Oefen eens een crisis rond een datalek met een serious game

Hoe goed bent u in staat een datalek te bestrijden als een hacker zijn slag heeft geslagen?  Hoe is het zelf te belanden in een heuse crisis? Test het uit tijdens een heuse crisisoefening. Een hacker heeft toegeslagen en eist nu een ‘beloning. U stapt in het crisiscentrum om samen met anderen mee te helpen de schade, gevolgen en verspreiden van gelekte gegevens tegen te gaan. Hoe leiden we een crisis in goede banen? Welke stappen gaan we zetten en in welke volgorde? Welke organisaties zijn nuttig en wat is een verspilling? Kunt uw klant tevreden houden?

Tijdens de serious game spelen deze en andere vragen een belangrijk rol. De spannende crisis die ongeveer 70 minuten duurt, voeren de deelnemers de regie over het afwikkelen van het datalek. Sta stil bij de vele aspecten, zoals techniek, juridische gevolgen, continuïteit van de organisatie en organisatiepolitiek.  De deelnemers bepalen welke rol communicatie, juridische zaken, technische beschikbaarheid, onderzoek, de justitiële keten en de ketenpartners krijgen. Tijdens de oefening zijn er allerlei verstoringen. Voor welke is aandacht en vooral voor welke interrupties niet? Met behulp van audioboodschappen, video’s, interacties en opdrachten ondergaat de groep de hack met al haar facetten. De oefening is een eigen productie gemaakt in samenwerking met het Centrum voor Informatiebeveiliging en Privacybescherming en de Informatiebeveiligingsdienst. Snel aan de slag, want de klok tikt door!

Een voorproefje met hoogtepunten ziet u hier:

Première Find My Phone – Anthony van der Meer

Dit keer in plaats van een reguliere CIPcast de première van een documentaire.

Per week wordt er in Nederland 300 keer aangifte gedaan van smartphone diefstal. Naast het feit dat je een dure telefoon kwijt bent, heeft een onbekende ook toegang tot al je foto’s, video’s, e-mails, contacten en berichten. Maar wat voor persoon steelt een telefoon? En waar komen die telefoons terecht? In de documentaire Find my Phone wordt het tweede leven van een gestolen telefoon gevolgd. Door middel van spyware maak je kennis met de persoon achter de diefstal. Maar hoe goed kun je iemand eigenlijk leren kennen aan de hand van zijn telefoon?

Een vrij beschikbare bewustwordingstraining

Ieder bedrijf hoort aan bewustwording binnen de organisatie te doen. Dat is niet alleen een onderdeel van beveiligingsnormen, maar ook noodzakelijk om ieder beleid kansrijk te maken. Personeel zal dus moeten worden getraind. Radically Open Security ontwikkelt producten die vrij beschikbaar zijn om te gebruiken en ontwikkelden een bewustwordingstraining in opdracht van een van hun klanten.

De training is kosteloos en herbruikbaar beschikbaar. Hoe dat werkt vertelt Melanie Rieback, de oprichter van het bedrijf, aan Ad Reuijl van het CIP.

 

De documenten van de training zijn hier beschikbaar:

 

 

 

Hobbyproject Stemcomputers

Dinsdag stemt de kamer over een experiment met een stemcomputer. Het hobbyproject ontbeert financiële dekking, sjoemelt met beveiligingseisen en lijkt op één leverancier toe te spitsen.

Het wetsvoorstel is een initiatief van VVD-kamerlid Joost Taverne. Hij wil proberen in een beperkt aantal gemeenten met een computer te stemmen. Wat de test moet kosten is onzeker, omdat de ontwerpen er nog niet zijn. Maar volgens Taverne moeten we rekening houden met een bedrag van minimaal 20 miljoen euro. Landelijk zou dit het tienvoudige zijn.

Geen dekking

Waar het geld vandaan moet komen is voor de VVD’er een raadsel. Daarom wees Minister Plasterk erop dat verkiezingen voor rekening van de gemeenten komen. De reactie van de Vereniging Nederlandse Gemeenten spreekt boekdelen. Na jarenlang roepen dat de computers zoveel geld besparen, hoeven ze hem opeens niet meer.

De rekenmeesters van de VNG zien de bui namelijk al hangen. Na aanschaf van de stemcomputers moet je manipulatie voorkomen. De software heeft updates nodig en fysiek is veel aan beveiliging nodig. Vooral dat laatste is enorm duur als je dat goed wilt doen. Manipuleren kan in seconden. Bewaking is dan ook een continu proces.

Onveilig

Daarnaast valt er al vóór de computer is uitgedacht te twijfelen over de beveiliging. De aangetrokken expertgroep besloot namelijk al heel snel de eisen naar beneden bij te stellen. Wie verkiezingen serieus neemt, zorgt dat mensen in vrijheid kunnen stemmen en dat geheim blijft wat ze stemmen. Ook moet je niet verkiezingen kunnen stelen.

Daarvoor moet je exact weten wat je computers doen: zowel de hardware als de software. Die les hebben we wel van het Volkswagen-dieselschandaal geleerd. Op de productie van de computers zelf zal er volledige regie moeten zijn. Alleen hebben de experts die eis laten vallen, omdat dan de kostprijs van de machines velen malen hoger wordt.

Met dank aan zeer verfijnde microtechnologie wordt het steeds lastiger manipulatie of het opslaan van stemgedrag te detecteren. Dat is allemaal theoretisch geneuzel zolang je de verkiezingen maar gelooft. Alleen als dat niet het geval is dan heb je een dijk van een probleem: verkiezingen gaan immers over het overtuigen van de verliezer.

Grondwettelijke regels

In Duitsland zijn daarom stemcomputers defacto verboden door het grondwettelijk hof. Dat redeneert namelijk zo dat iedereen altijd moet kunnen begrijpen hoe verkiezingen lopen. Kun je het systeem niet uitleggen aan mijn 84-jaar oude moeder dan houdt het gewoon op. Democratie hoort namelijk geen zwarte magie te zijn.

Maar Joost Taverne heeft een broertje dood aan rechters die op grondrechten toetsen. Hij negeerde de uitspraak van het Hof om doodleuk zijn mede politici in het debat te doen geloven dat juist in Duitsland stevig werd geëxperimenteerd met stemcomputers. Minister Plasterk corrigeerde hem hierop.

Ongeloofwaardig

En waarom doet Joost het allemaal? Volgens zijn Twitter-feed voor de gehandicapten, die dan zelfstandig kunnen stemmen. Nogal ongeloofwaardig als je bij de VVD hoort. De partij probeerde een paar weken geleden nog te voorkomen dat ondernemers hun winkels voor rolstoelen toegankelijk moeten maken of hun website vriendelijker voor blinden.

Dinsdag stemt de Kamer het wetsvoorstel waarschijnlijk af. Hoe de computers eruit gaan zien is nog onbekend. Maar waarschijnlijk werken ze ongeveer zoals Smartmatic, dochter van de Britse SGO Groep, ze maakt. Dat bedrijf mocht namelijk op uitnodiging van de VVD een lobbytocht langs politici maken. Ze leveren ook een prima oplossing als we alleen beveiligingseisen en democratische controlemechanisme loslaten.

Erik de Jong: Hoe moet je omgaan met cryptolocker?

Wat moet er gebeuren als je organisatie geconfronteerd wordt met een datalek. Natuurlijk is het eerst achterhalen wat er gebeurd is en wat de acties zouden moeten zijn. Maar hoe moet het forensisch onderzoek plaatsvinden, hoe moet je een crisis team inrichten, welke expertise moet daarin vertegenwoordigd zijn. Erik de Jong van Fox-it legt aan Brenno de Winter uit welke stappen een organisatie moet nemen om te achterhalen of er een datalek is en hoe daar mee om te gaan. Stel je hebt last van een cryptolocker wat kun je dan doen? Moet je ingaan op de eisen van de aanvallers en geld betalen? Hoe werkt het proces dan, als je ingaat op de chantage eisen hoe gaat dat dan?

Eerder vertelde Erik de Jong al over datalekken. Welke stappen moet je nu zetten om later datalekken te kunnen opsporen en te achterhalen wat er precies gebeurd is?

Als de macht geen kennis heeft

Kennis is macht, maar heeft de macht ook kennis? Met het wetsvoorstel van Ard van der Steur om de politie te laten hacken is veel mis. Neem het gebrek aan kennis bij mensen met veel macht.

Rechter

Als de hackbevoegdheid wordt ingezet dan gaan de rechter-commissaris en de Officier van Justitie daarover. In de toelichting bij de wet erkent de minister dat het bij hen ontbreekt aan kennis. Volgens de minister moet daarom worden afgegaan op de expertise van de politie.

In tegenstelling tot bijvoorbeeld een huiszoeking kijkt een rechter-commissaris niet mee tijdens het hacken. Dat zou ook weinig uithalen, want probeer maar een handeling te destilleren uit allerlei ingewikkelde plaatjes op het scherm of langs vliegende karakters. De rechtelijke macht heeft gewoon die kennis niet en krijgt die van Van der Steur ook niet.

Advocaten

Voor de advocaat is het nog lastiger. Hij moet afgaan op het verslag van de agent. Daar moet maar uit blijken of de juiste apparaten zijn gehacked, het bewijs klopt of er is gerommeld met het bewijs. Dat laatste lijkt misschien vergezocht, maar in 2013 bleken tapgesprekken in een drugszaak door de politie verzonnen. Een gesprek is terug te luisteren, maar bij een proces-verbaal van een hack ontbreekt het onderliggende bewijs.

In het wetsvoorstel staat of valt een zaak met die ene hackende expert met veel kennis en vooral veel macht. En de advocaat krijgt niet de toegang tot die informatie om onschuldige mensen straks uit de cel te kunnen houden.

Politiek

En de politiek? Die gaat straks stemmen over een wetsvoorstel, waarbij de toelichting op de wet beschrijft dat ze veel informatie (en dus kennis) niet hebben. Bijvoorbeeld: Hoe stellen we vast of de gebruikte hulpmiddelen correct functioneren? Hoe waarborgen we het updaten van hacking tools en de correcte werking na een update? Hoe voorkomen we dat er fouten worden gemaakt? Hoe  regelen we toezicht tijdens het hacken?

Al deze vragen moeten in een later stadium na het aannemen van de wet nog eens beantwoord worden. De kamer ontbeert dus zeer belangrijke kennis en op ict-gebied concluderen ze zelf ook al kennis te ontberen:

“De Kamer maakt haar controlerende taak niet waar door een gebrek aan interesse voor ICT en een gebrek aan deskundigheid op ICT-gebied.”

Tja kennis is macht, maar bij de hackbevoegdheid ontbreekt het aan kennis bij hele machtige mensen…

De duivel uitdrijven met Beëlzebub

Het klinkt simpel: als hackers inbreken in computers, dan moeten we de politie ook de mogelijkheid tot hacken bieden. Het lijkt een nuttig middel om hackers te stoppen. Alleen worden wij er onveiliger van. Het is de duivel uitdrijven met Beëlzebub.

In het wetsvoorstel, dat nu bij de Tweede Kamer ligt, krijgt de politie de bevoegdheid om ook te mogen hacken in computers, mobieltjes en andere apparaten die met internet verbonden zijn. Eufemistisch noemt Minister Van der Steur het “heimelijk en op afstand (‘on line’) onderzoek doen in computers”.

Inbrekerstuig

Hacken is niet de digitale variant van inbreken in een huis. Om binnen te komen in een computersysteem (of mobiel) zijn zwakheden nodig. Zodra die lekken zijn verholpen werkt de aanval niet meer. Je kunt digitaal niet een deur intrappen of een ruit open maken en die achteraf vervangen.

Wil de politie binnenkomen dan zijn zogenaamde 0day-lekken nodig ofwel lekken die nog niet publiekelijk bekend zijn. Bedrijven als Hacking Team leveren dit soort digitaal inbrekerstuig aan overheden.

Lekken niet dichten

De lekken worden aangeboden in een schimmige wereld. Bij het kopen van 0day-lekken van hackers beloven ze naast tienduizenden euro’s te betalen de zwakheden niet bij de leverancier te melden, zodat de aanval blijft werken.

Zoals beschreven in deze e-mail met afspraken met een Russische hacker:

“You promise to not report this 0day to vendor or disclosure it before the patch. obviously it is not our interest!”

Duistere zaken

Om te kunnen inbreken op enkele computers van verdachten blijven honderden miljoenen computers lek. Want zodra de zwakheid is gemeld bij de softwarebouwer kan die het probleem dichten. Als dat is gedaan dan is deze route om binnen te komen afgelopen.

Het kopen van dit soort 0day-lekken is een duistere business, waarin veel geld omgaat. Sommige experts zijn zeer actief in het vinden van deze lekken voor de handel. Niets staat ze in de weg om naast het verkopen van de lekken aan Hacking Team ze ook aan criminelen te verkopen.

Schimmige zaken

Ondertussen blijkt onze politie serieus geïnteresseerd te zijn om met Hacking Team zaken te doen. Een pijnlijke bijkomstigheid daarbij is dat deze beoogd leverancier hun tools ook leveren aan twijfelachtige regeringen van landen als Azerbeidzjan, Kazachstan, Uzbekistan, Rusland, Bahrein, Saudi Arabië, de Verenigd Arabische Emiraten, Nigeria en Ethiopië.

In deze landen nemen de overheden het niet altijd even nauw met de mensenrechten. Het digitaal inbrekerstuig wordt regelmatig gebruikt om in te breken op computers van journalisten. Dat brengt zowel hen als hun bronnen in gevaar. Ook bijvoorbeeld tegenstanders van dergelijke regimes worden door dit soort hackertools aangevallen.

Duivel uitdrijven

Krijgt de minister zijn zin krijgt dan wordt het aanschaffen van digitaal inbrekerstuig legitiem We houden daarmee een industrie in stand met als gevolg het minder snel dichten van lekken met bijkomende onveiligheid.

De lekken zijn ondertussen voor iedereen beschikbaar: twijfelachtige regimes, de politie met goed bedoelde intenties, criminelen en organisaties die bedrijfsspionage willen plegen. Alleen daarom is de voorgestelde hackbevoegdheid een klassiek voorbeeld van de Duivel uitdrijven met Beëlzebub.

De regering begint 2016 ronduit goed!

Eindelijk geeft Nederland aan hoe we omgaan met versleuteling op internet. De keuze is lastig, omdat opsporingsbelangen botsen met een vrij internet. Minister Ard van der Steur begint het jaar goed door een duidelijk keuze te maken: versleuteling is te belangrijk om stuk te maken.

Dat blijkt uit een brief aan de Tweede Kamer heeft gestuurd.

Lastig probleem

Om vertrouwelijk te communiceren, wordt op internet gebruik gemaakt van encryptie. Daardoor kunnen we veel veiliger financiële transacties doen, persoonlijke communicatie beschermen, blijven bedrijfsgeheimen vertrouwelijk en kunnen ook overheden veilig communiceren. In een digitale wereld heb je dat nodig om vertrouwd zaken te kunnen doen.

Aan de andere kant is er een roep om juist de versleuteling te verzwakken door achterdeurtjes in te bouwen of de sleutels aan de overheid te geven. Zo kunnen bij belangrijke opsporingsonderzoeken vertrouwelijke gegevens toch worden achterhaald. Vooral na aanslagen of bij kinderporno wordt die oproep veel gedaan.

Haken en ogen

Maar het probleem van achterdeurtjes is dat ook een kwaadwillende die kan achterhalen. Door software te analyseren, in te breken bij overheden of in sommige gevallen netwerkverkeer te analyseren, krijgen onbevoegden dan ook toegang tot de gegevens. Als je cryptografie verzwakt dan schaadt je daarmee de werking van de technologie. Een beetje stuk voor alleen een goedwillende overheid bestaat niet.

Het stuk maken van technologie heeft het grote gevaar dat deze technologieën op een gegeven moment niet meer zijn te gebruiken. Je kunt dan niet meer vertrouwd een financiële transactie doen, niet meer vertrouwen op bepaalde systemen en uiteindelijk raakt dat het vertrouwen in de digitale economie (online bestellen, online betalen, informatie opslaan in de cloud, enzovoort).

De vraag is dus of je nog open voor business bent als de onderliggende technologie is beschadigd. Waarom zou een bedrijf uit het buitenland de informatie in Nederland opslaan als een buurland de mogelijkheid biedt om wel veilig te werken? De risico’s die je loopt met het verzwakken van versleuteling zijn enorm.

Keuzes maken

De keuze die eigenlijk voorligt is de vraag wat belangrijker is: een digitale samenleving hebben en houden of een overheid – in theorie – altijd toegang tot alle informatie bieden. Daarbij moeten we ons wel beseffen dat een beetje crimineel zich niet zou houden aan de regel dat cryptografie verzwakt moet zijn en je uiteindelijk de goedwillende burger benadeelt.

Minister Ard van der Steur begint het jaar 2016 goed in zijn brief aan de Tweede Kamer die keuze duidelijk te maken voor een vrij internet en niet cryptografie stuk te maken:

“Het kabinet heeft tot taak de veiligheid van Nederland te waarborgen en strafbare feiten op te sporen. Het kabinet onderstreept hierbij de noodzaak tot rechtmatige toegang tot gegevens en communicatie. Daarnaast zijn overheden, bedrijven en burgers gebaat bij maximale veiligheid van de digitale systemen. Het kabinet onderschrijft het belang van sterke encryptie voor de veiligheid op internet, ter ondersteuning van de bescherming van de persoonlijke levenssfeer van burgers, voor vertrouwelijke communicatie van overheid en bedrijven, en voor de Nederlandse economie.

Derhalve is het kabinet van mening dat het op dit moment niet wenselijk is om beperkende wettelijke maatregelen te nemen ten aanzien van de ontwikkeling, de beschikbaarheid en het gebruik van encryptie binnen Nederland. In de internationale context zal Nederland deze conclusie en de afwegingen die daaraan ten grondslag liggen uitdragen.”

Winst

Op dit dossier kiest de regering voor een vertrouwde digitale samenleving. Dat is goed nieuws en winst. Nu hopen dat met dit standpunt ook Minister Plasterk zijn wetsvoorstel voor de inlichtingendiensten aanpast. Hij eiste onder omstandigheden ook verzwakking van cryptografie.

Overigens is daarmee niet alles veilig voor de criminelen, want als het aan de regering ligt wordt het wel mogelijk op computers in te breken en zo bij gegevens te komen vóór ze worden versleuteld.

Digitale veiligheid moet aandacht op scholen krijgen

Regelmatig blijken grote hacks een eenvoudig te voorkomen oorzaak te hebben. Het gevolg is dat gevoelige gegevens van de klant, burger of zakelijk partner in foute handen komen. Volgens de Cyber Security Raad schiet de kennis ernstig tekort. Het lesprogramma moet daarom om. Eind oktober bracht ik het verhaal van een USB-stick die door de HEMA uit de handel was genomen. De oorzaak was een reeks beveiligingsproblemen. Zo deugde de software op de stick niet. Ook de clouddienst waar mensen een backup konden achterlaten zat vol fouten.

Het geheel was een tombola van nogal breed bekende programmeer- en configuratiefouten. Wie kwaad in de zin had, kon niet alleen documenten stelen maar ook andere diensten van de leverancier van de clouddienst misbruiken. De HEMA had zelf niet genoeg onderzoek naar hun partner gedaan en stoppen met het product was de enige zinnige optie.

Betere opleiding

Bij het ontwikkelen van software gaat nog altijd veel mis. De Cyber Security Raad, een adviesorgaan van de overheid, constateert dat een oplossing ligt in het beter opleiden van mensen. In een rapport maandag (PDF) pleit zij voor een beter aanbod van lessen. Dat begint wat hen betreft al op heel jonge leeftijd. Zo gaan jongeren bewuster met technologie om.

Ook moeten de vakopleidingen beter zodat beveiliging meer aandacht krijgt. Ook zal er een tekort aan beveiligingsexperts. Om in de toekomst mee te blijven doen in de vaart der volkeren moeten opleidingen anders. Bedrijfsleven en ICT’ers zouden ook een rol moeten krijgen, stelt de Raad.

Tekort

De Cyber Security Raad waarschuwt dat we een tekort aan beveiligingsexperts gaan krijgen. Zelfs als we beveiligingsproblemen te lijf willen gaan dan ontbreekt het binnenkort aan expertise. Volgens het adviesorgaan is de problematiek dan ook urgent.

“Als Nederland niet genoeg investeert in cybersecurity, kunnen bedrijfsleven, overheid en burgers kwetsbaar worden voor onder andere bedrijfsspionage, het stelen van privacygevoelige gegevens, identiteitsfraude, productieverstoring of imagoschade”, waarschuwt de Cyber Security Raad. “De digitale toekomst van Nederland moet veilig worden gesteld. Dat kan door te zorgen voor voldoende cybersecurity professionals en door de Nederlandse jeugd voor te bereiden op de digitale toekomst.”

Verkeerde loket

In totaal zijn er zes aanbevelingen. Ze liggen zo voor de hand dat je zou denken dat het een open deur intrappen is. Maar het probleem is wel dat het rapport veel werk zou betekenen als de adviezen worden opgevolgd. Opleidingen moeten anders en ook docenten moeten worden opgeleid. Werk aan de winkel voor het Ministerie van Onderwijs, Cultuur en Wetenschappen, een departement dat op het digitale dossier niet bepaald uitblinkt.

Maar bij de uitreiking schittert staatssecretaris Sander Dekker door afwezigheid. Zijn collega van Veiligheid en Justitie, Klaas Dijkhoff, neemt het in ontvangst. Dat is het verkeerde loket, want het gaat echt om opleiding. Dat is weinig geruststellend. De digitale samenleving is realiteit. Wat kan urgenter zijn dan volgende generaties daarvoor weerbaar maken?

Alert Online over social engineering

Eenmaal per jaar is er in Nederland aandacht voor de risico’s van online werken op internet. In het kader van deze bewustwordingscampagne is onderstaande video beschikbaar over de gevaren van social engineering (het je voordoen als iemand anders). Om veiliger te zijn kunt u zelf veel eenvoudige stappen zetten. Zie daarvoor de adviezenpagina op Alert Online of verdiep u via De Beveiligingsupdate.