Print:

IT-beveiliging is heldenwerk

Jasper Bakker, Freelance ICT & internet-journalist

LinkedIn profiel

Informatiebeveiliging, dát zouden meer mensen moeten doen. Niet slechts meer IT-mensen, want het beveiligen van informatie valt niet te doen met technologie alleen. Schade en schande uit de praktijk maakt dit pijnlijk duidelijk.

Nederland heeft een moeizame relatie met IT. IT-projecten en ICT-security zijn hete hangijzers waar de overheid al jaren mee worstelt. Toch valt er vanuit diezelfde partij wel wijsheid aan te nemen over cyber security. Namelijk dat er helden nodig zijn; niet alleen superhelden maar ook juist gewone helden.

Helden gezocht

Cybersecurityhelden is het centrale thema van de jaarlijkse overheidscampagne Alert Online, die onlangs weer van start is gegaan. De 2017-editie van dit bewustwordingsinitiatief schotelt helden voor en roept gewone Nederlanders op om zelf ook heldendaden te verrichten. Voor hun eigen cybersecurity, voor die van medelanders, en daarmee dus ook voor heel Nederland.

Het gaat namelijk om niets minder dan de hele Nederlandse economie plus samenleving. Werkgevers en werknemers, bestuurders en burgers, leveranciers en consumenten hebben namelijk allemaal voordeel bij digitale mogelijkheden. “De kansen en voordelen van het digitale zijn groot, maar de dreigingen nemen steeds meer toe”, weet Patricia Zorko, directeur Cyber Security en plaatsvervangend Nationaal Coördinator Terrorismebestrijding en Veiligheid. Zij gaf begin oktober de kick-off van de zesde editie van Alert Online.

PEBKAC

De bewustwording van digitaal gevaar concentreert zich daarbij op de mens. Het is inmiddels pijnlijk duidelijk dat technologie alleen het niet trekt. Informatie- en communicatietechnologie maakt veel mogelijk, maar daarbij is de mens nog altijd een element dat valt uit te buiten. De zwakste schakel, zeg maar. Een oude, cynische ICT-wijsheid luidt PEBKAC (Problem Exists Between Keyboard And Chair) en is bij cybersecurity nog breder van toepassing.

PEBKAC is ontstaan vanuit wrijving tussen IT’ers en gewone gebruikers, die wel eens laatdunkend als dom of onwetend worden bestempeld. Die hautaine houding vanuit de IT-wereld doet de zaak geen goed. Enerzijds leidt dat niet bepaald tot wederzijds begrip, soepele samenwerking en daarmee oplossing van problemen. Zoals een algeheel hoger niveau van cyber security, voor ons allemaal.

Anderzijds houdt PEBKAC in de traditionele betekenis de blik weg van IT’ers. Zij zijn immers zelf ook gebruikers, die zich tussen toetsenbord en stoel bevinden. Ja, uit het Nationaal Cybersecurity Bewustzijnsonderzoek, dat is uitgevoerd voor Alert Online, blijkt dat er nog een wereld valt te winnen. Nederlanders weten wel van cyberrisico’s maar nemen weinig concrete maatregelen. We zijn bewust van digitale dreigingen en maken ons daar zorgen over, maar handelen daar toch niet naar.

Weg met schaamte

Het lijkt wel alsof we digitale dreigingen niet als persoonlijk of direct gevaar gezien. Zo weten veel mensen wel dat ze wachtwoorden niet moeten recyclen, maar toch doen ze dat nog steeds. We beschermen onze wachtwoorden dus niet goed? “Die zin bevalt me niet”, corrigeert Stephan Somogyi, security & privacy productmanager bij Google. Hij was één van de sprekers na Patricia Zorko op het partnerevenement van Alert Online. “Die formulering suggereert schaamte; dat we iets fout doen.”

Somogyi argumenteert dat angst en schaamte uitgebannen moeten worden. “Technologie zou ons idealiter moeten behoeden, beschermen. Maar de realiteit is niet helemaal zo.” Dus speelt de mens nog altijd een belangrijke rol, en dat moet niet uit het oog worden verloren. “Cybercrimebendes mikken ook op de goedgelovigheid van mensen: ze scheppen angst en geven een vals gevoel van urgentie.” Consumenten en werknemers zijn dan vatbaar, manipuleerbaar en hackbaar.

“Eigenlijk is dit geen nieuwe misdaad”, legt Somogyi uit. Het is namelijk ‘ouderwetse’ oplichterij, maar dan uitgevoerd met en versterkt door digitale middelen. “Dankzij ICT kan het op grote schaal.” Modern gevaar komt hierbij in vele vormen, uiteenlopend van phishing tot ransomware. Technologische tegenmiddelen zijn er wel, maar de mens staat centraal.

De crux is informatiebeveiliging

Verlies hierbij niet uit het oog dat IT’ers en ICT-securityspecialisten ook mensen zijn. Zij zijn dus ook doelwit en maken ook fouten. Fouten op hoog en laag niveau, fouten met grote en kleine gevolgen voor de informatiebeveiliging. Zie maar de groter-dan-grote datadiefstal bij de Amerikaanse kredietmonitor Equifax. De hack waarbij financiële informatie over 146 miljoen Amerikanen (plus nog eens ruim 15 miljoen Britten) is gestolen, komt neer op een fout van een enkele werknemer.

Tenminste, dat beweert de CEO die vanwege deze vergaande securityschending inmiddels is opgestapt. Hij heeft de schuld afgeschoven en op lager niveau neergelegd in een formele hoorzitting voor een Amerikaanse overheidscommissie. Deze bewering is echter niet waar. Als een IT’er een fout zou maken die tot onveiligheid kan leiden, is er veel meer aan de hand als er echt zo’n megahack uit voortkomt.

Ja, er zouden configuraties moeten zijn die bepaalde handelingen voorkomen of verbieden. Denk aan de verplichting om default gebruikersnamen en wachtwoorden (zoals admin/admin) te veranderen. Zelfs consumentenrouters hebben dit tegenwoordig. Daarnaast zouden er monitoringsystemen moeten zijn die bij fouten alarmbellen laten afgaan. Maar zulke instellingen en systemen ontbreken bij Equifax en andere verkeerde voorbeelden, groot en klein. Hoe dat komt? Door een menselijke beslissing, of eigenlijk: een gebrek aan menselijke beslissing.

De basics vergeten

Zie maar Accenture die een grote hoeveelheid zeer gevoelige data had opgeslagen in een viertal cloudservers, waar geen wachtwoord op zat. Géén wachtwoord. Laat dat even doordringen. Technologie- en cloudadviesbedrijf Accenture was vergeten cloudtechnologie te voorzien van een wel heel basale bescherming.

De servers in Amazons S3-opslagdienst hadden honderden gigabytes aan gevoelige informatie: uiteenlopend van wachtwoorden (sommige zelfs in plain-text opgeslagen) tot geheime decryptiesleutels en de master key voor Accenture’s sleutelbeheer in Amazons AWS-cloud. Iedereen die het webadres van deze cloudservers wist – of wist te raden – had toegang tot al deze kroonjuwelen.

Voor zover bekend is dit niet gedaan door kwaadwillenden. Een extern securitybedrijf is mid september op de onbeveiligde toegang gestuit en heeft Accenture in vertrouwen geïnformeerd. De volgende dag waren de vier servers ineens wel voorzien van beveiliging. Mensen met kennis van zaken weten dat informatiebeveiliging verder gaat dan alleen een wachtwoord instellen.

Neem de recente hack bij Deloitte Global. De complete e-mailcommunicatie van de 244.000 medewerkers bij het accountants- en advieskantoor bleek toegankelijk met slechts gebruikersnaam en wachtwoord van een beheerder. Onbekenden hebben daar wel misbruik van gemaakt, wat in maart is ontdekt maar toen al enkele maanden zou hebben gelopen. De reikwijdte van deze datadiefstal komt geleidelijk aan beter in beeld.

Het zijn niet alleen de groten der aarde die worstelen met de beveiliging van oh zo kostbare digitale informatie. Ook kleinere partijen zijn rijpe doelwitten en kunnen ook nog eens dienen als zij-ingang voor grote doelwitten, met internationale reikwijdte. Zie maar de datadiefstal bij het Australische ministerie van Defensie, gepleegd via een kleine, slecht beveiligde ondernemer. De buit was topgeheime informatie over marineschepen, surveillance-vliegtuigen en gevechtsvliegtuigen waaronder de F-35 Joint Strike Fighter die ook in Nederland dienst doet.

Buiten beeld vallen vaak nog kleinere security-inbreuken bij gewone bedrijven en organisaties. “Één op de vijf bedrijven is slachtoffer van cybercrime”, weet directeur Cyber Security Zorko, op basis van cijfers van het CBS (Centraal Bureau voor de Statistiek). De totale schade voor de Nederlandse economie bedraagt op jaarbasis zo’n 9 miljard dollar, blijkt uit nieuw onderzoek door Deloitte. Een accountancy en cybersecurity-adviseur die dus zelf ook slachtoffer is.

Schone taak

Het is om somber van te worden, maar vergeet niet de wijze woorden van Google’s Stephan Somogyi. We moeten de schaamte voorbij, we moeten leren. Van elkaar leren en aan elkaar leren. Hoe informatie beter valt te beveiligen. Niet omdat het kan, maar omdat het moet! Een schone – en niet bepaalde lichte – taak voor informatiebeveiligers overal. Heldenwerk dus.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten