Cyberonderzoeksraad – rapport – De schade van e-mail

E-mail is een populair middel om informatie te versturen, maar het maakt organisaties zeer kwetsbaar. De mailbox is vaak verworden tot een onsamenhangend archief met hierin de jarenlange historie van organisaties, iets waar het in wezen niet voor is bedoeld.

De Cyberonderzoeksraad heeft een groot onderzoek uitgevoerd naar de gevoeligheid van e-mail. Meer dan 70 domeinnamen die op andere domeinen lijken, werden geregistreerd. Vervolgens werd gewacht op binnenkomende berichten. Er bleken ruim 15.000 e-mails binnen te komen. Na het filteren van spam en virussen bleven er zo’n 3.100 relevante berichten over.

Tussen deze berichten zaten gevoelige zaken als processen-verbaal, aangiftes, medische dossiers, rekeningen, kopieën van bankafschriften, kopieën van identiteitspapieren, bestellingen (zelfs voor spionageapparatuur), vorderingen, departementaal vertrouwelijke stukken en meer.

Het versturen van persoonsgegevens naar de verkeerde ontvanger blijkt uit de cijfers van de Autoriteit Persoonsgegevens met 64% van alle datalekken het grootste probleem. Ons onderzoek bevestigt dit beeld: tikfouten worden veel gemaakt en gevoelige data landt eenvoudig in de verkeerde handen.

Survivalgids voor de Digitale Jungle beschikbaar

De ‘Survivalgids’ voor de Digitale Jungle’ is uit! Vandaag presenteert Brenno de Winter het boek op de Dag van de Data. De eerste review verscheen op Computable met als conclusie:

Het boek wordt nergens belerend. De auteur slaagt erin de lezer zelfs te enthousiasmeren de informatiebeveiliging ter hand te nemen.

Bij BNR Digitaal vertelt Brenno over beveiliging en zijn boek. In Ede Stad gaat Brenno in op een aantal tips voor digitale beveiliging.

Voor een fysiek exemplaar kun je bij Bol.com terecht. Een eBook is hier beschikbaar (ook bij Bol.com). Wil je een gesigneerd exemplaar of grotere aantallen (met korting) bestellen stuur dan even een mailtje.

Survivalgids voor de Digitale Jungle

Na een lang en intensief traject is nu de finish in zicht: mijn nieuwe boek is bijna af. Het is heel veel werk geweest om informatiebeveiliging toegankelijk, beknopt en vooral correct neer te leggen op een manier dat je er in de praktijk ook echt mee aan de slag kunt. Met dank aan de inzet van veel goede experts. 

Wie met technologie in aanraking komt, heeft altijd een beveiligingsprobleem. Met de dagelijkse stroom aan berichten over de onveiligheid rond ICT rijst de vraag hoe je overleeft in de digitale jungle: persoonsgegevens moeten vertrouwelijk blijven, administraties kloppend zijn, websites en bedrijfsprocessen horen 24/7 te draaien. De problematiek komt overweldigend over. 

Dat hoeft niet. Door het op orde houden van de basishygiëne zijn veel rampen te voorkomen. Leer eenvoudig risico’s in kaart te brengen en maatregelen te nemen. Iedere organisatie kan stappen zetten om problemen te beheersen. In dit boek lees je wat je zelf kunt doen om beveiliging fors te verbeteren, risico’s in te schatten en te zoeken naar oplossingen. Neem zelf de regie, leer van de incidenten van anderen en laat je niet verlammen door de dreiging. 

Dit boek biedt een praktische, pragmatische insteek op het gebied van informatieveiligheid zonder het te oversimplificeren. We bannen de cybersecurityvoodoo uit en maken het thema beheersbaar. Schud het ‘dit is te moeilijk voor me’-gevoel van je af, steek de handen uit de mouwen en zoek de veilige kant van de grens van je kunnen op.

Wie het onderwerp serieus benadert, praat niet meer over cybercrime alsof het al te laat is. Je praat over beveiliging juist omdat het nog niét te laat is. Verbeter je kansen tegen spionnen, criminelen, hackers en ja, zelfs de digibeten. 

Verschijnt: 17 januari 2019

Het waren soms zware discussie met mijn sparringpartner Hans de Raad. Barbara Bulten (De Winter) deed de productie. En heel veel goede experts hebben mij enorm enorm geholpen. Veel dank aan mijn kritische reviewers V.A. (Victor) Angelier, André Beerten, Anne Jan Brouwer, Remco Groet, Peter Op ‘T Hof, Jule Hintzbergen, Kees Hintzbergen CISA, Mischa Rick van Geelen, Maaike Hielkema, Sebiastian Oort, Edwin Roovers, Carlo Seddaiu, Ivo Tamboer, Kato Vierbergen-Schuit, Walter van Wijk en Lodewijk van Zwieten voor hun zeer waardevolle feedback.

Het boek is op 17 januari gratis beschikbaar voor bezoekers van de Dag van de Data.

Het kabinetsbesluit over Kaspersky Lab – een reconstructie en analyse

Op 14 mei 2018 draagt het Nederlandse kabinet de Rijksoverheid op de antivirussoftware van Kaspersky Lab niet langer te gebruiken en uit te faseren. Organisaties die vallen onderAlgemene Beveiligingseisen Defensie Opdrachten (ABDO) of vallen onder vitale diensten en processen krijgen het advies hetzelfde te doen. Het advies geldt niet voor andere organisaties. Ook maakt het kabinet duidelijk dat het alleen gaat om de antivirussoftware,niet om de andere producten en diensten van Kaspersky Lab. Er zijn voor het kabinet drie redenen om deze keuze te maken:

  1. Antivirussoftware heeft uitgebreide en diepgaande toegang tot een computer. Zulke toegang kan misbruikt worden voor spionage en sabotage.
  2. Als Russisch bedrijf is Kaspersky Lab volgens Russische wetgeving verplicht om bij de overheid mee te werken als de Russische inlichtingendiensten hierom verzoeken.
  3. De Russische Federatie heeft een offensief cyberprogramma. Dat laatste betekent dat het land met behulp van computers actief spionage en sabotage pleegt.

Het kabinet spreekt in een brief aan de Tweede Kamer van een voorzorgsmaatregel met als reden te vrezen voor spionage en sabotage. Daarbij schrijft het kabinet een eigen,aangescherpte afweging in het kader van de nationale veiligheid te hebben gemaakt. Inessentie komt de vrees van het kabinet erop neer dat de antivirussoftware van KasperskyLab, een bedrijf dat malware bestrijdt, zelf wordt ingezet als Trojaans paard ofwel malware.

Nederland beschikt niet over voorbeelden waaruit blijkt dat er misbruik is gemaakt van de antivirussoftware van Kaspersky Lab. Ook bij andere (Europese) landen en de Europese Commissie zijn er geen voorbeelden bekend. Als KRO-NCRV bij een journalistiek onderzoek met succes een beroep doet op de Wet openbaarheid van bestuur (Wob) komen nadere documenten beschikbaar.

Analyse

Brenno de Winter van De Winter Information Solutions is door Kaspersky Lab gevraagd een reconstructie te maken van de voorzorgsmaatregel van het kabinet en de drie observaties van het kabinet te analyseren. In een tijd van digitale operaties is het logisch en goed dat het kabinet alert is op de gevaren van spionage en sabotage. Dit rapport onderzoekt inhoudelijk en procedureel hoe de argumentatie vanuit het kabinet tot stand is gekomen, in hoeverre Kaspersky Lab op basis van deze argumentatie inderdaad een dreiging vormt en welke stappen noodzakelijk zouden zijn een dergelijke dreiging het hoofd te bieden.

Nationale DNA-databank is wensdenken

Na de aankondiging dat Jos B. hoofdverdachte in de verkrachting en moord op Nicky Verstappen is, kwam de politiek met de oplossing. Ieders DNA moet in een database. Los van de vraag of Europese mensenrechten-wetgeving de ruimte biedt voor een DNA-databank, toont het weer een verschrikkelijk wensdenken naar een alomvattende oplossing.

Uit onderzoek blijkt dat in de gedachten van 85 procent van de bevolking DNA een trefzekere, foutloze manier is om bij een verdachte uit te komen. De praktijk is alleen weerbarstiger. Zo werkt de techniek niet zo dat er een absolute ‘ja/nee’-match is, maar gaat het om de kans dat er een match is. Statistieken zijn soms misleidend en de testen laten ruimte voor interpretatie.

Geen foutloze technologie

Een bijkomend probleem is dat er verschillende testen zijn en ook daar schiet de nauwkeurigheid tekort. De betere testen zijn – u raadt het al – fors duurder. Precies dat ondervond de Taiwanees Chen Long-Qi toen een DNA-test hem match voor een verkrachting aanwees. Vijf jaar na zijn veroordeling toonde een nieuwe, duurdere test aan dat hij juist geen match was en onschuldig bleek te zijn. Naast het leven van de slachtoffers was ook dat van hem geruïneerd.

Daarnaast gebeurt het ook dat sporen van meerdere mensen soms in een monster voorkomen. Toen een Amerikaans overheidsinstituut in 2013 de proef op de som nam door een monster met DNA van vier mensen op te sturen met een zogenaamde verdachte die niet in het spoor zat, wees toch 70 procent van de onderzoeksbureaus deze persoon als match aan. Wetenschappers zijn in toenemende mate kritisch op hoe de techniek in het strafrecht wordt verheerlijkt. Niet zonder reden, zo blijkt. In de VS loopt het aantal fouten met DNA inmiddels in de duizenden.

Nieuwe risico’s

Ook het dogmatisch geloof in onfeilbare technologie vormt een risico. Want DNA aangetroffen is al snel schuldig. Dus loont het voor criminelen om in trein, bus, restaurant of kapper wat haren mee te nemen. Altijd handig om op een plaats delict achter te laten. Met Nederland in een DNA-database blijft de politie op afstand.

Ook levert een nationale DNA-databank nieuwe potentiële gevaren op. Hoe beveiligen we zoveel data tegen misbruik, manipulatie of diefstal? Hoe voorkomen we dat de DNA-profielen voor andere doelen worden ingezet, zoals medische profielen maken of voorspellen dat iemand crimineel zou kunnen worden op basis van DNA? Of hoe voorkomen we dat we het breder gaan inzetten in de toekomst dan alleen levens- of geweldsdelicten? En wat stellen we in het werk om niet bij een volgende bezuinigingsronde de kwaliteit van de toch dure testen omlaag te schroeven?

Verkeerde focus

Politici zitten niet te wachten op risico’s en willen graag dé oplossing. Als het misgaat, zit er een nieuw kabinet en is dan is het hun probleem. Ondertussen blijven met de focus op DNA andere ingewikkelde debatten uit. Zo is er weinig aandacht voor de vraag waarom Jos B. niet was aan te pakken toen hij eerder in het dossier opdook. Had de politie te weinig mogelijkheden, te weinig mensen of is er een andere oorzaak?

De focus op een dure DNA-databank voor dit soort incident overschreeuwt ingewikkelde vraagstukken waar geen pasklaar antwoord op is. Is het niet slimmer de focus te verleggen naar het kleiner maken van de kans op seksueel misbruik en moord? Moeten we niet meer energie steken in het monitoren van mensen die veel met gevoelige groepen omgaan? Moeten we niet vaker toetsen of het wel goed gaat? Maar dat lijkt voor de politiek onbespreekbaar, want als politici het niet meer weten, grijpen ze naar technologie als de simpele oplossing.

(On)veiliger door techniek?

De opmars van de digitalisering heeft gezorgd voor veel vooruitgang in het veiligheidsdomein. We leven in de veiligste samenleving ooit met dank aan de technologie. Maar introduceren we geen nieuwe, onbeheersbare risico’s?

Camera’s zijn niet meer weg te denken uit het straatbeeld, in het openbaar vervoer, in de restaurants, cafés, scholen, kinderopvang, de werkvloer en andere aspecten van het openbare leven. In straten waar de camera’s niet hangen, zijn er burgers die actievoeren om alsnog onder cameratoezicht te vallen.

En voor de prijs hoef je het niet te laten. Voor een kleine negen euro bestel je in China al een full-hd-camera. Wie liever via draadloze netwerken werkt betaalt het dubbele en voor een paar tientjes meer is de camera direct op internet aangesloten. De techniek is zo verfijnd dat je de camera’s ook steeds beter kunt verbergen. Waarom zou je het niet doen?

Sekssites

Uiteindelijk is de toegevoegde beveiliging het ultieme argument. Alleen de enkele privacy-fetisjist zeurt nog wat door over de twijfels aan de effectiviteit, het misbruiken van de beelden, de mogelijkheid om de camera’s te hacken, het je anders gaan gedragen in ruimten waar je gefilmd wordt en je dus minder vrij voelen. Vooral de vergelijking met 1984 van George Orwell doet het dan goed. Die redenering is gemakkelijk te pareren met een ‘als je niets te verbergen hebt dan heb je niets te vrezen’.

Maar die redenering klopt dus niet. Daar kwamen de Nederlandse handbalvrouwen achter nadat zij naar de sauna gingen. Een camera in de kleedkamer werd voer voor sekssites. Naast input voor Big Brother zijn de vrouwen nu ook commerciële handelswaar. Want de sportieve, naakte lichamen hadden niets te verbergen, maar veel te verliezen.

De camera’s zouden volgens de eigenaar van de sauna zijn gehackt. Geen gek verhaal, want welke beveiliging mag je verwachten van een hd-camera van twee tientjes inclusief de kosten verzending? En die hangen we op internet? Met dank aan dat gedrag zijn duizenden camera’s zonder enige beveiliging te bekijken. Zo kijken viespeuken mee in de sauna, pedo’s bij de kinderopvang en stalkers bij gewillige slachtoffers.

Ontspannen

Ondertussen blijken camera’s maar beperkt te werken in het voorkomen van misdrijven. Bij de opsporing kunnen ze nuttig zijn. Maar we mogen twijfelen aan de effectiviteit van het middel. De critici hadden misschien toch een punt toen ze stelden dat er aan de technologie ook risico’s zitten.

Camera’s zijn zo klein dat we ze niet meer zien. Terwijl de kwaliteit van het beeld toeneemt, daalt de prijs en daarom zijn ze overal in ons leven. Maar wat doet dat met ons gedrag als we ons omkleden in het zwembad, de kinderen bij de buitenschoolse opvang brengen, in de sauna zijn of op een openbaar toilet zitten? Ben je helemaal jezelf of moet je toch denken aan die gluurders op de sekssite?

De nauwelijks te ontdekken hack

Het is de nachtmerrie van iedere organisatie: je neemt beveiliging serieus en doet al het juist en toch ben je kwetsbaar voor de digitaal kraak die niet of nauwelijks te ontdekken is. Wie een virtuele dienst heeft, kan bedrijfsgegevens zo in handen van andere gebruikers geven. De Meltdown-aanval maakt dat nachtmerriescenario realiteit.

Meltdown is een aanval, waarbij de onderzoekers niet het besturingssysteem of de software aanvallen, maar de processoren. Dit ligt een niveau dieper dan het besturingssysteem. De processor kun je niet updaten zonder de hardware te vervangen. Er is dan ook geen simpele oplossing. Wie braaf heeft geupdate, de computer bewaakt en eigenlijk alles doet wat zo belangrijk is, blijkt toch kwetsbaar.

Veel scenario’s

Het besturingssysteem kan – zolang dit probleem niet bekend is – deze aanval ook niet ontdekken en zeker ook niet stoppen. Alles wat met de processor gebeurt is niet alleen te volgen. Wachtwoorden zijn af te tappen en daarmee wordt de ramp groter. In veel gevallen kun je dan inloggen of op andere manieren misbruik maken. Deze aanval is een opstapje naar veel en veel meer.

In een donker scenario kun je de werking van een computer aanpassen. Een bank die saldi verkeerd weergeeft, een zelfrijdende auto met een eigen wil, een vliegtuig dat de weg kwijt is, een administratie die niet meer klopt of een mobiele telefoon die telefoonnummers wist, zijn voorbeelden van aanvallen die mogelijk worden.

Wie een computer deelt door bijvoorbeeld gebruik te maken van een virtuele server is extra kwetsbaar. De buurman op dezelfde set aan machines kan meekijken bij andere gebruikers. En het slechtste nieuws van alles is: dit zijn aanvallen die je mogelijk in de toekomst wel kunt detecteren, maar niet zomaar in logboeken terugvindt. De aanval is gericht tegen de processor niet het besturingssysteem. Wie het netwerk niet actief bewaakt en weet waar te zoeken zal niets door hebben.

NSA-stijl

Dit is de droom van iedere kwaadwillende aanvaller: inbreken, misbruik maken van systemen en nagenoeg niet te detecteren zijn. De natte droom van een inlichtingendienst alla NSA. Of die dit soort mogelijkheden hebben op dit moment weten we niet. Maar het onderzoek naar Meltdown maakt pijnlijk duidelijk hoe belangrijk het is dat we aanvalsscenario’s beter leren te begrijpen.