Digitale stormvloed: Beveiliging is wachten op de Titanic

In mijn boek “Digitale stormvloed” sta ik uitgebreid stil bij tussen de parallel die er is tussen fysieke veiligheid en digitale veiligheid. Het kantelpunt bij fysieke veiligheid in vooral de logistiek is evident de ondergang van de Titanic. In de digitale veiligheid is dat kantelpunt nog niet geweest. De passage uit het boek treft u hieronder aan.

Wat de samenleving veiliger kan maken, hebben we in vergelijkbare situaties al geleerd. Na een groot veiligheidsincident in de scheepvaart, met een trein of in de luchtvaart volgt steevast een publiek rapport. We trekken lessen die vaak uitmonden in duidelijke regels. Na het verdwijnen van de MH370 wordt overwogen om gebruik te gaan maken van het Inmarsat-satellietsysteem dat momenteel ook in de zeevaart in moeilijk te volgen gebieden een rol speelt. Na de crash van het vliegtuig van Turkish Airlines bij Schiphol zijn bijvoorbeeld verbeteringen in de hulpverlening doorgevoerd. Na het neerschieten van de MH17 is afgesproken dat een aantal inlichtingendiensten beter waarschuwen voor gevaarlijke gebieden en is besloten om niet langer over conflictgebieden te vliegen als dat niet echt noodzakelijk is. Maar in de informatiebeveiliging is het nog niet gebruikelijk om na een groot incident breed lessen te trekken en bindend regels op te leggen. Het lijkt erop alsof de wereld wacht op de digitale ondergang van een Titanic voor er echt iets verandert.

Als een bedrijf bij een presentatie wil laten zien dat juist zij een goede partner zijn voor informatiebeveiliging, dan begint het verhaal doorgaans met statistieken: hoeveel records er elke minuut worden gelekt, wat een gemiddeld incident kost, hoeveel incidenten er zijn, wat de maatschappelijke schade is, hoeveel meldingen er van datalekken zijn gedaan en ga zo maar door. Cijfertjes, cijfertjes en nog meer cijfertjes met als onderliggende boodschap: het is allemaal heel erg slecht gesteld met beveiliging. Deze zorgelijkheid is als sneeuw voor de zon verdwenen, wanneer een hack in het nieuws komt. Dan nemen we het incident voor kennisgeving aan. We vragen niet door hoe het komt en nog belangrijker: wat we kunnen leren om de hack te voorkomen.

Dat verschijnsel is niet nieuw en valt te vergelijken met veiligheidsincidenten. In 1120 loopt het Engelse White Ship aan de grond: 300 mensen komen om het leven. Ook de troonopvolger voor het Britse koningshuis vergaat met het schip en daardoor start een periode van twintig jaar ruzie om de troon. Kamikazes – oorspronkelijke betekenis: ‘goddelijke wind’ – redden Japan tot twee keer aan toe van een Mongoolse invasie. In deze hevige stormen vergaan in 1274 en 1281 diverse Mongolische schepen met meer dan 100.000 doden als gevolg. In 1647 loopt het Nederlandse schip de Prinses Amelia aan de grond met 86 doden als gevolg. In 1694 komen 498 mensen om het leven toen HMS Sussex in een storm vergaat en in 1703 kwamen meer dan 1.500 mensen om het leven als dertien Engelse schepen in het kanaal vergaan. Het is zomaar een greep uit een grote reeks incidenten in de zeevaart. De ernst dringt wel door, er zijn cijfers, mensen zien het probleem wel, mensen zijn getroffen, maar fundamenteel verandert er niets.

In de ICT meten we niet in omgekomen mensen, maar in vooral in datarecords die gelekt zijn. Inmiddels komen met enige regelmaat aantallen van miljoenen inloggegevens of honderden miljoenen creditcardnummers langs, met Yahoo! als voorlopig dieptepunt met naar schatting meer dan een miljard records. Soms kost een datalek daadwerkelijk mensenlevens. Dat kan bijvoorbeeld als een zelfrijdende auto niet functioneert, beveiligingssystemen niet aanslaan of bijvoorbeeld medische apparatuur het laat afweten. Maar ook die incidenten blijven een nieuwsfeit. Er is zelfs een zeer toonaangevende lijst met de top-10 van het vrijwilligersproject OWASP met meest prominente technische oorzaken voor hacks. De oorzaken van de hacks wisselen eens in de drie jaar van positie. Er komt er eentje bij of gaat er eentje af, maar de fundamentele oorzaken worden niet aangepakt, uitgebannen of fors verminderd. Dat is op zijn minst merkwaardig, aangezien een aantal zaken uit deze lijst zeer simpel te voorkomen zijn.

Bindende regelgeving

In de zeevaart volgt een breed gedragen besef dat er iets fundamenteel moet veranderen als de stoomschepen hun intrede doen. Deze boten varen sneller en door een gebrek aan verkeersregels gaat het weleens mis. Het aantal incidenten groeit hand over hand toe en het vertrouwen dreigt te worden ondermijnd. Daarom volgt in 1889 volgt een conferentie in Washington waar vooral verkeersregels op zee een belangrijk onderwerp zijn. De regels worden opgesteld, maar onder andere de Britten zien van deelname aan een verdrag af. De grote angst bij het bedrijfsleven is dat commerciële vrijheid in het geding zou komen als er regels aan de zeevaart zouden worden opgelegd. Verschillende landen maken, soms in samenwerking met andere landen, eigen regels. Het ontbreekt aan een algemene lijn en uniformiteit. Deze besluiteloosheid komt abrupt ten einde als de Titanic in 1912 na vijf dagen varen op haar eerste tocht zinkt na een aanvaring met een ijsberg. Het schip dat door de media was bestempeld als ‘onzinkbaar’ blijkt toch te kunnen vergaan. Onder de 1522 doden zitten veel prominenten en daardoor is er opeens een enorme ophef over de boot. De ramp spreekt enorm tot de verbeelding.

Het maatschappelijk debat dat volgt op de ramp is voor die tijd ongekend fel. Er is veel kritiek op de SS Californian een schip dat zich in de buurt van de Titanic bevindt en geen tijdige hulp biedt. Het schip heeft uren voor de ramp de Titanic gewaarschuwd voor drie grote ijsbergen, maar omdat er veel privéberichten worden gestuurd komt deze boodschap van de marconist pas uren later op de brug aan. Ook een bericht van de Californian dat zij omgeven zijn door pakijs komt niet door. Minuten voor de ramp gaat de marconist van het schip slapen en is er geen nachtdienst. Er worden lichtsignalen opgepikt, maar verkeerd geïnterpreteerd. Als uiteindelijk de Titanic zinkt, komt het langzaam verdwijnen van de lichten over als het wegvaren van het schip. Door alle misverstanden en miscommunicatie komt de SS Californian pas om 08:30 op de rampplek aan. Die hulp is dan te laat.

Ook het ontbreken van dwingende, uniforme regelgeving blijkt problematisch. De reder van dit onheilsschip blijkt er om esthetische redenen voor te kiezen het aantal reddingssloepen te halveren. Dat voorkomt volgens het bedrijf ook onnodige onrust bij de reizigers dat het varen op het schip gevaarlijk zou zijn. Een installatie voor morsecode is wel aan boord, al is ook dat niet verplicht. Dat betekent dat niet alle schepen over een dergelijke installatie beschikken. Wie een dergelijke installatie heeft, hoeft niet te voldoen aan een uitluisterplicht. Daarom kon de marconist van de SS Californian naar bed gaan en hoefde niemand het werk over te nemen. Dat niet ieder schip alert reageert op een mogelijke ramp is ook een manco in de regelgeving. Het bieden van die hulp is dan namelijk niet verplicht. De desastreuze gevolgen van deze keten aan gebrekkige regelgeving is bekend. In totaal komen bij deze ramp 1522 mensen om het leven. De zaak maakt door de omstandigheden zoveel indruk dat er nu iets verandert. In 1914 komt er voor het eerst een internationaal verdrag kwam (Safety of Life at Sea), waarin minimale eisen vast kwamen te liggen, zoals een plaats in een sloep voor iedereen, gebruik van radio, radiowacht, onderzoek naar rampen, de plicht om te helpen, het in kaart brengen van ijsbergen en meer. Veiligheidsregels worden de norm. Met enige regelmaat worden de regels herzien en aangescherpt.

In de ICT-industrie leven we overduidelijk in de periode die zich laat vergelijken met de tijd tussen de eerste Internationale Maritieme Conferentie van Washington in 1889 en de ondergang van de Titanic. We zien en onderkennen de problemen, willen we er best wel iets aan doen, maar komen niet tot harde minimale eisen die wereldwijd geaccepteerd worden. Software hoeft niet aan minimale kwaliteitseisen te voldoen. Ieder object mag hoe kwetsbaar ook op internet worden aangesloten, hoe gegevens worden opgeslagen is niet breed aan regelgeving onderworpen. Er bestaat geen plicht tot het monitoren of er daadwerkelijk een aanval plaatsvindt en er bestaat geen plicht om na een incident in openheid van de casus te leren. Daardoor is het beeld weinig hoopgevend. Miljarden apparaten worden aan internet gekoppeld, waarbij een deel wordt gekraakt en ingezet bij grote aanvallen. Bij simpele hacks is data vaak niet versleuteld en lekken nog veel persoonsgegevens naar criminelen met identiteitsdiefstal, fraude en andere criminaliteit als gevolg. Onderzoek leert dat veel beveiligingsincidenten pas na maanden of jaren worden ontdekt. Als de hacks ontdekt worden dan houden bedrijven dit vaak nog stil, waardoor de mensen – als echte slachtoffer – niet op de hoogte van de risico’s zijn. Ook blijft het vaak onduidelijk wat de echte oorzaak van incidenten is, waardoor we als industrie nauwelijks wijzer worden van de rampen die nu al hebben plaatsgevonden.

Er bestaat dan weliswaar enige regelgeving, maar die is – net als in de periode voor de ondergang van de Titanic – erg regionaal gebonden. Veel van die regelgeving is weinig expliciet, maar meer rond principes gebaseerd. Hierdoor ontbreekt het bij dienstverleners aan houvast van een minimale ondergrens waaraan ze moeten voldoen. Er is geen wereldwijde standaard die wordt omhelst. Ook is niet inzichtelijk voor mensen welke digitale dienstverlener betrouwbaar is, zaken goed heeft geregeld en verantwoord met persoonsgegevens omgaan. Meestal is onduidelijk wat er nu wel of niet aan beveiliging wordt gedaan.  Ondertussen klaagt het bedrijfsleven via brancheverenigingen dat privacywetgeving en vooral hun databescherming direct marketing en big data hinderen. Meer regels, zoals de Europese privacy verordening, zouden dan ook schadelijk kunnen zijn voor de commercie. En sommige bedrijven wagen het zelfs te stellen dat het wijzen op privacyrechten en informatiebeveiliging onrust bij de gebruikers zouden veroorzaken net zoals de reder bang was voor onrust bij de onzinkbare Titanic. Of wat vaak ook wordt geroepen: de onrust omdat de gebruikersvriendelijkheid te veel te leiden krijgt, waarbij snel wordt geroepen dat er een strijd tussen gebruikersvriendelijkheid en veiligheid is. Wat nog altijd minder indruk lijkt te maken, is dat gehackte computers van bedrijven een zinkend schip kunnen maken. Slechte beveiliging en het ontbreken van internationale heldere afspraken en werkwijzen zijn net zo funest voor het bedrijfsleven en raken het imago van hele industrieën.

Helaas valt er in dit kader weinig positiefs over de politiek te melden. Er komen wel ‘cybercrimeverdragen’ of in normaal Nederlands verdragen voor criminaliteit die via internet wordt gepleegd, maar die gaan vooral over opsporing van binnendringers en de straffen die zij tegemoet zien. Maar zoals gesteld, is dat slechts een klein deel van de oplossing, omdat daders vaak niet gepakt zijn en daders ook vaak overheden zijn. Nergens rept men over verantwoordelijkheden van organisaties die andermans gegevens beheren, een minimale norm waar ze aan zouden moeten voldoen, zelfs niet over consequenties of sancties bij uitlokking. Nog altijd ontbreekt het aan een minimale set aan beveiligingseisen, waarvan we als gezamenlijke industrie zeggen: als je dat niet geregeld hebt, word je op zijn minst aangemerkt als nalatig. Ook voor de makers van de boten – de softwareontwikkelaars – gelden niet eens minimale beveiligingseisen waar de producten aan moeten voldoen. Er bestaat geen lijst met zaken die minimaal geregeld moeten zijn om het leeuwendeel van de aanvallen te voorkomen. Voor de hand liggende punten, die door autoriteiten snel controleerbaar zijn. In de zeevaart worden de eisen na andere incidenten uitgebreid met maatregelen die de veiligheid verder kunnen vergroten. Dat daarenboven nog meer specifieke eisen voor een toepassing of een risicoprofiel kunnen gelden, spreekt voor zich.

Ondertussen tekenen de scenario’s voor digitale rampen zich talrijker en nadrukkelijker af. Het massaal op straat liggen van persoonsgegevens, het platgaan van bedrijfsprocessen in een ziekenhuis of een haven door gijzelsoftware, het platleggen van systemen door honderdduizenden of miljoenen Internet of Things-apparaten of het bewust infecteren van nucleaire installaties, zoals in Iran zijn daar duidelijke voorbeelden van.

Maar ook vormen van misbruik die we nog niet hebben gezien. Wie gebruikt maakt van een Tesla-auto (model S, X60 of 60D) heeft wel een accu met 75 kWh aan boord, maar kan standaard 60 kWh gebruiken. Om de laatste 15 kWh te kunnen gebruiken om daarmee een grotere actieradius te krijgen moet daarvoor een licentie verkrijgen. Deze kost tussen de 4500 en 9000 dollar. Na de verwoestende werking van de orkaan Irma in het Caraïbisch gebied verzoekt een klant in Florida het bedrijf deze capaciteit beschikbaar te maken om de storm te ontvluchten. Het bedrijf besluit daarop alle auto’s in ontruimingsgebied tijdelijk van een groter bereik te voorzien door automatisch een update te geven. Ook andere automerken werken meer en meer naar een licentiemodel toe.

Zulke mogelijkheden in verkeerde handen maken sommige doemscenario’s niet zo denkbeeldig. Want een avondspits kan vervallen in totale chaos als auto’s opeens niet meer functioneren of een dramatisch kleinere actieradius hebben. Het op afstand toegang krijgen tot auto’s leidt vaker ook tot hacks. Chinese onderzoekers toonden in 2016 en in 2017 aan in staat te zijn een Tesla op zo’n 20 kilometer afstand te kunnen laten stoppen.

 

Digitaal gezien blijven wij, vooral om esthetische redenen, varen met krakkemikkige boten met te weinig sloepen, die noodsignalen negeren. De software van veel producten is vanuit beveiligingsoptiek van ronduit slecht en wordt door meerdere experts aangeduid als ‘brandhout’. De basis is daarom onveilig. We blijven doodleuk weigeren cryptografie in te zetten, ‘omdat het de verwerking zo vertraagt’. We negeren de update-adviezen ‘omdat het de operatie mogelijk verstoort’. We blijven werken met zwakke toegangsbeveiliging ‘omdat inloggen anders zo’n gedoe is’. En we hebben nog steeds geen harde eisen voor een continue radiowacht; iemand die waaks blijft kijken of er een beveiligingsincident optreedt. Niet zo gek dat meer dan 80 procent van de hacks pas na weken of maanden wordt ontdekt. Om veilig over de digitale oceanen te kunnen varen met anderen, is studie nodig. De rampen die er al zijn geweest moeten goed worden onderzocht. Bij incidenten wordt nog wel gezocht naar een technische oorzaak en het achterhalen van een mogelijke dader. Maar de stap verder die herhaling echt voorkomt, blijft buiten beeld. Zo missen we cruciaal inzicht in alle factoren die in opmaat naar een gebeurtenis een belangrijke rol hebben gespeeld. Daardoor kijken we niet verder dan alleen de technologie. We zien de ernst van de situatie wel in, maar passen deze logica als samenleving en als industrie niet breed toe. Nog niet. Kennelijk moet daarvoor eerst onze eigen ramp zich nog voltrekken, onze eigen Titanic. De ijsberg is in zicht. En dat is alleen nog maar het puntje.

Uber belemmert innovatie met geheimzinnigheid datalek

Taxibedrijf Uber heeft een groot datalek met persoonsgegevens onder de pet gehouden. Het bedrijf betaalde zelfs de hackers om de zaak te sussen. Dat is niet alleen slecht voor de 57 miljoen klanten die het betreft, maar ook voor ambities voor zelfrijdende auto’s.

De hack vond vermoedelijk plaats in oktober 2016 en treft persoonsgegevens van 57 miljoen klanten over de hele wereld en persoonsgegevens van 600.000 chauffeurs in de Verenigde Staten. Bloomberg heeft een artikel geplaatst waar ook inhoudelijk uitleg is te vinden.

Geheimzinnigheid

Het bedrijf besloot honderdduizend dollar te betalen om bij de hackers te bedingen dat de zaak niet naar buiten zou komen. Die vorm van geheimzinnigheid is alleen al kwalijk, omdat in diverse landen – waaronder Nederland – dit soort beveiligingsincidenten een meldplicht kennen. In ieder geval bij de toezichthouder, maar in veel gevallen ook bij de klant: u en ik.

Met de geheimzinnigheid is niet alleen de wet overtreden, maar ook moreel verwerpelijk. Het miskent dat na een lek de chauffeur of de klant zelf een inschatting moet kunnen maken of ze risico lopen. Maar nog belangrijker: door een cultuur van wegmoffelen, wordt verdedigen tegen criminaliteit moeilijker. Anders gezegd: geheimzinnigheid is in het belang van kwaadwillende hackers die belang hebben dat we ons niet beter beveiligen.

Vanuit beveiligingsoogpunt wil je juist wel weten wat er gebeurd is en welk probleem is verholpen. Door lessen te trekken, kunnen we het een volgende keer beter doen. Voor fysieke veiligheid is lessen trekken de norm sinds de ondergang van de Titanic. Voor digitale veiligheid zou dat niet anders moeten zijn in onze informatiesamenleving.

Zelfrijdende auto

Bij een bedrijf als Uber mag je de lat zelfs hoger leggen. De onderneming werkt aan een zelfrijdende auto, die uiteindelijk de taxichauffeur moet vervangen. Dat is de software die moet helpen het aantal verkeersdoden fors naar beneden te krijgen. Auto’s zijn meer en meer afhankelijk van technologie. Daar is geen ruimte voor een mentaliteit waar je een ton betaalt om problemen onder het tapijt te schuiven.

Onze samenleving is zeer afhankelijk van technologie en door de snelheid van ontwikkeling ook kwetsbaar voor allerhande vormen van misbruik en ellende door softwarefouten. Dat zou de ICT-industrie zich meer mogen aantrekken, want uiteindelijk gaat digitale veiligheid ook over onze fysieke veiligheid.

Het journalistieke probleem in twee keer breaking news

Al meer dan een jaar noem ik mezelf geen journalist meer. Vaak krijg ik de vraag waarom ik die keuze heb gemaakt. De exacte problematiek is lastig onder woorden te brengen. Maar vanochtend kwam opeens de perfecte illustratie toen ik twee maal brekend nieuws of digitaal ‘stop de persen’ ontving op mijn mobiel. Een bericht van een Nederlands en het andere bericht van een Brits medium:

Sleepwet: Praat mee over je digitaal privéleven

Met een nieuwe afluisterwet gaat Nederland een grens over waar internetexperts, wetenschappers, geheimhouders, bedrijfsleven en mensenrechtenactivisten fel tegen zijn. Een haalbaar referendum stelt een fundamentele verandering eindelijk ter discussie.

De nieuwe Wet op de inlichtingen- en veiligheidsdiensten (Wiv) opent de weg om naast gericht op een persoon of groep ook onschuldige burgers te tappen. Alles uit naam van de veiligheid. Wat de wetswijziging moet opleveren is niet onderbouwd.

Fundamentele verandering

In de nieuwe wet kan bijvoorbeeld een hele wijk of een organisatie worden getapt. De hoop is dat daarmee bepaald afwijkend gedrag in kaart te brengen is. Hoe dat werkt, is niet onderbouwd. Wat nieuw is, is dat we geen vermoeden meer nodig hebben om mensen in de gaten te houden.   

In een informatiesamenleving laten we met bijna alles digitale sporen achter op sociale netwerken, mail en computersystemen cruciaal. Ook zaken als een misstand, conflict, medische informatie of iets anders heeft opeens de terechte angst dat iemand meekijkt. Daarmee komt ons digitale privéleven ter discussie te staan. We gaan een grens over.

Dat gaat niet alleen mensen aan, maar ook bedrijven. Hoe aantrekkelijk is het voor een buitenlandse onderneming om zich hier te vestigen of hier computers te plaatsen en vervolgens de bedrijfsgeheimen in te leveren bij de Nederlandse overheid? Dat schept niet bepaald een lekker vestigingsklimaat.

Weerstand

Er is veel kritiek bij wetenschappers, experts op het gebied van aftappen, het bedrijfsleven (waaronder grote ondernemingen als Microsoft, Google, KPN, T-Mobile, Vodafone, BT, Tele2, Verizon, internetproviders, enzovoort), de koepel voor de ICT-branche, de Raad van State, bij mensenrechten- en burgerrechtenorganisaties, belangengroepen van bijvoorbeeld journalisten, advocaten, Greenpeace, huisartsen, VNONCW en ga zo maar door. Om duidelijk te zijn: allen zijn om veel verschillende redenen tegen de wet.

Met de kritiek is nauwelijks iets gedaan. Critici zet Lodewijk Asscher (PvdA) weg als ‘naïef’ zonder onderbouwing over nut en noodzaak te leveren. Het maatschappelijk debat is nauwelijks gevoerd. De kamer ging akkoord en dat is niet heel bijzonder voor een orgaan dat in de afgelopen kabinetsperiode de volgende conclusie(lange pdf) over zichzelf trok:

De Kamer maakt haar controlerende taak niet waar door een gebrek aan interesse voor ICT en een gebrek aan deskundigheid op ICT-gebied. Bovendien schiet de Tweede Kamer informatievoorziening van het kabinet aan de Kamer tekort.

De vraag is daarom gerechtvaardigd wie er nu naïef is. Er is zicht (ruim 297.000 van de 300.000 handtekeningen zijn gehaald) op een raadgevend, correctief referendum over deze Wet op de inlichtingen- en veiligheidsdiensten met de daarbij horende debatten in aanloop naar het referendum.

Een mooi moment om de niet malse waarschuwingen nu eens goed en rustig opnieuw te bespreken, bewijs van noodzaak en effectiviteit te eisen om zelf keuzes te maken over de inrichting van onze informatiesamenleving. De vraag is of de overheid ons hele leven moet controleren of niet. Voor dat debat teken ik, u ook?

Leren van de massale digitale infecties met WannaCry wereldwijd

Volgens onderzoekers zijn honderdduizenden computers getroffen door de gijzelsoftware die bestanden op computers ontoegankelijk maakt (versleuteld). Pas na betaling van een bedrag van 300 dollar belooft de aanvaller de schade ongedaan te maken. Op basis van wat we nu weten kunnen we veel leren om de kans op dergelijke digitale virusuitbraken te verkleinen en de gevolgen te beperken.

Tussen de slachtoffers van de kwaadaardige software, met de onder andere de namen WannaCry of WannaCrypt, zitten in ieder geval Britse ziekenhuizen, de Deutsche Bahn, het Russische Ministerie van Binnenlandse Zaken, automobielbouwer Renault, Universiteiten, telecomproviders, vervoersbedrijf FedEx, de betaalautomaten QPark en veel particulieren. Het virus is inmiddels al door meerdere experts bekeken en daardoor zijn er veel technische details beschikbaar:

  1. De software werkt op het Windows-platform. Apple OS X en Linux zijn voor dit specifieke probleem niet gevoelig;
  2. De verspreiding gaat volgens de Nederlandse overheid in eerste instantie via e-mail;
  3. Om te kunnen functioneren maakt WannaCry gebruik van een zwakheid in Windows. Dit probleem is op op 14 maart 2017 door Microsoft in een update verholpen. Wie tijdig zijn Windows-computer heeft bijgewerkt is dan ook niet kwetsbaar voor dit specifieke probleem. Als gevolg van de massale uitbraak heeft Microsoft zelfs updates uitgebracht voor Windows XP, Windows 8 en Windows Server 2003. Deze besturingssystemen worden eigenlijk niet meer ondersteund door de softwaregigant;
  4. Er zijn meerdere gevallen van besmetting met de software waar de versleutelingssoftware niet heeft gewerkt. In die gevallen detecteerde antivirussoftware dat ook gedrag van programmatuur in de gaten houdt het afwijkende gedrag;
  5. De misbruikte zwakheid in het systeem en de technologie om er misbruik van te maken is ontwikkeld door de Amerikaanse NSA. Zij gebruiken de techniek naar alle waarschijnlijkheid om toegang tot bestanden van hun doelen te krijgen en een achterdeur op machines te plaatsen. De hackersgroep ‘The Shadow Brokers’ brachten die op 14 april 2017. De aanvallers gebruiken de techniek nu om bestanden te versleutelen en ze te gijzelen;
  6. De malware met de naam WannaCry is niet nieuw, omdat eerdere varianten al eerder slachtoffers maakte. Wat deze aanval anders is de omvang waarmee nu computers worden getroffen en dat daarbij opvallende organisaties worden getroffen;
  7. In de kwaadaardige software zit de mogelijkheid om het virus uit te schakelen. Een 22-jarige beveiligingsexpert, die twittert onder de naam @MalwareTechBlog, ontdekte dat de software zoekt naar een domeinnaam. Door dit domein te registreren stopt de uitbraak. Inmiddels zijn nieuwe varianten van dit virus niet op deze manier te stoppen;

Leren

Op basis van voorbeelden waar zaken misgaan kunnen we veel leren. De bekende details van WannaCrypt maken duidelijk dat hier al snel een aantal lessen te trekken zijn.

Maatregelen die dit incident hadden voorkomen en in de toekomst de kans op dit soort incidenten fors kleiner maken:

  1. Snel installeren van updates. WannaCrypt misbruikt een bekend lek, waarvoor Microsoft inmiddels een update heeft uitgebracht. Het updaten kunt u handmatig doen of Windows zo instellen dat dit automatisch gebeurt. Veel besmettingen – ook dit specifieke geval – zijn mogelijk dankzij het niet bijwerken van systemen. Het inbreken op computersystemen is vaak ook mogelijk door verourderde software. Een paar grote voorbeelden zijn bijvoorbeeld DigiNotar, KPN en het Groene Hart Ziekenhuis was verouderde software de oorzaak waarop de aanvaller binnen komt;
  2. Klik niet op links of bijlages die u niet volledig kunt vertrouwen. Dit virus in eerste instantie wordt verspreid via e-mail. Al jaren verspreiden virussen zich via e-mail. Ook bij grotere hacks zien we vaak dat de aanvaller via kwaadaardige software binnenkomt. De verspreiding vindt dan vaak plaats via e-mail door mensen te verleiden op een link te klikken of een bijlage te openen. Op deze manier kwam ook de volledige bedrijfsadministratie van het Italiaanse bedrijf Hacking Team op straat te liggen en kregen de aanvallers van de Democratische Partij in de VS toegang tot de mail van de campagne van Hillary Clinton;

 

Factoren die de gevolgen van deze aanval kleiner kunnen maken:

  1. Antivirus. Een infectie is niet altijd te voorkomen. Veel antivirus-paketten detecteerden de software niet toen het op het systeem kwam. De werking van de malware wordt door veel pakketten wel gedetecteerd. Dat is nuttig. Daarom helpt antivirussoftware. Dat detecteert in een aantal gevallen de kwaadaardige software als het op de computer dreigt te komen. Daarnaast detecteren veel leveranciers ook afwijkend gedrag. Als de malware begint met schade te maken dan valt dát op dan stopt de software de werking;
  2. Goede backup. De criminelen kunnen geld voor ontcijferen van gegijzelde data vragen, omdat veel mensen en bedrijven niet beschikken over goede backups. Dan is de keuze: betalen en data krijgen of niet betalen en geen gegevens meer hebben. Met een goede reservekopie verdwijnt de kracht van de chantage;
  3. Politiek gericht op beveiliging. Het virus is afkomstig van een lek dat is ontdekt door de NSA. De Amerikaanse dienst zoekt – net als in andere landen gebeurt – actief naar zwakheden in systemen om te misbruiken in digitale oorlogsvoering of in opsporing. Een digitaal wapenarsenaal heeft als gevolg dat deze overheden een belangen hebben om deze lekken niet te laten liggen. Dit soort zwakheden komen vroeg of laat in handen van criminelen, zoals ook nu gebeurt. Een logische stap zou zijn om niet lekken te gebruiken om in te breken, maar ze te laten dichten door leveranciers en zo iedereen veiliger te maken. Dat is wel een politieke keuze om te maken;
  4. Niet alles hetzelfde systeem. Door te werken een enkele omgeving – in dit geval Microsoft Windows – betekent dat een uitbraak succesvol is door een hele organisatie. Wie kijkt naar een mix van verschillende systemen (bijvoorbeeld door kantoorfunctionaliteit te splitsen van andere functionaliteit) zorgt ervoor dat een virus niet automatisch succesvol is over de hele organisatie;

We kunnen veel stappen zetten om een herhaling van dit incident te voorkomen of de gevolgen te verminderen. Natuurlijk zijn er meer op basis van dit incident te identificeren. Wie begint de basis op orde te brengen, maakt de kansen kleiner om niet getroffen te worden.

De aanval van de Autoriteit Persoonsgegevens op gemeenten is ongenuanceerd

Met de publicatie van cijfers rond datalekken opent de Autoriteit Persoonsgegevens(AP) meteen de aanval op de Nederlandse gemeenten. Maar zonder de broodnodige nuance is het beeld behoorlijk vertekend.

Als je de cijfers droog bekijkt dan is er een explosie gaande van het aantal meldingen. In het eerste kwartaal meldden de gemeenten 331 datalekken waar dat er over 2016 nog 533 waren.

Onbekendheid

Wat de cijfers niet vertellen is dat de meldplicht nieuw is sinds 2016. Veel bedrijven en overheden weten er iets van en belangrijker nog lang niet altijd is duidelijk wat allemaal een datalek is. Daarom loopt Autoriteit Persoonsgegevens allerhande bijeenkomsten af om precies die uitleg te geven.

Het begrip is nogal breed. Een verloren of verkeerd bezorgde brief, ransomware die een computer lamlegt, een mobiele telefoon die zoek is, zijn voor veel organisaties minder bekende vormen van datalekken. Daarbij hoeft er niets gebeurd te zijn, maar als je het niet kunt uitsluiten dan moet je melden. Een wat grotere gemeente zal – als ze zich dit realiseren – dus al snel fors meer incidenten melden. Dat maakt het beeld negatiever, maar zegt weinig over de vraag of gemeenten het slechter doen dan bijvoorbeeld veel MKB-bedrijven

De cijfers maken vooral duidelijk dat we beter zicht op de enorme omvang van de problematiek. Over heel Nederland werden er namelijk in 2016 5849 meldingen gedaan tegen 2388 in het eerste kwartaal. Dat 331 van de meldingen voor rekening van de gemeenten komen, doet vermoeden dat veel van de bijna 1,5 miljoen ondernemingen bitter weinig melden of wel uitzonderlijk veel veiliger zijn.

Wolfsen

De voorzitter van de Autoriteit Persoonsgegevens, Aleid Wolfsen, opent de aanval op gemeenten. Maar in de statistieken staat de zorg op de eerste plaats. Opmerkelijk genoeg staat echter de zorg en niet het openbaar bestuur op de eerste plaats. Wolfsen verwijt de gemeente te weinig te doen.

Maar in tegenstelling tot de zorg hebben gemeenten in reactie op Diginotar en het door mij georganiseerde Lektober besloten om de Informatie Beveiligings Dienst (IBD) op te richten. Die geeft advies, werkt aan normenkaders en coördineert bij incidenten. Zoiets bestaat bijvoorbeeld in de zorg – waar meer dan bij gemeenten gemeld wordt – niet. Dat is ook nodig, want juist gemeenten staan dichter bij de burger dan veel andere overheidsinstellingen. Over die stap hoor je de Autoriteit in het geheel niet.

De AP vertelt gemeenten niet wanneer zij voldoende doen of wat zij minimaal verwachten. De wetstekst is vaag en een ‘nee niet goed genoeg’ helpt dan niet. Ook de meldplicht is alleen maar een registratie en er vloeit geen informatie terug om lering uit te trekken. Wat daarbij steekt is dat sinds decentralisatie gemeenten opeens heel veel meer informatie moeten verwerken. Vanuit het Rijk is de ondersteuning voor digitale verantwoordelijkheden nu eigenlijk nagenoeg niet bestaand.

BSN

Ook de aandacht van Wolfsen op de gevaren van gelekte BSN’s miskent de onderliggende problematiek. Een identificatienummer is langzamerhand zo belangrijk geworden dat het mensen kwetsbaar maakt. Je kunt je BSN niet vervangen als deze is gelekt, waarbij een creditcardnummer wél kan worden vervangen. Om dan dit bij datalekken bij gemeenten nu zo centraal te stellen is wel wat misplaatst.

Tussen al het cijfergeweld is er één cijfer dat de Autoriteit Persoonsgegevens niet geeft. Sinds begin 2016 heeft die organisatie de bevoegdheid om boetes op te leggen of een last onder dwangsom te geven. Over dat handhaven hoor je nooit iets. Dat zou moeilijk zijn (en daar kun je over twisten). Ondertussen adviseren sommige advocaten vervolgens om een lek maar niet te melden.

Meer nuance

Datalekken zijn een groot probleem dat maar niet verdwijnt. Maar conclusies over groei kun je op basis van de cijfers van de AP niet trekken. Er zijn tenenkrommende voorbeelden van slechte gemeenten te vinden. Van Ede die een veelvoorkomend SQL-injectielek tot geheim verklaren tot Rotterdam die het liefst hele rapporten geheim verklaard.

Dat de AP heeft dankzij de meldplicht een schat aan nuttige gegevens waar we veel van kunnen leren om herhaling te voorkomen. Maar die informatie komt niet openbaar. Het zou Wolfsen als toezichthouder sieren als hij iets beter naar het hele speelveld kijkt, doorgraaft naar oorzaken van problemen en vooral eens meer details deelt, zodat we kunnen leren. Daar zou ons land digitaal echt veiliger van worden.

Wie helpt nu met wat bij informatiebeveiliging?

Het Nationale Cyber Security Centrum (NCSC) en de Informatiebeveiligingsdienst (IBD) helpen organisaties wanneer een incident rond informatiebeveiliging optreedt. Maar wie nu doet nu wat en wat mag je van welke oganisatie? NCSC richt zich daarbij primair op het Rijk en de vitale sectoren en IBD op de gemeenten. Zij kunnen organisatie helpen bij het melden van incidenten maar ook in de juiste richting wijzen bij het afhandelen van een incident. Maar voorkomen is beter dan genezen daarom bieden ze baselines aan om de basis op orde te hebben en zo preventief maatregelen te nemen ter bescherming. Martijn Hamer van het NCSC en Nausikaa Efstratiades van de IBD vertellen aan Elleke Oosterwijk wat we van hun organisaties nu wel en vooral wat we niet mogen verwachten.

Doelgroep: medewerker informatiebeveiliging, crisisteams informatiebeveiliging. Leerpunten:

  • NCSC en IBD hebben een coördinerende taak
  • De organisaties richten zich vooral op de overheid (het NCSC ook op vitale sectoren)
  • Organisaties blijven zelf verantwoordelijk voor de afhandeling van een incident
  • Zet de BIG of BIR in om de basis op orde te hebben

Het Nationale Cyber Security Centrum (NCSC) en de Informatiebeveiligingsdienst (IBD) helpen organisaties wanneer een incident rond informatiebeveiliging optreedt. Maar wie nu doet nu wat en wat mag je van welke oganisatie? NCSC richt zich daarbij primair op het Rijk en de vitale sectoren en IBD op de gemeenten. Zij kunnen organisatie helpen bij het melden van incidenten maar ook in de juiste richting wijzen bij het afhandelen van een incident. Maar voorkomen is beter dan genezen daarom bieden ze baselines aan om de basis op orde te hebben en zo preventief maatregelen te nemen ter bescherming. Martijn Hamer van het NCSC en N van de IBD vertellen aan Elleke Oosterwijk wat we van hun organisaties nu wel en vooral wat we niet mogen verwachten.

Doelgroep: medewerker informatiebeveiliging, crisisteams informatiebeveiliging. Leerpunten:

  • NCSC en IBD hebben een coördinerende taak
  • De organisaties richten zich vooral op de overheid (het NCSC ook op vitale sectoren)
  • Organisaties blijven zelf verantwoordelijk voor de afhandeling van een incident
  • Zet de BIG of BIR in om de basis op orde te hebben

Hans de Raad over veilig e-mailgebruik

Tijd en plaats onafhankelijk werken leidt ertoe dat medewerkers hun werk e-mailadres ook voor privé doeleinden gebruikt en ook privé e-mail voor zakelijk gebruik. Is dit altijd schadelijk? Wat kan een werkgever doen om de werknemer te informeren over de do’s en don’ts van emailgebruik? Beveiligingsexpert Hans de Raad spreekt hierover met Jan Renshof van het CIP.

Doelgroep: iedereen die privémail via zijn of haar zakelijke mailaccount verstuurd vice versa.

Leerpunten:
• Gebruik een server onder eigen of vertrouwd beheer en niet een openbare cloudserver
• Een email is qua openbaarheid vergelijkbaar met een briefkaart
• Maak gebruik van versleuteling

 

Oefen eens een crisis rond een datalek met een serious game

Hoe goed bent u in staat een datalek te bestrijden als een hacker zijn slag heeft geslagen?  Hoe is het zelf te belanden in een heuse crisis? Test het uit tijdens een heuse crisisoefening. Een hacker heeft toegeslagen en eist nu een ‘beloning. U stapt in het crisiscentrum om samen met anderen mee te helpen de schade, gevolgen en verspreiden van gelekte gegevens tegen te gaan. Hoe leiden we een crisis in goede banen? Welke stappen gaan we zetten en in welke volgorde? Welke organisaties zijn nuttig en wat is een verspilling? Kunt uw klant tevreden houden?

Tijdens de serious game spelen deze en andere vragen een belangrijk rol. De spannende crisis die ongeveer 70 minuten duurt, voeren de deelnemers de regie over het afwikkelen van het datalek. Sta stil bij de vele aspecten, zoals techniek, juridische gevolgen, continuïteit van de organisatie en organisatiepolitiek.  De deelnemers bepalen welke rol communicatie, juridische zaken, technische beschikbaarheid, onderzoek, de justitiële keten en de ketenpartners krijgen. Tijdens de oefening zijn er allerlei verstoringen. Voor welke is aandacht en vooral voor welke interrupties niet? Met behulp van audioboodschappen, video’s, interacties en opdrachten ondergaat de groep de hack met al haar facetten. De oefening is een eigen productie gemaakt in samenwerking met het Centrum voor Informatiebeveiliging en Privacybescherming en de Informatiebeveiligingsdienst. Snel aan de slag, want de klok tikt door!

Een voorproefje met hoogtepunten ziet u hier: