De Chief Information Security Officer (CISO) moet zijn blikveld verbreden om ook zaken mee te nemen die buiten zijn domein vallen. Gehackt lijken te zijn, kan flinke schadelijke gevolgen hebben. Hoe je reageert, bepaalt voor een groot deel de schade.
Over deze blogger
Ronald Prins is directeur en medeoprichter van Fox-IT. Hij studeerde Technische Wiskunde aan de TU Delft en heeft zich daarna gespecialiseerd als cryptograaf. Bij het Nederlands Forensisch Instituut was hij werkzaam als wetenschappelijk onderzoeker. In het kader hiervan heeft hij vele beveiligingen doorbroken waar de politie tegenaan liep bij het uitvoeren van hun onderzoeken. Daarnaast is hij medeverantwoordelijk voor de inzet van nieuwste methoden om digitale informatie voor rechercheonderzoeken te verkrijgen. In 1999 heeft hij samen met Menno van der Marel Fox-IT opgericht.
De kaping van het Twitter-account van het Amerikaanse ministerie van Defensie is een recent voorbeeld van gehackt lijken te zijn. Veel mensen dachten ten onrechte dat hackers waren binnengedrongen bij Defensie in de Verenigde Staten. Maar het ging om het Twitter-account van een voorlichter, die wellicht een goed te raden wachtwoord had en misschien geen two-factor authentication.
Flinke impact, op jou en anderen
Feit is dat zo’n incident een flinke impact op je organisatie kan hebben. Én op anderen. Zie bijvoorbeeld de recente defacement van de website van Malaysia Airlines waardoor tickets online tijdelijk niet te boeken waren. Zie voor een wereldwijde impact het Twitter-bericht op naam van persbureau AP in april 2013 over een bomexplosie in het Witte Huis. Dat heeft beurskoersen wereldwijd geraakt. Er was helemaal geen bom, er was een hack van AP’s Twitter-account.
Belangrijk is dat je een plek hebt van waaruit je je authenticiteit en autoriteit kunt bevestigen. Idealiter moet dat dan niet hetzelfde kanaal zijn. Dus als je Twitter-account is gehackt, moet je vanaf een ander platform kunnen communiceren dat het andere kanaal is gecompromitteerd en dat dít nu het nieuwe, echte communicatiekanaal is. Dat geldt voor AP én voor het Witte Huis. Binnen enkele minuten was de valse tweet gecorrigeerd, maar de schade was al aangericht.
Hackers van bijvoorbeeld ISIS en Syrië weten zo met weinig middelen en relatief weinig inzet een enorm effect te hebben. De vraag is of het hierbij blijft, of dat ze meer kunnen doen. Een bijkomende vraag is of de hacks echt door die mensen daar is gedaan, of door hackertjes hier die bijvoorbeeld sympathiseren of simpelweg willen ‘meerellen’. Roem, reputatie en rellen kunnen krachtige drijfveren zijn voor hackers. Zij kunnen zo flinke schade veroorzaken.
De CISO wordt erop aangesproken
Nu lijkt iets als Twitter wellicht bij de afdeling communicatie of marketing te horen. Maar als zoiets als dit gebeurt, gaat de CEO eerst naar de CISO: ‘We zijn gehackt!’. Ook als dat niet zo is. Twitter, Facebook en vele andere dingen vallen buiten het blikveld van de CISO, maar raken zijn werk wel. Het gaat niet alleen om social media, maar om alles wat je bedrijfsvoering kan raken.
Denk bijvoorbeeld aan DNS-redirects, waardoor bezoekers aan je website worden omgeleid naar een andere website. Denk ook aan typosquatting. Fox-IT heeft dat ooit als grapje gedaan met een domein van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK). Wij hadden een domeinnaam geclaimd die sterk leek op die van het ministerie, om te onderzoeken of we zo gevoelige e-mails konden onderscheppen. Zo heb je een aanval van drie euro negenennegentig; dat kost een domeinnaam voor een kwartaal.
Opnemen in je crisishandboek
De CISO moet zijn blikveld verbreden. Je moet je ten eerste afvragen: ‘Ben ik een potentieel target voor relschoppers?’ Zie dat breed. Mijn CISO heeft me eigenlijk nooit gevraagd naar de beveiliging van mijn Twitter-account, terwijl dat ook impact kan hebben op het bedrijf. Neem dus niet alleen officiële kanalen en platformen mee en kijk niet alleen maar naar je primaire bedrijfsvoering.
Ik heb een keer gezien dat een klant zijn kernsystemen goed had beschermd, maar een webserver niet zo. Ondanks dat die website echt niets belangrijks bevatte, was een hack daarvan reden tot zorg. Ook als het je primaire proces niet verstoort, bezorgt het je organisatie de schijn van onveiligheid. Zoiets hoort in je crisishandboek, dat je er klaar voor staat net als voor gewone hacks.