Angrynerds 021

Overal lak aan!

Weg met IT-pubers

Veel it-spelers vertonen onvolwassen gedrag en zijn allergisch voor normen en verantwoordelijkheid. Maar het speelveld verandert en wie zich niet aanpast, zou wel eens vlot buiten spel kunnen staan.

Minister Ferd Grapperhaus zegt in te willen grijpen als beveiliging op cruciale momenten tekortschiet. Wie werkt in industrieën als de evenementenbranche, de voedselindustrie, de zorg, de onderwijssector, de bouw, scheepvaart, luchtvaart, of landbouw is inmiddels wel gewend aan die rol van de overheid. Maar sommige it-leveranciers waarschuwen dat dit kan leiden tot het afvinken van lijstjes en ‘dat moeten we met z’n allen niet willen’. Liever komt iedereen met een eigen methodiek

Dergelijke uitspraken zijn erop gericht IT als voodoo-industrie overeind te houden. Stel je toch voor dat we anders slecht of niet ontworpen en geprogrammeerde software moeten gaan aanpakken, of netwerken goed moeten gaan ontwerpen, of bij beheer alle administraties kloppend moeten krijgen en andere basics op onze lijstjes moeten zetten. Bij veel beveiligingsincidenten zie ik dat wij keer op keer dezelfde fouten maken. Daarom geven goed doordachte lijstjes inzicht in risico’s en processen.

In de luchtvaart is een dergelijke hautaine werkwijze ondenkbaar. Door stelselmatig normering toe te passen en lijstjes af te werken worden oude (dodelijke) fouten niet opnieuw gemaakt. Welke rechtvaardiging hebben wij om ons als industrie te verzetten tegen het op orde te krijgen van de basiskwaliteit? Onze samenleving is van IT afhankelijk. Falen is vaak zeer schadelijk, kostbaar en kan een organisatie (tijdelijk) platleggen. Problemen raken de fysieke werkelijkheid.

De 737 Max van Boeing maakt dat probleem op zeer pijnlijke wijze zichtbaar. Het vliegtuig is zo ontworpen dat de aerodynamische features bij normaal gebruik leiden tot een ‘stall’, waardoor het toestel zou neerstorten.

De oplossing is een stukje software dat de neus naar beneden drukt als dit probleem optreedt. De makers van de software hebben onvoldoende nagedacht over de mens-machine-interface. De toezichthouder toetst het systeem inmiddels als geheel onvoldoende. Dat kon niet voorkomen dat twee toestellen zijn gecrasht, resulterend in 346 dodelijke slachtoffers.

Een testpiloot meldt dat hij in een vroeg stadium serieuze zorgen heeft geuit. De reactie van Boeing? Die betreurt vooral het verhaal van de klokkenluider, los van de honderden doden.

Beveiligingsonderzoeker Chris Kubecka ontdekt it-zwakheden die volgens haar invloed kunnen hebben op het functioneren van het vliegtuig. De vliegtuigbouwer benadrukt bij ieder mediamoment ‘haar dankbaar te zijn’ om vervolgens de problemen te bagatelliseren met uitspraken als ‘in andere industrieën komen deze lekken ook voor’.

Het is duidelijk dat deze houding geen toekomst heeft. De industrie moet volwassener worden. Gebeurt dat niet goedschiks dan zal dat kwaadschiks gaan. Na de AVG zal de Europese Cyber Security Act veel partijen heldere normen opleggen. Geen zelfverzonnen normen, maar breed geaccepteerde.

Wie daar niet aan voldoet, plaatst zichzelf buiten de markt. Wie zich blijft verschuilen achter vermeende eigen superioriteit en wie blijft roepen dat we ‘dat niet moeten willen’ krijgt als antwoord ‘dan had je in Europa moeten meepraten’. Er is in onze industrie geen plaats meer voor IT-pubers.

Deze column verscheen eerder op ICT Magazine.

Angrynerds 020

Siri vs Syri

Plan B special

Ze gaan van start!

Zeroday-wetgeving legaliseert ‘diginukes’

D66-kamerlid Kees Verhoeven lanceerde onlangs een initiatiefwet om een afwegingsproces toe te voegen aan de inzet van zeroday-lekken voor Nederlandse overheden die hacken. Deze Wet Zeroday Afwegingsproces lijkt misschien een positieve ontwikkeling, maar in mijn ogen wordt een aantal fundamentele denkfouten nu tot wet verheven.

De positieve kant – gesteld dat deze wet wordt aangenomen – is het uitgangspunt dat zwakheden in software gemeld worden aan de leverancier. Het lek mag alleen geheim blijven als het te gebruiken is voor het hacken ten dienste van de staatsveiligheid, om de economische belangen van de staat te beschermen, strafbare feiten op te sporen, om de betrekkingen met andere landen te dienen of wanneer er sprake is van inbreuk op de persoonlijke levenssfeer.

Eigenlijk codificeert Verhoeven hiermee de status quo. Als we lekken kunnen gebruiken om te hacken dan doen we dat ook. Alleen speelt er bij digitale oorlogsvoering een aantal problemen. Lekken die niet gemeld en verholpen worden, verzwakken de veiligheid van alle systemen over de hele wereld. Het wapen is een middel voor betere veiligheid maar gaat ook ten koste van veiligheid. Tegen zerodays is verdedigen lastig. Het is natuurlijk naïef om te denken dat zerodays alleen in Nederland worden ontdekt. Er zijn meerdere voorbeelden dat zwakheden op verschillende plaatsen worden ontdekt. Het wapen kan bijvoorbeeld nuttig zijn voor een inlichtingendienst, maar ondertussen krijgen ook andere landen er de beschikking over en steeds vaker zien we ook criminelen met dit soort lekken aan de slag gaan. Wij kunnen dan wel verantwoord met de wapens omgaan, maar dat betekent niet dat anderen dat ook doen.

Er zijn talloze voorbeelden van gijzelsoftware die hele bedrijfstakken platleggen en grote maatschappelijke ontwrichting veroorzaken. Wannacry en Not-Petya liggen nog vers in ons geheugen. De schade liep in de miljarden en zelfs een containerterminal moest dicht. Bovendien waren dat niet eens zerodays, maar inmiddels bekende lekken. We zijn met de huidige stand van beveiliging zeer kwetsbaar. Dit soort wapens hebben digitaal gesproken een nucleair effect. Met het juiste lek kun je een heel land lamleggen.

Het minder zwak maken van de samenleving was dan ook de logische stap geweest. Dat betekent zwakheden melden bij leveranciers en de manieren van uitbuiten publiek maken. Zo kunnen beveiligingsbedrijven hun detectie- en preventieoplossingen verbeteren, wat leidt tot een veiliger samenleving. Dat Verhoeven een uitzonderingspositie voor de vitale sector wil maken, is een denkfout. De vitale sector zit op internet, wat een ecosysteem is. Deze bijzondere positie zal de vitale sector slechts in beperkte situaties beter beschermen.

Natuurlijk kun je stellen dat zerodays niet te bestrijden zijn. Als dat zo is, zijn we toe aan een internationale toezichthouder die de inzet van de digitale atoombom aan banden legt en monitort. Dan zijn we toe aan een internationaal verdrag. Tot die tijd hebben we te maken met een nieuwe situatie. Als we bij de overheid een lek of een probleem melden, maken we dan ons land veiliger of leveren we een bijdrage aan die digitale atoombom? Misschien moet we nog even heel goed nadenken voordat we met deze wetgeving verdergaan.

Het nieuwe normaal bij een digitale aanval

Hier moet Nederland van leren!” zegt Sebastiaan van ‘t Erve, burgemeester van Lochem tegen mij. We praten nog geen minuut als glashelder is dat zijn gemeente is getroffen door een aanval van serieuze omvang. In zijn stem hoor ik zorg, nervositeit, maar vooral vastberadenheid. Deze bestuurder toont het nieuwe normaal.

De uitwerking van de keuze is enorm. ‘Leren’ betekent uitzoeken wat er gebeurd is. Er komt deugdelijk forensisch onderzoek, het woord ‘schuld’ of ‘schuldige’ blijven onbesproken maar zijn evident taboe. We proberen fouten te vinden, te verhelpen, te documenteren en de kennis die we daarmee vergaren, willen we uiteindelijk verspreiden. De sfeer onderling is meteen goed. De communicatie is open, relaxt en wat vrij uniek is: er zijn geen politieke spelletjes. Het is bijna Rotterdams: niet lullen, maar poetsen. De inzet van de medewerkers is enorm, wat de stereotype ambtenarengrapjes in een ander daglicht zet. Diverse nachten wordt er doorgehaald, het pinksterweekend wordt opgeofferd en werkdagen van 30 uur zijn eerder regel dan uitzondering. Mensen moeten bijna worden gedwongen nu echt te gaan slapen. Iedereen wil maar één ding: het probleem verhelpen.

Advanced Persistent Threat

Dat probleem blijkt groot te zijn. De eerste aanval vond op 20 december 2018 plaats. Met enige regelmaat komen de aanvallers terug. Het is duidelijk dat Lochem veel aandacht van de aanvallers krijgt. Ofwel een gemeente met 34.000 inwoners is slachtoffer van een advanced persistent threat. Dat maakt het verhaal nog vreemder. Waarom zouden de aanvallers geïnteresseerd zijn in Lochem?

Het antwoord laat niet lang op zich wachten. Al snel vinden forensisch onderzoekers berichten op servers, waarin losgeld wordt geëist. Op een testserver zijn ook daadwerkelijk bestanden versleuteld. Het ‘op slot’ zetten van de Gemeente Lochem is een criminele businesscase. Waar malware meestal lukraak wordt afgeschoten, werken hier criminelen minutieus en doelgericht aan hun doel.

Dat zo’n aanval lonend is, blijkt als ik wat onderzoek doe. De stad Riviera Beach in Florida, Verenigde Staten, is met 34.000 inwoners even groot als Lochem. Ook zij werden getroffen door malware en konden niet meer bij recente back-ups. Via de verzekeraar werd onderhandeld en die zag zich genoodzaakt $ 600.000 af te staan aan de criminelen.

Dienstverlening platleggen

Later in het onderzoek wordt duidelijk dat er toegang is geweest tot inlognamen van gebruikers. Dat bewijs roept een pijnlijke vraag op: kunnen we uitsluiten dat men toegang heeft tot het netwerk met veel rechten? Windows kent het verschijnsel van een golden ticket, waarmee je op alle systemen terecht kunt met de hoogste rechten. Als die wordt ingezet, kunnen de aanvallers tijdens het onderzoek alles alsnog gijzelen.

Er is weliswaar geen bewijs dat dit probleem speelt. Vooralsnog is er geen gebruik van gemaakt, maar dat betekent niet dat het is uitgesloten. Dat leidt tot een dramatische conclusie: als we het niet kunnen uitsluiten dat er nog een aanval komt, moeten we dat onmogelijk gaan maken. Alles moet opnieuw worden ingeregeld. De uitvoering van zo’n operatie moet goed gebeuren en dat kost tijd. Eén avond en één nacht zijn daarvoor tekort. Veel gemeentelijke dienstverlening zal voor een dag gestaakt worden.

Het digitale incident heeft een harde fysieke uitwerking gekregen: de gemeentebalies gaan een dag dicht, de mail gaat plat, de administratie doet het niet en ga zo maar door. Lochem is nog maar heel beperkt bestuurbaar. De burger gaat merken dat er een aanval is geweest. Voor inwoners duurt de overlast ‘maar’ een dag. Intern duurt dat langer. Je durft er niet aan te denken hoe de situatie zou zijn als de aanval wel zou zijn geslaagd.

Forse schade

De gevolgen blijven in dit geval gelukkig beperkt. De criminelen hebben alleen gebruikersgegevens van de systemen ingezien en geen informatie uit de administratie over inwoners. Het datalek is overzicht en dat is op zich goed nieuws. Maar Lochem kroop door het oog van de naald. Het scheelde echt heel weinig of de criminelen hadden wel succes gehad. Als ze niet waren getipt had de gemeente al die maanden niets zien aankomen. En juist dat maakt het eng: wie volgt?

Dat er uiteindelijk geen gijzelingsactie heeft plaatsgevonden, betekent niet dat er geen schade is. Er zijn forse kosten die een gat slaan in de begroting van een kleine gemeente. Op het moment van schrijven is er al meer dan 200.000 euro aan schade. Een deel zit in onderzoek, een deel in acute acties die noodzakelijk zijn om de crisis te beheersen, een deel is veroorzaakt door de verstoring als gevolg van het incident en een deel zijn noodzakelijke verbeteringen. Het zijn terechte kosten, maar dat ze in geen enkele begroting staan, is wel lastig.

Met Van ‘t Erve stel ik vast dat er rond de schade eigenlijk iets vreemds aan de hand is. Stel dat de gemeente kosten moet maken na het neerstorten van een vliegtuig, bij een scheepsongeval of gasexplosie. Dan zou het Rijk bijspringen met daadwerkelijke hulp en met financiële ondersteuning. Waarom is dat nu niet het geval? Dat vraagstuk is nu onderdeel van discussie. Deze discussie wordt gevoerd met een welwillend houding, want iedereen loopt dit soort risico’s.

Informatie delen

Ook al ging het net niet mis, in Lochem is wel het nieuwe normaal ontstaan. Voor zover mogelijk is alles naar buiten gebracht. Dat omvat veel informatie uit het forensisch onderzoek en een duidingsrapportage met daarin harde, soms pijnlijke lessen. Iedereen kan met deze informatie de kansen op een vergelijkbaar incident kleiner maken, lering trekken en wakker worden bij een nieuwe realiteit.

Informatie delen is geen wensdenken, maar een signaal dat de ICT professionaliseert. Want als er ergens na een incident fouten moeten worden opgespoord waarvan als norm wordt geleerd, is dat wel in de ICT.

Angrynerds 019

Trackers en Tracktoren

Angrynerds 018

Wet breekt Nood

Column: Openheid als wapen tegen duistere zaken

Al maanden zijn politici aan het schreeuwen om maatregelen tegen spionage. Onzekerheid van schimmige praktijken maakt mensen onzeker. De remedie is simpel en doeltreffend, maar wel veel werk: transparantie.

De verontwaardiging was groot toen bleek dat medewerkers van ASML bedrijfsgeheimen hadden gestolen voor economische spionage. Uit het parlement kwam meteen de roep op een verbod op Huawei. Als door een wesp gestoken reageerde de topman van ASML met de boodschap dat hij de spionage juist toeschreef aan het Zuid-Koreaanse Samsung. Huawei is voor de omzet van ASML zeer belangrijk en eerder vriend dan vijand.

Dossiervorming

Inmiddels zijn politici zo geprogrammeerd dat spionage gelijk staat aan China of Rusland. Na alle Amerikaanse retoriek is Huawei gebombardeerd tot de ultieme zondebok. We moeten de Amerikanen maar op hun blauwe ogen geloven, want bewijs wordt niet geleverd. Daarom blijven we hangen bij beeldvorming als ‘slecht’ en ‘gevaarlijk’ en andere termen die een president in 280 karakters kan Twitteren.

Kijken we wel naar de inhoud, dan is het beeld diffuus. De Verenigde Staten blijken dan zelf wereldkampioen spioneren te zijn. Microsoft, Facebook, Google, Amazon en velen anderen werden tegen wil en dank ingezet om NSA-systemen, zoals ‘Prism’, mogelijk te maken. China voert aanvallen uit op bijvoorbeeld Asus en Netsarang om te spioneren. De AIVD breekt in bij Russische inlichtingendiensten, die op hun beurt bij ons losgaan. Kortom, iedereen kan Trojaanse paarden in soft- en hardware leveren.

Transparantie

De manier om het succes van een Trojaans paard te verminderen, is het paard van binnen bekijken. Bij software is dat kijken naar de procedures in bedrijven en de software die wordt geleverd. Weet wat je in huis haalt, wie wat levert en hoe die organisaties functioneren. Daarvoor is het wel nodig dat wij heldere criteria hebben hoe we toetsen, zodat we niet op basis van willekeur opereren. Het grote voordeel van open-sourcesoftware is dat we exact kunnen toetsen wat er in de programmatuur zit. Na jarenlang de neus daarvoor ophalen en niet toetsen, zullen we dat wel moeten gaan doen om de kans op spionage te verminderen.

Als je kijkend naar feiten tot de conclusie komt dat een leverancier een verhoogd risico vormt, is het prima. Maar dat betreft zeker niet alleen Chinese bedrijven die overheden helpen spioneren. Ook Amerikaanse firma’s die tegen alle beloftes in gesprekken afluisteren, heimelijk microfoontjes in apparatuur inbouwen of toetsaanslagen op computers bijhouden. In het licht van goede dossiervorming en transparantie blijken zelfs sommige Nederlandse beveiligingsbedrijven een spionagerisico te vormen.

Angrynerds 017

We gaan dingen doen met spullen