Digitaal Lockpicken bij Van der Valk

In Hotel van der Valk in Zwolle mochten hackers naar hartelus aan de slag gaan met het kraken van nieuwe sloten die werken op basis van Bluetooth. Er werden een aantal aanvalsscenario’s gevonden, maar het lukte uiteindelijk niet om daadwerkelijk een slot te openen. Een hacker geeft de moed niet op en probeert nog een scenario uit.

Ook de media deden verslag van de bijeenkomst. RTV Oost:

“Digitaal Lockpicken bij Van der Valk” verder lezen

Een vrij beschikbare bewustwordingstraining

Ieder bedrijf hoort aan bewustwording binnen de organisatie te doen. Dat is niet alleen een onderdeel van beveiligingsnormen, maar ook noodzakelijk om ieder beleid kansrijk te maken. Personeel zal dus moeten worden getraind. Radically Open Security ontwikkelt producten die vrij beschikbaar zijn om te gebruiken en ontwikkelden een bewustwordingstraining in opdracht van een van hun klanten.

De training is kosteloos en herbruikbaar beschikbaar. Hoe dat werkt vertelt Melanie Rieback, de oprichter van het bedrijf, aan Ad Reuijl van het CIP.

 

De documenten van de training zijn hier beschikbaar:

 

 

 

Hoe kies je de juiste beveiligingsmaatregel

Er valt veel te kiezen in beveiligingsmaatregelen. De vraag blijft wat nu de slimste keuze is om risico’s in de hand te houden. Met simpel boerenverstand komt een organisatie een heel eind.

In eerder blog werd al duidelijk dat een zinvolle maatregel soms technisch, soms in gedrag en soms in de manier waarop een organisatie werkt zit. Met goed inzicht in de risico’s zijn er vaak meerdere wegen die naar Rome leiden. Welke is dan de verstandigste?

Efficiënt werken

De basisregel is dat gekozen wordt voor de oplossing die met de kleinste investering in geld en mankracht het beste resultaat levert. Want iedere euro of ieder uur dat minder hoeft te worden geïnvesteerd, blijft over voor het afdichten van andere risico’s. Efficiënt werken is dan ook het sleutelwoord. Sommige maatregelen beteugelen meteen meerdere gevaren en leveren daarmee meer op dan het risico dat toevallig bovenaan het lijstje staan.

Met bijvoorbeeld goede logging van gebeurtenissen op systemen en het netwerk zijn aanvallen te detecteren. Maar diezelfde maatregel helpt ook bij onderzoek wanneer het toch verkeerd mocht gaan. Veel antivirussoftware detecteert een infectie, maar kan ook alarmeren bij het bezoeken van gevaarlijke websites na het klikken op een phishingmail en waarschuwen ook nog bij verouderde software. Wat verder kijken kan dus lonen.

Personeel dat training heeft gehad rond beveiliging zal bewuster functioneren. Zo ontdekken ze sneller verdacht gedrag, terwijl ze ondertussen tevens voorzichtiger optreden. Met de juiste sfeer zal het alarm slaan – als er iets misgaat – minder een drempel vormen. Bij zo’n opleiding kunnen ook de bedrijfsregels nog eens goed onder de aandacht worden gebracht.

Echte antwoorden

Kijk bij de maatregelen ook of ze echt een (gedeeltelijk) antwoord geven op het gestelde probleem. Nog altijd denken veel mensen dat een firewall een organisatie veilig maakt, maar als de dreiging zit in cryptolocker dan is het zinvoller te kijken naar hoe die allemaal in de organisatie kan komen. Een firewall blijkt dan opeens slechts in een beperkt aantal gevallen een echte oplossing te bieden.

Heeft een organisatie gevoelige gegevens, dan moet misschien verder worden gekeken dan de standaard-oplossingen. Voor die specifieke gegevens moet een apart plan worden gemaakt, waarbij vragen centraal staan als: hoe reizen deze gegevens door de organisatie? Wie kan bij die data komen en is dat echt nodig? Is het mogelijk dit soort informatie apart te zetten in een bijzonder beveiligde omgeving?

De truc zit erin het probleem goed onder woorden te brengen en dan eerlijk af te vragen of de voorgestelde maatregel echt helpt bij het beperken van de risico’s. Is dat niet of niet voldoende het geval dan moet er verder worden gezocht.

De waarom-vraag

Beveiligen is ook het kritisch durven stellen van vragen naar het waarom van zaken. ‘Waarom hebben we deze gegevens nodig?’, ‘waarom doen we het werk op een bepaalde manier?’ of ‘waarom hebben we ooit een bepaalde inrichting gekozen?’, zijn vragen die dan gesteld kunnen worden. Dat is soms lastig om te beantwoorden, omdat veel gewoontes in een organisatie sluipen zonder dat goed genoeg is gekeken of dat wel de juiste benadering is.

Pas als de organisatie kritisch naar zichzelf durft te kijken, komt er zicht op zinvolle maatregelen om de beveiliging te verbeteren. Dat is weliswaar ongemakkelijk, omdat het vaak ook een verandering in de manier van werken brengt. Dat is niet altijd leuk. Het is wel noodzakelijk. Een aanvaller zal weinig respect opbrengen voor goede bedoelingen of niet effectieve maatregelen. Die kijkt alleen naar mogelijkheden om misbruik te maken.

Goede informatiebeveiliging vereist dan ook goede kennis van de eigen organisatie en de bedrijfsprocessen. Vanuit die kennis en het begrip van de risico’s is het mogelijk de juiste maatregelen te kiezen: efficiënt, to-the-point en vooral kritisch op wat misschien anders kan. Pas dan heeft beveiligen zin, omdat klakkeloos ‘maar wat doen’ kapitaalvernietiging is.

Dit blog verscheen eerder op I Feel Secure.

Wees klaar voor het volgende datalek

Organisaties die te maken hebben met een beveiligingsincident ervaren een zeer hectische tijd. Er komt namelijk veel op de organisatie af. Maar vanaf 1 januari 2016 wordt het nog belangrijker snel en goed te handelen. In veel gevallen moet u een incident binnen 72 uur melden. En daar komt heel wat bij kijken.

Uit diverse onderzoeken komt naar voren dat meer dan de helft van de beveiligingsincidenten niet door de organisatie zelf wordt ontdekt. De melding wordt gedaan door iemand van buitenaf. Wanneer de technische inrichting zo ingericht is dat afwijkende zaken te detecteren zijn, kan de organisatie vaker zelf beveiligingsincidenten ontdekken.

Detecteren

Om een beveiligingsincident te ontdekken kan er van veel informatie gebruik worden gemaakt. Zo valt informatie uit langskomend verkeer te halen en kunnen logboeken op servers, routers, firewalls en andere systemen in de netwerken worden bijgehouden. Hierbij kan gelet worden op afwijkingen en kan men achteraf nakijken wat er bij een incident allemaal is gebeurd. Wanneer er daadwerkelijk wordt gestolen, is het soms mogelijk om uit de hoeveelheid netwerkverkeer informatie over het datalek te achterhalen.

Maar de verantwoordelijkheid ligt niet alleen bij de IT-afdeling en de technologie. Een goede detectie kan ook vanuit de organisatie komen. Veel prominente hacks zijn begonnen met een e-mail. Bewuste en oplettende medewerkers die vreemde e-mails detecteren, kunnen daarom ook een aanval vroegtijdig ontdekken.

Hoe een beveiligingsincident ook ontdekt wordt: wanneer een aanval wordt uitgevoerd, is het van belang om als organisatie zelf de regie te houden. Het beter inrichten van de technische omgeving heeft ook als voordeel dat technologie ingezet kan worden om een eventuele aanval in de kiem te smoren.

Wel of geen datalek

Mocht er toch een beveiligingsincident plaatsvinden, dan is het bij een incident dat door de organisatie zelf wordt ontdekt sneller duidelijk of er – en zo ja welke – gegevens zijn getroffen. Hierdoor is de omvang van het incident en de daaruit voortkomende schade sneller vast te stellen. Een organisatie kan daarmee een crisis naar de eigen hand te zetten. Het hebben van een goede infrastructuur en detectie helpt om de zaak te versnellen.

Zonder informatie over getroffen gegevens wordt het ingewikkelder als er een melding binnenkomt. Dan moet namelijk eerst worden vastgesteld of er wel sprake is van een incident. Pas na deze vaststelling kan worden gezocht naar de omvang van het incident. Zo plaatste iemand tijdens de hack op KPN in 2012 persoonsgegevens op het internet en suggereerde dat dit met de hack te maken had. Met eigen onderzoek kon ik vaststellen dat de data van een bedrijf afkomstig was en niets te maken had met de hack.

Persoonsgegevens

Een organisatie moet dus duidelijkheid hebben over de eventuele betrokkenheid van persoonsgegevens bij het lek. Wanneer dit het geval is moet er binnen 72 uur melding worden gedaan bij de Autoriteit Persoonsgegevens, per 1 januari 2016 de opvolger van het College Bescherming Persoonsgegevens. Wanneer de betrokkenen het risico lopen dat hun persoonsgegevens misbruikt worden, moeten ook zij een melding krijgen en is het zaak om nauwkeurige informatie over het lek te verschaffen. Daarvoor moet dus duidelijk zijn wat er aan de hand is.

In veel gevallen is het wel duidelijk welke soort gegevens onder persoonsgegevens vallen. Logisch zijn adresgegevens, telefoonnummers, een medisch dossier of het burgerservicenummer. Maar ook een registratienummer dat naar een persoon kan leiden, een internetadres of een kenteken vallen onder persoonsgegevens. Wat er precies onder persoonsgegevens valt moet voordat er een incident plaatsvindt al goed over zijn nagedacht. Het valt namelijk niet mee om dat binnen 72 uur nog vast te stellen terwijl er veel tegelijkertijd moet gebeuren.

Ook moeten organisaties zich realiseren dat een datalek niet per definitie betekent dat de organisatie gehackt is. Iedere medewerker kan de oorzaak van het datalek zijn. Ook een gestolen laptop of een verloren USB-stick met daarop persoonsgegevens zijn datalekken die onder de komende meldplicht gaan vallen. Het gaat er hierbij vooral om dat er persoonsgegevens in verkeerde handen zijn gevallen. De manier waarop deze gegevens zijn verloren is daarbij minder belangrijk. Bij het niet melden van een datalek riskeert de organisatie een boete van maximaal €820.000. De meldplicht is dus zeker niet vrijblijvend.

Kennis

Om de ernst van een datalek goed te kunnen inschatten moet een organisatie de eigen omgeving goed kennen. Dat geldt natuurlijk voor de techniek: welke systemen hebben we en wat doen ze? Maar het gaat ook om het boven tafel krijgen van de bedrijfsprocessen. Uit die processen is te halen wat er belangrijk is om de organisatie draaiende te houden. Ook maakt dat duidelijk welke gegevens op welk moment toegankelijk zijn.

Die kennis van de eigen organisatie en de technische omgeving is niet alleen nuttig bij een eventueel incident. Om te voorkomen dat het mis gaat, moeten de risico’s van te voren in kaart zijn gebracht. Op basis daarvan kunnen dan maatregelen worden bedacht om de gevaren te beteugelen, een werkwijze aan te passen of misschien te stoppen met het verwerken van bepaalde gegevens op risicovolle plekken.

Plannen maken

Naast het beperken van risico’s is het ook belangrijk vooraf al na te denken over wat er tijdens een incident moet gebeuren. Wanneer er tijdens een incident nog moet worden nagedacht over hoe er met het probleem moet worden omgegaan, komen er nog meer vragen op de organisatie af en wordt de kans op het maken van fouten groter.

Daarom is het goed om plannen te maken voor de antwoorden op de volgende vragen: wie neemt welke taak op zich? Wat wordt wanneer gecommuniceerd en met wie en hoe? Wanneer wordt de dienstverlening onderbroken en opnieuw gestart? Welke partijen zijn een partner? Hoe voorkomen we dat signalen intern en extern worden gemist? Wanneer is aangifte noodzakelijk? Hoe moet het onderzoek lopen? Het opstellen van zulke draaiboeken heeft nog wel wat voeten in de aarde.

De nieuwe regelgeving rond de meldplicht datalekken is een goede aanleiding om eens kritisch te kijken naar de eigen organisatie en nu al voorbereidingen te treffen. Risico’s moeten worden verkleind, de omgeving moet klaar zijn om een incident te detecteren, personeel moet worden geïnstrueerd en als het toch misgaat moeten de juiste mensen weten wat ze moeten doen.

Dit blog werd geschreven voor de campagne I Feel Secure.

Waarom Buma bang is en jouw vrijheid wil

CDA-partijleider Sybrand Buma heeft een politiek probleem: als fractievoorzitter zit hij in de kamercommissie die op de inlichtingen toeziet, de zogenaamde commissie Stiekem. Daarbij heeft hij de verantwoordelijkheid te letten of inlichtingendiensten hun boekje niet te buiten gaan en ook te checken of die diensten het juiste doen om aanslagen te voorkomen.

Die verantwoordelijkheid is eigenlijk onmogelijk om te nemen, want bij herhaling blijkt bij iedere relevante aanslag dat de daders wel op de radar waren maar er onvoldoende werd gehandeld. Dat bleek bijvoorbeeld bij de aanslagen van 11 september 2001, de moord op Theo van Gogh, bij de schietpartij in Texas waar Wilders sprak, een aanslagpleger van Charlie Hebdo, de mislukte aanslag op de Thalys, de mislukte aanslag op een vlucht van Amsterdam naar Detroit, de aanslag in Tunis, de aanslag in Kopenhagen en ga zo maar door.

Parijs

Het beeld rond de aanslagen in Parijs is niet anders. Als er een aanslag in Nederland komt, is de kans dan ook heel groot dat naar het functioneren van de diensten wordt gekeken. En wie iets verder kijkt, zal ook de rol van de Commissie Stiekem onder de loep moeten nemen: deden ze hun werk wel goed genoeg?

Het antwoord op die vraag is eenvoudig te geven: nee! Om te beginnen is het element ‘stiekem’ een obstakel, want dan kun je nooit ruggenspraak houden met experts. Daarnaast bestaat het verwerken van informatie door inlichtingendiensten vooral uit het snappen van ICT cruciaal. Uit een parlementair onderzoek blijkt dat punt niet goed te zitten:

“De Kamer maakt haar controlerende taak niet waar door een gebrek aan interesse voor ICT en een gebrek aan deskundigheid op ICT-gebied.”

De burger is fout

En dus heeft Sybrand een probleem. Dat lost hij op door de burger zelf de schuld van dit falen te geven: ondanks dat er al heel veel informatie wordt verwerkt over u is het niet genoeg. Er moet meer worden bijgehouden en meer worden getapt. Dat stelt hij zondag bij WNL:

“We geven al onze gegevens aan supermarkten voor bonuspunten, maar niet aan de staat voor onze veiligheid.”

Natuurlijk is de stelling onjuist. Ook bewijzen de laatste jaren dat de aanpak weinig effectief is. Maar niemand in het parlement praat over effectiviteit van maatregelen. Want alles is vertrouwelijk bij als politie, justitie of inlichtingendiensten als het om terreur gaat. De fact-free-politics functioneerde goed de afgelopen 15 jaar en zal het ook de komende jaren na aanslag perfect doen: verzwak versleuteling, bestrijd versleuteling, eis backdoors in software, screenen alle software op ‘terroristische elementen’ en weer ongewenste software van internet die niet door overheden is goedgekeurd.

Het probleem is alleen dat we om onze manier van leven in vrijheden te beschermen precies dat aan het weggooien zijn. Holle retoriek van politici die het ook niet weten en niet durven aan te zeggen dat we een probleem hebben met een naar, maar eeuwigdurend restrisico. Dat we simpelweg de capaciteit missen om op alle signalen te acteren en de laatste verdedigingslinie met juiste wapens en opleiding goed op te tuigen. Misschien is de boodschap van de Noorwegen na de aanslagen van Breivik wel de meest eerlijke, namelijk dat je enkel echt kunt terugslaan met meer transparantie en meer democratie.

Marinus Kuivenhoven: Veilige apps maak je voor je gaat bouwen

Met tablets en mobiele telefoons zijn apps populair. Ook bedrijven laten ze vaak maken om bedrijfsprocessen te ondersteunen. Want altijd en overal is bedrijfsinformatie beschikbaar. Als dat gebeurt komen er opeens allerlei beveiligings- en privacyrisico’s bij kijken. Het is daarom belangrijk bij de totstandkoming van een app rekening te houden met de beveiliging en daar tijdig over na te denken. Marinus Kuivenhoven van Sogeti praat over het grip krijgen over apps met Brenno de Winter.

Een van de methoden om vroegtijdig na te denken over beveiliging is Grip op SSD. Deze methodiek is kosteloos beschikbaar onder een creative commons licentie.

Mens versus Machine: RFID-chip in het paspoort

Naar aanleiding van de een presentatie van Jeroen van Beek op de beveiligingsconferentie BlackHat ontstond er twijfel over de betrouwbaarheid van de digitale gegevens op ons paspoort. Het kamerlid Arda Gerkens  stelde vragen, maar volgens het Ministerie van Binnenlandse Zaken is er eigenlijk niets aan de hand. Maar is dat wel zo?

“Mens versus Machine: RFID-chip in het paspoort” verder lezen

Technologie mishandelt bejaarden

Een van de redenen om de OV-chipkaart in te voeren is het vergroten van de sociale veiligheid in het openbaar vervoer. De truc is natuurlijk de inzet van de poortjes die niet welkome gasten moeten tegenhouden en niet de RFID-techniek zelf. Maar overzien we bij een dergelijk systeem alle beveiligingsaspecten wel of verliezen we de fysieke veiligheid uit het oog? “Technologie mishandelt bejaarden” verder lezen

Security through Obscurity voor Halsema

Er zijn weinig mensen onder de Webwereld-lezers die voorstander zijn van Security through Obscurity. Sterker nog: de meesten, mijzelf incluis, weten dat het niet werkt. De ellende rond de OV-chipkaart wordt immers gekenmerkt door een chip die bestond bij de gratie van een geheim en een organisatie die zich kenmerkt in geheimzinnigheid over relevante rapporten rond beveiliging. Hoeveel ironischer kan het dan zijn dat vandaag de smoel van Rover daar nog een schepje bovenop doet?
“Security through Obscurity voor Halsema” verder lezen