Survivalgids voor de Digitale Jungle

Na een lang en intensief traject is nu de finish in zicht: mijn nieuwe boek is bijna af. Het is heel veel werk geweest om informatiebeveiliging toegankelijk, beknopt en vooral correct neer te leggen op een manier dat je er in de praktijk ook echt mee aan de slag kunt. Met dank aan de inzet van veel goede experts. 

Wie met technologie in aanraking komt, heeft altijd een beveiligingsprobleem. Met de dagelijkse stroom aan berichten over de onveiligheid rond ICT rijst de vraag hoe je overleeft in de digitale jungle: persoonsgegevens moeten vertrouwelijk blijven, administraties kloppend zijn, websites en bedrijfsprocessen horen 24/7 te draaien. De problematiek komt overweldigend over. 

Dat hoeft niet. Door het op orde houden van de basishygiëne zijn veel rampen te voorkomen. Leer eenvoudig risico’s in kaart te brengen en maatregelen te nemen. Iedere organisatie kan stappen zetten om problemen te beheersen. In dit boek lees je wat je zelf kunt doen om beveiliging fors te verbeteren, risico’s in te schatten en te zoeken naar oplossingen. Neem zelf de regie, leer van de incidenten van anderen en laat je niet verlammen door de dreiging. 

Dit boek biedt een praktische, pragmatische insteek op het gebied van informatieveiligheid zonder het te oversimplificeren. We bannen de cybersecurityvoodoo uit en maken het thema beheersbaar. Schud het ‘dit is te moeilijk voor me’-gevoel van je af, steek de handen uit de mouwen en zoek de veilige kant van de grens van je kunnen op.

Wie het onderwerp serieus benadert, praat niet meer over cybercrime alsof het al te laat is. Je praat over beveiliging juist omdat het nog niét te laat is. Verbeter je kansen tegen spionnen, criminelen, hackers en ja, zelfs de digibeten. 

Verschijnt: 17 januari 2019

Het waren soms zware discussie met mijn sparringpartner Hans de Raad. Barbara Bulten (De Winter) deed de productie. En heel veel goede experts hebben mij enorm enorm geholpen. Veel dank aan mijn kritische reviewers V.A. (Victor) Angelier, André Beerten, Anne Jan Brouwer, Remco Groet, Peter Op ‘T Hof, Jule Hintzbergen, Kees Hintzbergen CISA, Mischa Rick van Geelen, Maaike Hielkema, Sebiastian Oort, Edwin Roovers, Carlo Seddaiu, Ivo Tamboer, Kato Vierbergen-Schuit, Walter van Wijk en Lodewijk van Zwieten voor hun zeer waardevolle feedback.

Het boek is op 17 januari gratis beschikbaar voor bezoekers van de Dag van de Data.

Erik de Jong: Economische Spionage hoe de Chinezen het doen Mo Fang

Hoe werkt economische spionage? Mó fáng is een Chinese groepering die zich richt op economische spionage. Erik de Jong van Fox-it legt aan Brenno de Winter hoe Mó fáng te werk gaat.
Doelgroep: management en security officers van bedrijven waar veel innovatieve kennis beschikbaar is.

Leerpunten:
· Economische spionage is een langlopende operatie;
· APT Advanced Persistent Threat;
· Breng je medewerkers op de hoogte van mogelijke economische spionage.

Uber belemmert innovatie met geheimzinnigheid datalek

Taxibedrijf Uber heeft een groot datalek met persoonsgegevens onder de pet gehouden. Het bedrijf betaalde zelfs de hackers om de zaak te sussen. Dat is niet alleen slecht voor de 57 miljoen klanten die het betreft, maar ook voor ambities voor zelfrijdende auto’s.

De hack vond vermoedelijk plaats in oktober 2016 en treft persoonsgegevens van 57 miljoen klanten over de hele wereld en persoonsgegevens van 600.000 chauffeurs in de Verenigde Staten. Bloomberg heeft een artikel geplaatst waar ook inhoudelijk uitleg is te vinden.

Geheimzinnigheid

Het bedrijf besloot honderdduizend dollar te betalen om bij de hackers te bedingen dat de zaak niet naar buiten zou komen. Die vorm van geheimzinnigheid is alleen al kwalijk, omdat in diverse landen – waaronder Nederland – dit soort beveiligingsincidenten een meldplicht kennen. In ieder geval bij de toezichthouder, maar in veel gevallen ook bij de klant: u en ik.

Met de geheimzinnigheid is niet alleen de wet overtreden, maar ook moreel verwerpelijk. Het miskent dat na een lek de chauffeur of de klant zelf een inschatting moet kunnen maken of ze risico lopen. Maar nog belangrijker: door een cultuur van wegmoffelen, wordt verdedigen tegen criminaliteit moeilijker. Anders gezegd: geheimzinnigheid is in het belang van kwaadwillende hackers die belang hebben dat we ons niet beter beveiligen.

Vanuit beveiligingsoogpunt wil je juist wel weten wat er gebeurd is en welk probleem is verholpen. Door lessen te trekken, kunnen we het een volgende keer beter doen. Voor fysieke veiligheid is lessen trekken de norm sinds de ondergang van de Titanic. Voor digitale veiligheid zou dat niet anders moeten zijn in onze informatiesamenleving.

Zelfrijdende auto

Bij een bedrijf als Uber mag je de lat zelfs hoger leggen. De onderneming werkt aan een zelfrijdende auto, die uiteindelijk de taxichauffeur moet vervangen. Dat is de software die moet helpen het aantal verkeersdoden fors naar beneden te krijgen. Auto’s zijn meer en meer afhankelijk van technologie. Daar is geen ruimte voor een mentaliteit waar je een ton betaalt om problemen onder het tapijt te schuiven.

Onze samenleving is zeer afhankelijk van technologie en door de snelheid van ontwikkeling ook kwetsbaar voor allerhande vormen van misbruik en ellende door softwarefouten. Dat zou de ICT-industrie zich meer mogen aantrekken, want uiteindelijk gaat digitale veiligheid ook over onze fysieke veiligheid.

De onderzoeksraad moet de Digitale Ramp Belastingdienst onderzoeken

Na de onthulling bij Zembla over hoe bij de Belastingdienst met gevoelige gegevens wordt omgesprongen komt de vraag op of er sprake is van een datalek. In antwoord op vragen erkent Staatssecretaris Eric Wiebes (VVD) dat 18 mensen de gevoelige gegevens op een USB-stick konden zetten. Tijd voor een onderzoek naar welke bedrijfscultuur kon leiden tot deze digitale ramp.

In de ‘Broedkamer’ brengt de Belastingdienst allerhande gegevens van 11 miljoen mensen en 2 miljoen bedrijven bij elkaar om zo op basis van big data-technieken fraudepatronen op te sporen. Dat klinkt misschien niet leuk, maar het is wel onvermijdelijk. Via vage grensoverschrijdende bedrijfsconstructies en handelsketens vinden transacties plaats die op een belastingaangifte niet meer terug zijn te vinden. Een minder orthodoxe aanpak is in dat licht wel begrijpelijk, maar die raakt wel de vrijheid van iedere Nederlander.
 
Governance

Bij deze aanpak gaat het om nogal wat gegevens: fiscale data, financiële transacties, reisgedrag, telefoongesprekken met de Belastingdienst, parkeergegevens, vastlegging van auto’s die onder camera’s doorrijden en ga zo maar door. Hoe ver de data-analyse gaat geeft de fiscus weer op haar eigen vacaturesite. Eerder waarschuwde de Raad van State dat er nauwelijks een gegeven te bedenken is dat niet verwerkt kan worden. Maatregelen tegen iedere vorm van misbruik zijn dan ook cruciaal. De governance van beveiliging en privacybescherming moet op orde zijn.
Het in januari 2017 verschenen rapport “Onderzoek naar de besluitvormingsprocedures binnen de Belastingdienst” naar de vertrekregeling maakt duidelijk dat juist die governance nog de aandacht verdient:

‘Verbetering van de checks and balances binnen de Belastingdienst en in relatie met het departement is dringend noodzakelijk. De gang van zaken rond de vertrekregeling is geen incident maar vormt een illustratie van een breder probleem.’

18 ontheffingen

Ook bij de problematiek van de ‘Broedkamer’, de afdeling die nu ‘Data & Analytics’ heet, komt dit probleem naar voren, blijkt uit de beantwoording van Kamervragen door Wiebes:

‘In het verleden hebben die ontheffingen in ruimere mate bestaan (maximaal 18 met toegang tot data), veelal aan medewerkers die deze ontheffing hadden verkregen vanuit hun vorige functie binnen de Belastingdienst. Eind 2015 zijn deze ontheffingen stapsgewijs ingetrokken op initiatief van de Broedkamer zelf, zodat ultimo 2015, dus voor de oprichting van D&A, alle ontheffingen waren ingetrokken. Sindsdien is nog eenmaal een tijdelijke ontheffing verleend.’

De bedoelde ontheffingen waren verleend voor het gebruik van een usb-stick. Samengevat waren er 18 mensen die toestemming hadden een usb-stick te gebruiken. Dit recht vloeit voort uit een eerdere job en kennelijk schort het bij het omgaan met deze gegevens aan goede procedures. Later is nog iemand toestemming gegeven binnen de afdeling D&A om met een usb-stick te werken.
 
Niet geschreven

Maar het interessante in de antwoorden zit in wat Wiebes niet opschrijft. Nergens lezen we dat het gebruik van usb-sticks onmogelijk is gemaakt. Anders was het immers geen noemenswaardig beveiligingsrisico. De techniek verhindert het kopiëren van gegevens niet. 18 en zeer waarschijnlijk meer mensen konden in de periode 2013-2016 dus deze zeer gevoelige gegevens kopiëren en meenemen.
Ook lees ik nergens dat mensen die op deze afdeling D&A werken aan fysieke controles worden onderworpen om het stelen van deze gegevens te voorkomen. Bij inlichtingendiensten is zoiets wel gebruikelijk en de gevoeligheid rechtvaardigt dit ook. Nogmaals: we spreken hier over zeer gedetailleerde data van 11 miljoen burgers en 2 miljoen bedrijven. Als het mis is gegaan is dit waarschijnlijk niet meer te bewijzen.
We kunnen er lang en kort over discussiëren, maar dit is volgens de juridische definitie een datalek. Want de vraag is niet of het is misgegaan, maar of het is uit te sluiten. Dat laatste is niet het geval; 18, 19 of misschien wel meer mensen hebben de belastingdata van zo’n beetje iedereen kunnen kopiëren.
 
Onderzoek

Het verhaal van de Broedkamer is ofwel een digitale ramp die zich in stilte heeft voltrokken, of een digitale near miss van enorme proporties. Om lessen te leren hoor je dat goed te onderzoeken als ware het een scheepsramp. Net als bij Diginotar zou de Onderzoeksraad voor Veiligheid een logische keuze zijn.
Dat Wiebes nu met een eigen onderzoek komt waarin de top zichzelf onderzoekt, helpt daarbij onvoldoende. Je wilt juist dat een externe blik hier fris naar kijkt. Ook het onderzoek van de Autoriteit Persoonsgegevens is daarvoor niet geschikt. Die kijken naar de huidige situatie en de vraag of de Belastingdienst nu aan de Wet bescherming persoonsgegevens voldoet. Dat is nuttig, maar onvoldoende.
 
Allemaal belangrijke informatie, maar nog niet antwoord op de vraag: hoe verkeerd is het gegaan, hoe heeft dat zo kunnen komen en waarom zijn de resultaten van eerdere onderzoeken kennelijk onvoldoende opgevolgd?

Is Yahoo! een kat in de zak?

Yahoo! krijgt de grootste hack ooit over zich heen, bespioneert zijn klanten en houdt cruciale informatie onder de pet. Het wordt pijnlijk duidelijk dat Verizon mogelijk een kat in de zak heeft gekocht.

Bij een hack op Yahoo! zijn zo’n 200 miljoen persoonsgegevens buitgemaakt. Het gaat om wachtwoorden, geheime vragen, e-mailgegevens, geboortedata en vooral de toegang tot het platform om identiteitsdiefstal te plegen. Problematisch daarbij is dat niet het bedrijf, maar de media de onthulling brengen.

Dat het bedrijf is gehackt, hoeft niet noodzakelijkerwijs pijnlijk te zijn. Het overkomt vrijwel ieder bedrijf. Wel problematisch is dat nu het bedrijf deze hack toegeeft, blijkt dat het incident al in 2014 plaatsvond. Ook gaat het niet om 200 miljoen slachtoffers, maar 500 miljoen. Het is de grootst bekende hack ooit en het bedrijf nam niet de moeite haar klanten te informeren. Voor Verizon, dat momenteel bezig is Yahoo! te kopen, is dit een enorme tegenslag. Dat bedrijf heeft een tak met veel expertise rond informatiebeveiliging. Met het jaarlijkse Data Breach Investigations Report gaat Verizon er prat op dat het juist transparantie brengt. Dit lek en met name het moedwillig verzwijgen ervan is slecht voor de beeldvorming.

Daarbij is er nog iets anders pijnlijk. Verizon koopt Yahoo! voor 14,8 miljard dollar met als belangrijkste doelstelling het verkrijgen van toegang tot de klanten. Niet alleen ondermijnt de hack en het geheimhouden daarvan de relatie met de klanten, maar ook devalueert de waarde aanzienlijk; het klantenbestand wordt op het darkweb voor zo’n 1800 dollar aangeboden. Verizon krijgt dus een kat in de zak.

Dat kat-in-de-zakgevoel is nog groter door het bekend worden dat in 2015 – dus ver na de onthullingen van Snowden – Yahoo! actief heeft meegewerkt met de NSA. Het bedrijf heeft software gemaakt om e-mails van klanten te scannen, die voor de NSA interessante berichten identificeert. Vervolgens heeft Yahoo! deze mailberichten aan de spionagedienst doorgespeeld. Dit was zo geheim dat zelfs de CISO hier niets van wist. Eerder bleek uit documenten van Snowden al dat de onderneming via de webcam spionage in hun messenger mogelijk maakte.

Die scansoftware en het doorspelen van berichten aan de nationale inlichtingendienst kun je misschien nog vergoelijken in een pre-Snowden-tijdperk, maar het laatste zeker niet. Die spionage ondermijnt volledig het vertrouwen in de maildienst, cloudopslag en kan voor zakelijk gebruik heel schadelijk zijn. Zeker voor de koper Verizon. Tot nu toe gold hun beveiligingstak als een vertrouwde partij, maar met de koop van Yahoo! verbinden ze zich aan een partij die concurrentiegevoelige informatie zonder pardon doorspeelt aan inlichtingendiensten.

Het laatste nieuws is dat Verizon nu een miljard minder wil betalen. Met dat geld willen ze schadeclaims tegen Yahoo! afwikkelen. Maar het is natuurlijk vooral omdat ze nu iets kopen wat ze bij nader inzien helemaal niet willen hebben. Deze kat in de zak kan namelijk gemeen krabben.

Dit artikel verscheen eerder op ICT Magazine.

Ot van Daalen: Privacyregels in de cloud

Als je als organisatie gegevens wilt opslaan in de cloud waarop moet je dan letten en wat als je je gegevens weer uit de cloud wilt halen. Wat kun je doen als voorbereiding voor het geval er op termijn een datalek binnen je organisatie ontdekt wordt. Ot van Daalen geeft hierover een aantal tips aan Jan Renshof van het CIP.

https://vimeo.com/163234640/s

 

De privacy op orde krijgen is best lastig. Eerder vertelde Angelique Oortmarssen over het omzetten van wetgeving in concrete daden.

Ot van Daalen vertelde eerder waar je op moet letten als je persoonsgegevens gaat verwerken.

Erik de Jong: Ik heb een datalek. Wat nu?

Sinds 1 januari 2016 geldt er een meldpunt datalekken voor alle organisaties in Nederland. Iedere organisatie moet datalekken melden aan de Autoriteit Persoonsgegevens. De vraag is hoe je erachter komt dat jouw organisatie een datalek heeft. Erik de Jong van FoxIT legt aan Brenno de Winter uit hoe je datalekken kunt opsporen en wat je moet vastleggen om bij misdaad eventuele daders te identificeren.

Arjen Kamphuis: Over veiliger mobiel werken

Een belangrijk aspect bij het voorkomen van lekken is ons eigen gedrag. We hebben een flinke invloed door goed na te denken welke informatie we waar delen. Ook is het mogelijk om met simpele stappen onze apparatuur beter te beveiligen. Hoe dat kan legt Arjen Kamphuis, Lead advisor information security, Brunel uit aan Jan Renshof van het CIP.