoordige beheerders zijn zich meer dan wie ook bewust van hun verantwoordelijkheid voor de beschikbaarheid en veiligheid van zijn ICT voor de organisatie. Hij zorgt ervoor, dat ICT de business zo goed mogelijk en naar beste eer en geweten ondersteunt. Verlang echter niet, dat hij ook nog eens alle vormen van machtsmisbruik uitbant. Net als persoonlijke veiligheid in een bedrijf is ook ICT-veiligheid een zaak van organisatie en van middelen, die de ICT-industrie moet inbouwen.
Deze laatse, een uitmuntende reactie van een kenner.
En de overheid en de banken je maar trachten je te dwingen,al je prive zakelijkheden via internet te laten verlopen,z.g.n uit papierverbruik beperking.
Nog nooit heb ik zoveel papier (in kleur gedrukt,lees vervuiling) in mijn brievenbus ontvangen als de laate jaren.
De ware reden is perfect door Ton van Berg beschreven.
Snurk ,snurk snurk,dat dacht….u wellicht.
Op retorische vragen behoef je geen antwoord meer te geven.
En daar kunnen ze het vooropig weer mee doen.
Die ene “Ace” onder dat Brusselse en Haagse kaartenhuis trek ik er zel wel onder uit.
Met vriendelijke groet,
Dirk Cornelis Krispijn