Digitaal Lockpicken bij Van der Valk

In Hotel van der Valk in Zwolle mochten hackers naar hartelus aan de slag gaan met het kraken van nieuwe sloten die werken op basis van Bluetooth. Er werden een aantal aanvalsscenario’s gevonden, maar het lukte uiteindelijk niet om daadwerkelijk een slot te openen. Een hacker geeft de moed niet op en probeert nog een scenario uit.

Ook de media deden verslag van de bijeenkomst. RTV Oost:

“Digitaal Lockpicken bij Van der Valk” verder lezen

Digitaal gewapend beton

Vanaf 1 januari 2016 gaat de nieuwe Wet bescherming persoonsgegevens, WBP, in. Dat betekent dat organisaties moeten weten welke data ze in huis hebben en welke onderdelen persoonsgegevens zijn. Wie dat niet doet, zal vrijwel zeker problemen krijgen.

De nieuwe WBP is niet zozeer een dreiging vanwege de mogelijke boetes en onderzoeken die organisaties riskeren, maar zijn gevaarlijk vanwege de onvolwassenheid van de ict-industrie. Zo vinden we het helemaal niet vanzelfsprekend om vooraf na te denken wat voor gegevens we verwerken en wat voor de bescherming daarvan aan maatregelen nodig is.

Datalekkenregen

Anno 2016 is het niet meer vol te houden dat mensen niet zouden weten dat gegevens kunnen worden gehackt, verloren of onrechtmatig worden verwerkt. De incidenten vinden massaal plaats. Volgens een schatting van het CBP, dat na 1 januari 2016 de Autoriteit Persoonsgegevens gaat heten, zijn er jaarlijks 62.000 datalekken waarbij persoonsgegevens zijn betrokken. Niet ieder incident zal direct leiden tot identiteitsfraude of ernstige gevolgen, maar vaak loert dat gevaar wel. En dan moet u melden.

Sinds ‘Lektober’ was al duidelijk dat dit een probleem was, maar eigenlijk is de situatie nog onvoldoende verbeterd. Persoonsgegevens lopen op veel manieren risico. Dat gebeurt niet alleen via hacks, maar ook gegevens die op een USB-stick staan kunnen door verlies, diefstal of het stallen bij leveranciers, in verkeerde handen terechtkomen.

Dankzij de uitspraak van het Europese Hof van Justitie in de zaak die ‘Safe Harbor’ onderuit haalde, is duidelijk dat iedereen die persoonsgegevens verwerkt, moet waken tegen elke vorm van misbruik. De verantwoordelijkheid ligt dus in eerste instantie bij degene die de informatie laat verwerken. Deze persoon moet daardoor ook goed kijken met wie hij of zij zaken doet.

Aardbevingen

De problematiek laat zich tot op zekere hoogte vergelijken met beschermingsmaatregelen tegen aardbevingen. Om instortingsgevaar te verkleinen, gebruiken we in de bouw gewapend beton. Dat regel je voor de bouw al, omdat het metaal achteraf niet meer is toe te voegen. Wie dan nog het risico wil beperken, moet dure capriolen uithalen om een woning alsnog ietwat te beschermen tegen aardbevingen.

Digitaal is het niet veel anders. Wie vanaf het eerste moment bezig is met het bouwen van privacyvriendelijke en beveiligde oplossingen, kan het digitaal gewapend beton inbouwen in de systemen. Wie dat achteraf moet doen, loopt niet alleen tegen duurdere ontwikkelkosten aan, maar moet ook mensen anders opleiden, afspraken met leveranciers opnieuw maken en daardoor meer kosten maken.

Met de lange levensduur van systemen zal het een hele tour worden om op een volwassen manier de rechten van mensen te beschermen. De wetgever heeft een grote stap gezet om de industrie te dwingen betere systemen te bouwen. Nu is het aan ons om die handschoen op te pakken. Verzet u niet langer tegen gewapend beton!

Deze column verscheen eerder bij ICT Magazine.

De duivel uitdrijven met Beëlzebub

Het klinkt simpel: als hackers inbreken in computers, dan moeten we de politie ook de mogelijkheid tot hacken bieden. Het lijkt een nuttig middel om hackers te stoppen. Alleen worden wij er onveiliger van. Het is de duivel uitdrijven met Beëlzebub.

In het wetsvoorstel, dat nu bij de Tweede Kamer ligt, krijgt de politie de bevoegdheid om ook te mogen hacken in computers, mobieltjes en andere apparaten die met internet verbonden zijn. Eufemistisch noemt Minister Van der Steur het “heimelijk en op afstand (‘on line’) onderzoek doen in computers”.

Inbrekerstuig

Hacken is niet de digitale variant van inbreken in een huis. Om binnen te komen in een computersysteem (of mobiel) zijn zwakheden nodig. Zodra die lekken zijn verholpen werkt de aanval niet meer. Je kunt digitaal niet een deur intrappen of een ruit open maken en die achteraf vervangen.

Wil de politie binnenkomen dan zijn zogenaamde 0day-lekken nodig ofwel lekken die nog niet publiekelijk bekend zijn. Bedrijven als Hacking Team leveren dit soort digitaal inbrekerstuig aan overheden.

Lekken niet dichten

De lekken worden aangeboden in een schimmige wereld. Bij het kopen van 0day-lekken van hackers beloven ze naast tienduizenden euro’s te betalen de zwakheden niet bij de leverancier te melden, zodat de aanval blijft werken.

Zoals beschreven in deze e-mail met afspraken met een Russische hacker:

“You promise to not report this 0day to vendor or disclosure it before the patch. obviously it is not our interest!”

Duistere zaken

Om te kunnen inbreken op enkele computers van verdachten blijven honderden miljoenen computers lek. Want zodra de zwakheid is gemeld bij de softwarebouwer kan die het probleem dichten. Als dat is gedaan dan is deze route om binnen te komen afgelopen.

Het kopen van dit soort 0day-lekken is een duistere business, waarin veel geld omgaat. Sommige experts zijn zeer actief in het vinden van deze lekken voor de handel. Niets staat ze in de weg om naast het verkopen van de lekken aan Hacking Team ze ook aan criminelen te verkopen.

Schimmige zaken

Ondertussen blijkt onze politie serieus geïnteresseerd te zijn om met Hacking Team zaken te doen. Een pijnlijke bijkomstigheid daarbij is dat deze beoogd leverancier hun tools ook leveren aan twijfelachtige regeringen van landen als Azerbeidzjan, Kazachstan, Uzbekistan, Rusland, Bahrein, Saudi Arabië, de Verenigd Arabische Emiraten, Nigeria en Ethiopië.

In deze landen nemen de overheden het niet altijd even nauw met de mensenrechten. Het digitaal inbrekerstuig wordt regelmatig gebruikt om in te breken op computers van journalisten. Dat brengt zowel hen als hun bronnen in gevaar. Ook bijvoorbeeld tegenstanders van dergelijke regimes worden door dit soort hackertools aangevallen.

Duivel uitdrijven

Krijgt de minister zijn zin krijgt dan wordt het aanschaffen van digitaal inbrekerstuig legitiem We houden daarmee een industrie in stand met als gevolg het minder snel dichten van lekken met bijkomende onveiligheid.

De lekken zijn ondertussen voor iedereen beschikbaar: twijfelachtige regimes, de politie met goed bedoelde intenties, criminelen en organisaties die bedrijfsspionage willen plegen. Alleen daarom is de voorgestelde hackbevoegdheid een klassiek voorbeeld van de Duivel uitdrijven met Beëlzebub.

Wees klaar voor het volgende datalek

Organisaties die te maken hebben met een beveiligingsincident ervaren een zeer hectische tijd. Er komt namelijk veel op de organisatie af. Maar vanaf 1 januari 2016 wordt het nog belangrijker snel en goed te handelen. In veel gevallen moet u een incident binnen 72 uur melden. En daar komt heel wat bij kijken.

Uit diverse onderzoeken komt naar voren dat meer dan de helft van de beveiligingsincidenten niet door de organisatie zelf wordt ontdekt. De melding wordt gedaan door iemand van buitenaf. Wanneer de technische inrichting zo ingericht is dat afwijkende zaken te detecteren zijn, kan de organisatie vaker zelf beveiligingsincidenten ontdekken.

Detecteren

Om een beveiligingsincident te ontdekken kan er van veel informatie gebruik worden gemaakt. Zo valt informatie uit langskomend verkeer te halen en kunnen logboeken op servers, routers, firewalls en andere systemen in de netwerken worden bijgehouden. Hierbij kan gelet worden op afwijkingen en kan men achteraf nakijken wat er bij een incident allemaal is gebeurd. Wanneer er daadwerkelijk wordt gestolen, is het soms mogelijk om uit de hoeveelheid netwerkverkeer informatie over het datalek te achterhalen.

Maar de verantwoordelijkheid ligt niet alleen bij de IT-afdeling en de technologie. Een goede detectie kan ook vanuit de organisatie komen. Veel prominente hacks zijn begonnen met een e-mail. Bewuste en oplettende medewerkers die vreemde e-mails detecteren, kunnen daarom ook een aanval vroegtijdig ontdekken.

Hoe een beveiligingsincident ook ontdekt wordt: wanneer een aanval wordt uitgevoerd, is het van belang om als organisatie zelf de regie te houden. Het beter inrichten van de technische omgeving heeft ook als voordeel dat technologie ingezet kan worden om een eventuele aanval in de kiem te smoren.

Wel of geen datalek

Mocht er toch een beveiligingsincident plaatsvinden, dan is het bij een incident dat door de organisatie zelf wordt ontdekt sneller duidelijk of er – en zo ja welke – gegevens zijn getroffen. Hierdoor is de omvang van het incident en de daaruit voortkomende schade sneller vast te stellen. Een organisatie kan daarmee een crisis naar de eigen hand te zetten. Het hebben van een goede infrastructuur en detectie helpt om de zaak te versnellen.

Zonder informatie over getroffen gegevens wordt het ingewikkelder als er een melding binnenkomt. Dan moet namelijk eerst worden vastgesteld of er wel sprake is van een incident. Pas na deze vaststelling kan worden gezocht naar de omvang van het incident. Zo plaatste iemand tijdens de hack op KPN in 2012 persoonsgegevens op het internet en suggereerde dat dit met de hack te maken had. Met eigen onderzoek kon ik vaststellen dat de data van een bedrijf afkomstig was en niets te maken had met de hack.

Persoonsgegevens

Een organisatie moet dus duidelijkheid hebben over de eventuele betrokkenheid van persoonsgegevens bij het lek. Wanneer dit het geval is moet er binnen 72 uur melding worden gedaan bij de Autoriteit Persoonsgegevens, per 1 januari 2016 de opvolger van het College Bescherming Persoonsgegevens. Wanneer de betrokkenen het risico lopen dat hun persoonsgegevens misbruikt worden, moeten ook zij een melding krijgen en is het zaak om nauwkeurige informatie over het lek te verschaffen. Daarvoor moet dus duidelijk zijn wat er aan de hand is.

In veel gevallen is het wel duidelijk welke soort gegevens onder persoonsgegevens vallen. Logisch zijn adresgegevens, telefoonnummers, een medisch dossier of het burgerservicenummer. Maar ook een registratienummer dat naar een persoon kan leiden, een internetadres of een kenteken vallen onder persoonsgegevens. Wat er precies onder persoonsgegevens valt moet voordat er een incident plaatsvindt al goed over zijn nagedacht. Het valt namelijk niet mee om dat binnen 72 uur nog vast te stellen terwijl er veel tegelijkertijd moet gebeuren.

Ook moeten organisaties zich realiseren dat een datalek niet per definitie betekent dat de organisatie gehackt is. Iedere medewerker kan de oorzaak van het datalek zijn. Ook een gestolen laptop of een verloren USB-stick met daarop persoonsgegevens zijn datalekken die onder de komende meldplicht gaan vallen. Het gaat er hierbij vooral om dat er persoonsgegevens in verkeerde handen zijn gevallen. De manier waarop deze gegevens zijn verloren is daarbij minder belangrijk. Bij het niet melden van een datalek riskeert de organisatie een boete van maximaal €820.000. De meldplicht is dus zeker niet vrijblijvend.

Kennis

Om de ernst van een datalek goed te kunnen inschatten moet een organisatie de eigen omgeving goed kennen. Dat geldt natuurlijk voor de techniek: welke systemen hebben we en wat doen ze? Maar het gaat ook om het boven tafel krijgen van de bedrijfsprocessen. Uit die processen is te halen wat er belangrijk is om de organisatie draaiende te houden. Ook maakt dat duidelijk welke gegevens op welk moment toegankelijk zijn.

Die kennis van de eigen organisatie en de technische omgeving is niet alleen nuttig bij een eventueel incident. Om te voorkomen dat het mis gaat, moeten de risico’s van te voren in kaart zijn gebracht. Op basis daarvan kunnen dan maatregelen worden bedacht om de gevaren te beteugelen, een werkwijze aan te passen of misschien te stoppen met het verwerken van bepaalde gegevens op risicovolle plekken.

Plannen maken

Naast het beperken van risico’s is het ook belangrijk vooraf al na te denken over wat er tijdens een incident moet gebeuren. Wanneer er tijdens een incident nog moet worden nagedacht over hoe er met het probleem moet worden omgegaan, komen er nog meer vragen op de organisatie af en wordt de kans op het maken van fouten groter.

Daarom is het goed om plannen te maken voor de antwoorden op de volgende vragen: wie neemt welke taak op zich? Wat wordt wanneer gecommuniceerd en met wie en hoe? Wanneer wordt de dienstverlening onderbroken en opnieuw gestart? Welke partijen zijn een partner? Hoe voorkomen we dat signalen intern en extern worden gemist? Wanneer is aangifte noodzakelijk? Hoe moet het onderzoek lopen? Het opstellen van zulke draaiboeken heeft nog wel wat voeten in de aarde.

De nieuwe regelgeving rond de meldplicht datalekken is een goede aanleiding om eens kritisch te kijken naar de eigen organisatie en nu al voorbereidingen te treffen. Risico’s moeten worden verkleind, de omgeving moet klaar zijn om een incident te detecteren, personeel moet worden geïnstrueerd en als het toch misgaat moeten de juiste mensen weten wat ze moeten doen.

Dit blog werd geschreven voor de campagne I Feel Secure.