Independent. Dynamic. Involved.
nlen

Geen nieuws is GEEN goed nieuws: waarom u geen weet heeft van hacks in Nederland

Door Diederik Perk.  Het aantal IT beveiligingsincidenten in krantenkoppen is nooit eerder zo groot geweest als in het afgelopen jaar. Het lijstje loopt van de Heartbleed en Shellshock bugs, het lekken van celebrities’ privéplaatjes uit de iCloud en de continu weggesluisde credit-card gegevens van talloze bedrijven uit de retail sector door middel van falende Point-of-Sale systemen, tot geavanceerde spyware aanvallen als Regin en Uroboros die te herleiden zijn naar statelijke actoren en op de valreep van 2014 kwam de vernietigende impact van de Sony Entertainment aanval.

Opvallend aan deze reeks belangrijke- al zij het soms wat opgeblazen- gebeurtenissen is dat zij zich allemaal buiten de Nederlandse landgrenzen afspeelden. Daarmee lijkt het alsof de cyber security situatie hier volledig onder controle is.[1] Deze aanname kan een gevaarlijk gevoel van valse veiligheid geven en als we de vele fraai vormgegeven real-time attack-maps mogen geloven ligt ook onze infrastructuur continu onder digitaal vuur.[2] Waarom ontbreken berichten over Nederlandse incidenten, hacks of data lekken dan?

Gehacked in Nederland: Horen, Zien, Zwijgen

Geen nieuws is goed nieuws wordt in crisistijd de Nederlandse PR-tegenhanger op ‘there’s no such thing as bad publicity’ en toont dat bedrijven publicitair wat terughoudender zijn om met veiligheidsincidenten in de openbaarheid te treden. In gevallen van ontdekte fraude, waarvan er bij ons bekend is dat ze continu gebeuren, hebben een voor alle direct betrokken partijen bevordelijke uitkomst om een ontslag en andere maatregelen stilletjes door te voeren. Er wordt dan ‘geschikt’ (geen juridische stappen) en we worden geen bevindingen gecommuniceerd naar buiten toe (in het belang van de privacy).

Eventueel te laat gevonden interne overtredingen kunnen behalve de vuile was buiten hangen ook een negatieve weerslag hebben op een organisatie’s zwaarbevochten compliance status. Brandjes die haastig geblust zijn onder de pet houden binnen een afdeling of team gebeurd ook, al is dat tekenend voor tanende interne communicatiekanalen. Zo blijft het korte termijn denken over de lange termijn visie regeren. Dit zal echter niet zonder gevolgen blijven zodra meld- en notificatieplicht is doorgevoerd en afgedwongen wordt op last van de nieuwe Nederlandse en Europese Dataprotectie regelgeving.

Geen detectie is niet hetzelfde als geen breach

De white hat hackerscultuur waarin hobbyisten voor de sport inbraken in systemen en daar geintjes achterlieten om over op te scheppen is al even verleden tijd. Ook de lawaaiierige variant waarin in het wilde weg schade aangericht wordt die alarmbellen af doet gaan is op z’n retour, want het staat in de weg om grondig een netwerk in kaart te brengen, bitcoins te minen of toegang te escaleren en data te exfiltreren.

Huidige netwerkintrusies doen alles om onder de radar te blijven vliegen om maximaal te profiteren van de aanwezige resources. Zo zijn er malware infecties die herkennen of ze zich bevinden op een virtuele machine en zo ja, zichzelf vervolgens vernietigen om uit de handen van malware analisten te blijven. Gebrek aan expertise op dit vlak in de gemiddelde IT afdeling moet niet worden onderschat in het uitblijven van ontdekkingen.

Geen paniek zaaien

De optelsom maken van de staat van huidige gegevensbeveiliging is een bittere pil. Anti-virus is volledig overspoeld in de strijd tegen malware, cyber-criminelen verdienen vrijwel straffeloos miljarden, overheden bestrijden elkaar met offensieve middelen waarin bedrijven en burgers als pionnetjes worden uitgespeeld en hoe meer er aandacht is voor vertrouwde (open-source) software componenten hoe meer bugs en flaws er gevonden worden. Daarbij komt nog eens de groeiende verspreiding van mobiele malware, de haperende of ontbrekende beveiliging van smart devices in het internet of things domein[3] en de stijgende marktwaarde van zero-day kwetsbaarheden.

Het catastrofale brokken maken met de beste bedoelingen is een fenomeen van alle tijden. Een nog niet uitgeputte bron is dat de eindgebruiker aangehaakt kan worden als bondgenoot met bewustzijn en daadkracht om eventuele anomalieën te rapporteren. Al met al is er een schrikbarend deficiet in geïmplementeerde beveiliging over de hele linie. Het vaak aangehaalde concept van een wapenwedloop tussen de ‘good guys and bad guys’ schiet daarmee tekort door de asymmetrie van het conflict, omdat de goeden nog nooit een streepje voor hebben gehad die de tegenstanders tot meer inspanningen dwingt. Dweilen met de brandspuit op volle kracht open is een passender beeld voor deze gang van zaken.

Geen onderzoeksjournalistiek

Met teruglopende budgetten bij kranten en de publieke omroep wordt onderzoeksjournalistiek een steeds zeldzamere vorm van berichtgeving. In die zin is het niet vreemd dat een relatief nieuw onderwerp als informatiebeveiliging nog geen vlucht heeft genomen in het Nederlandse medialandschap. Onthullingen waren er wel over het aanbestedingsproces van Ordina bij het Ministerie van Defensie en het stelselmatig falende budgetbeheer en scopecreep van IT projecten bij de overheid. Beide zaken gaan jaren terug en gericht op bestuursfalen en daaruit valt op te maken dat er weinig initiatief op het inhoudelijke vlak te verwachten valt.

Een uitzondering zit in de stroom van documenten aangeleverd door klokkenluiders als Edward Snowden, waarbij de traditionele media wel hun best doen om de informatie in een spannend licht te zetten. Een bijzonder tragisch voorbeeld daarvan ligt in het verlengde van NRC’s onderzoek naar de Nederlandse Zorgautoriteit (NZa) waar medewerker Arthur Gotlieb misstanden tevergeefs aan de kaak stelde, waaronder voor lekken in de ICT-beveiliging, waardoor medische gegevens niet veilig zouden zijn. Pas nadat de heer Gotlieb zich zijn eigen leven ontnam, werden zijn zorgen gedeeld met de buitenwereld.

Geen volledige informatiepositie (want problemen genoeg)

Natuurlijk ligt een deel van de verantwoordelijkheid voor nieuwsvergaring in uw eigen straatje. Als een organisatie niet actief informatie verzameld zal dit de effectiviteit van patching en blacklisting via de firewall raken. Het Nationale Cyber Security Centrum is ingericht door Justitie om publiek-private samenwerking en informatiedeling mogelijk te maken. Alhoewel het Cybersecuritybeeld Nederland een nuttige bijdrage is werd er vooral aandacht gegenereerd voor de zogenaamde crisis van het dan-weer-wèl, dan-weer-niet ophouden van support voor Windows XP. Ondertussen werd er een ernstig lek ontdekt dat bijna een jaar open heeft gestaan in de DigiD implementatie van een dozijn gemeentes.[4] Daaropvolgend werd dat gat gedicht en vastgesteld dat er geen aanwijzingen voor misbruik waren (alhoewel dat natuurlijk het doel zou zijn van een potentiële aanvaller).

Ook was er opeens een recordvangst aan gestolen inloggegevens . De precieze toedracht is nog onbekend maar een Amerikaans bedrijf genaamd Hold Security heeft haar handen gelegd op een database met de omvang van 4,5 biljoen wachtwoorden. Bij de afhandeling naar de getroffenen toe fungeert NCSC als doorgeefluik. De Nederlandse buit had een omvang van van circa 5600 – mogelijk nog – kwetsbare websites binnen het .nl domein en een dataset van circa 1,3 miljoen emailadressen die eindigen op .nl. Zo bekeken zijn er toch enkele substantiële veiligheids issues de revue gepasseerd.

En hoe nu verder dan?

Security in het digitale domein heeft een reeks schrijnend zwakke plekken. Het bewustzijn hiervan is binnen de informatiebeveiligingswereld wel aanwezig, maar daar buiten wordt vaak blind op technologie vertrouwd. Dat vertrouwen krijgt dit afgelopen jaar in het buitenland veel tikken (zo ook in België, waar de staat door zowel Britse als Russische malware bespioneerd werd), maar in Nederland staat de discussie hierover nog nauwelijks in de stijgers. Het bespreekbaar maken van praktijkcasussen zou een stap voorwaarts zijn in het delen van informatie en leren van ervaring. Natuurlijk moet een responsible disclosure traject gevolgd worden waar toepasbaar, maar wanneer geconfronteerd met een veiligheidsprobleem zou er meer gedacht kunnen worden aan de bredere implicaties.

Dit is niet alleen een rol voor de overheid. Sterker nog, het is te belangrijk om alleen maar aan de staat en anti-virus vendoren over te laten. Het bedrijfsleven loopt dagelijks tegen beperkingen aan en zoekt daarin grenzen op. Structurele en constructieve uitwisseling van tekortkomingen met bijvoorbeeld de (computer-) wetenschap en kennishubs als the Hague Security Delta bieden een weg voorwaarts. Een nieuwe notificatieplicht vanuit Brussel is in aantocht. Wetgeving zal verder om zich heen grijpen als er niet vanuit de industrie zelf initiatieven genomen worden om de escalerende datalekken tegen te gaan. Dat dit ook een kwestie is van eigenbelang zal voor bedrijven zichtbaar worden als de Nederlandse consument de geloofwaardigheid van de organisatie in twijfel trekt als een crisis pas achteraf bekend wordt.

Het ontsluiten van logs en gerelateerde monitoring data is iets wat binnen de white hat hackergemeenschap een bron van vooruitgang is geweest, maar wat door commerciële belangen naar de achtergrond is verdwenen. Een voorbeeld van hoe het wel goed gaat is de concentratie van security-gerelateerde conferenties in Las Vegas – van Black Hat tot Def Con en verder. Er worden papers gedeeld en gepresenteerd, workshops gegeven en natuurlijk zijn er vendoren die hun nieuwste waar aanbieden. Wat door de insiders liefkozend als Security Summer camp genoemd wordt, heeft een belangrijke rol in het organisch samenbrengen van kennis, ervaring en gemeenschappelijke doelen. De veiligheid van de omvangrijke digitale infrastructuur in Nederland verdient ook dezelfde aandacht en toewijding. Ook wanneer daarvoor eerst de pijnlijke lessen publiekelijk worden blootgelegd.

In de Verenigde Staten stellen de specialisten dat ‘IT security went from the basement to the boardroom’. In Nederland is zo’n soortgelijke doorontwikkeling van het veiligheidsbeleid noodzakelijk om zowel interne als externe communicatie in crisistijd te kanaliseren en alle stakeholders volledig te informeren. Een bredere initiatiefrijke beweging zou het horen, zien en zwijgen om kunnen zetten in het gecontroleerd uitleren van bevindingen. Resumerend: het ontbreken van publiekelijk bewijs van falen is geen bewijs voor succes op dit gebied. Een viertal direct toepasbare aanbevelingen per belanghebbende:

Voor het bedrijfsleven:

–          Bedrijven moeten proactief monitoren op eigen omgeving en updates van de national vulnerability database op systemen in gebruik nemen dmv patching/workarounds.

–          Branche organisaties nemen eigenhandig het voortouw door actief op zoek naar oplossingen en het uitleren daarvan te gaan.

–          Minimaliseren en efficiënt archiveren van data opslag meenemen in informatiebeveiliging beleid.

–          Regelmatig pen-testen uitvoeren, zodat er periodiek een meting wordt genomen en het doorvoeren van verbeteringen eveneens getest wordt.

Voor de overheid:

–          Een nationale onderzoeksagenda voor informatiebeveiliging opzetten. Het stimuleren, coördineren en waar nodig subsidiëren door NCSC en uitgevoerd door onderwijsinstellingen, denktanks en IT beveiligingsspecialisten.

–          Vanuit de overheid worden aanknopingspunten geboden die verder gaan dan generieke waarschuwingen door interne incidenten als casuïstiek aanbieden.

–          Een draagvlak voor bug bounty acties (het belonen van ontdekken en melden van tekortkomingen dmv code reviews) gangbaar maken binnen bestaande responsible disclosure regelingen.

–          Openlijk diplomatiek verzet tegen natie-staten met surveillance programma’s die kwetsbaarheden in informatiesystemen en platforms laten zitten of inbouwen en daarmee data beveiliging van burgers en bedrijven ondermijnen.