Laten we hackers in de portemonnee pakken

Laten we hackers in de portemonnee pakken

De Amerikaanse beveiligingsgoeroe Bruce Schneier roept al jaren dat het bespelen van de economie de sleutel is tot betere beveiliging worden. De FIOD en KLPD brengen dat in praktijk.

Het is zo logisch dat je het bijna een open deur zou mogen noemen: iedereen heeft een eigen economie. Als je die weet te beïnvloeden kun je betere beveiliging afdwingen. Bruce Schneier verkondigt die gedachte al jaren. Wie ongewenste berichten verstuurt verdient geld door het kleine percentage van heel veel ontvangers die op een link klikken. Een boete haalt de business case onderuit en is met voldoende pakkans een effectieve dreiging.

Oplichtersmail
Een groot probleem is op dit moment phishing. Dat zijn oplichtersmailtjes die erop zijn gericht om u te bewegen iets te doen: in te loggen bij internetbankieren, gegevens af te geven, software te installeren op uw computer, enzovoort. Om die berichten te kunnen sturen wordt er gehackt op systemen om zo mensen te kunnen adresseren of, nog beter, om de tuin te kunnen leiden. Dat zagen we bijvoorbeeld na de inbraak bij webwinkel Replace Direct. Oplichters benaderde de klanten van dit bedrijf.

Daarna wordt er gespammed en klikken mensen op een link. Zodra dat gebeurt is het de vraag welke gevolgen dit allemaal heeft. Soms is het ‘slechts’ het invullen van gegevens, maar vaak gebeurt er meer. Mensen krijgen kwaadaardige software geïnstalleerd, soms wordt de computer gehackt en nog meer informatie gestolen. Het aanpakken van de daders is ingewikkeld, arbeidsintensief en als er al een verdachte wordt gevonden dan is dat in een ver buitenland.

Economie bestrijden
In een klein bericht lijkt iets te worden gemeld dat ogenschijnlijk niet zo spannend is: twee mannen zijn aangehouden na witwassen. Toch is het nieuws opmerkelijk. De aanhoudingen houden verband met phishing en dit keer is de geldstroom aangepakt. Twee verdachten werden aangehouden, in een telecomwinkel werd negentigduizend euro in contanten aangetroffen met daarbij grote stapels telefoonkaarten.

De KLPD en de FIOD hebben daarmee een grote slag geslagen, want nu ligt de geldstroom (tijdelijk?) stil. Phishing is leuk als je geld uit Nederland weet te incasseren of – zoals in dit geval – weet wit te wassen. De hackers rol je niet meteen op en mogelijk ook de spammers niet, maar de business case wordt wel verstoord. Dus uiteindelijk bereik je hetzelfde effect en meer: mogelijk krijgen slachtoffers hun geld terug.

Met een beetje mazzel wordt uiteindelijk het hele phishing-netwerk opgerold en komen veel meer verdachten in beeld. Beginnen bij de economie is een lonende manier van problemen aanpakken. Precies daarom ben ik voor het strafbaar stellen van slechte bescherming van persoonsgegevens.

Ik zei het al: het is een open deur. In Amerika gebeurt dit al langer. Niet voor niets werd vol ingezet op het laten opdrogen van geldstromen naar Wikileaks via bedrijven als Bank of America, Paypal, VISA en MasterCard. Daar raak je iedere organisatie mee. Zeker als 95 procent van de inkomsten wegvallen. Dat werkt effectiever dan het lek aanpakken, als dat nog kan, of je zo gedragen dat er geen misstanden meer zijn om te onthullen. Tja … change the economics and you’ll win!

Uw baas snapt vast ook niets van beveiliging

Om hun positie waardig te zijn, moeten bestuurders hun kennis over informatiebeveiliging ernstig bijspijkeren. Een terecht advies, want ze maken zichzelf nu belachelijk.

Eigenlijk zegt de Onderzoeksraad voor Veiligheid het ook in een rapport van afgelopen week: bestuurders bemoeien zich nauwelijks met informatiebeveiliging, want ze ontberen de kennis. Dat is een van de lessen die we moeten trekken uit het drama rond DigiNotar.

Gebrek aan daadkracht
Natuurlijk was de conclusie dat het bedrijf zelf fors zijn boekje te buiten ging door de inbraak niet te melden. Maar ook de overheid schoot ernstig tekort door niet strikt op het uitbestede werk toe te zien en teveel op audits te vertrouwen. De overheid wist dat er ellende in de lucht hing, want al in mei waarschuwde ze voor aanvallen.

Daadkrachtig bestuur ontbrak echter, en dus was de uiteindelijke hack toch een verrassing voor de overheid. De onderzoeksraad ging op onderzoek uit en keek ook bij de Sociale Verzekeringsbank, de Belastingdienst en diverse gemeenten. De conclusie is dat beveiliging gewoon niet leeft onder bestuurders. Tjibbe Joustra adviseert dat er, net als kennis over financiën, ook kennis rond beveiliging in de bestuurskamer hoort te zijn.

Symptomatisch
Bij de hack op DigiNotar was de onkunde evident en later, toen ik Lektober organiseerde, werd de omvang van de onkunde helder. Er is elke dag wel een nieuwe hack te melden. Binnen de industrie is dat al langer bekend en zijn er volop grappen over gebrekkig management.

In de fysieke wereld zien we deze problematiek ook. Wie gaat vliegen, moet nagelschaartjes inleveren. Dat is een reactie op de aanslagen van 11 september 2001. Maar de messen waren slechts instrumenten, en zijn eigenlijk door van alles te vervangen. Het échte probleem is dat een terrorist met zulke plannen niet op een luchthaven thuishoort, en dat oplossen is minder eenvoudig.

Net zo onlogisch is de uitvoering van het verbod op vloeistoffen. Op de luchthaven pakt de bewaker het potentiële explosief af en deponeert het in een grote ton. De rest van de dienst staat hij daar doodkalm naast, alsof er ineens geen explosief gevaar meer is.

Liften hacken
Vorige week mocht ik een nacht doorbrengen in het Kurhaus en werd mij verteld dat mijn kamerpas ook de lift bediende. Maar het beveiligingssysteem was nep en je hoeft niet eens hotelgast zijn om op de executive floor te kunnen komen:

Niet onschuldig
Domme maatregelen zoals de voorbeelden lijken onschuldig, maar zijn het niet. Los van het feit dat we recht hebben op echt doordachte beveiliging, geldt nog iets: euro’s en menskracht zijn schaarse goederen. De inzet moet dus effectief zijn. Digitaal zijn veel managers al blij te kunnen verkondigen dat ze een firewall hebben, en dat moet het dan zijn. Maar ja … een firewall had DigiNotar ook. Het punt was dat hun netwerk een puinhoop was.

Het rapport van de Onderzoeksraad geeft hoop. Niet in de laatste plaats omdat ze stellen dat bestuurders ook hun beveiliging transparant moeten verdedigen. Zij leggen de vinger bij herhaling op de zere plek. Bestuurders moeten dus op bijscholing. Dat wordt een verademing, want dan gaat het verstand en niet de angst regeren.

Ondertussen doen ze bij de Vereniging Nederlandse Gemeenten wat verstandig is: actieve ondersteuning aan bestuurders bieden. Nu het ministerie van Binnenlandse Zaken nog, want dat schuift het probleem weer van de overheid naar de burger. Misschien moeten zij hun nagelschaartjes inleveren en verantwoording nemen. Dus: zinvolle gegevensbescherming of gewoon onze data niet verwerken.