Beheer

Security

Het opvallendste nieuws volgens Jacques Schuurman

22 februari 2013
De grootscheepse diefstal van bedrijfsgegevens door middel van het botnet Pobelka en het onderzoek daarnaar is het opvallendste nieuws deze week voor Jacques Schuurman, Security Officer van XS4ALL.

Onlangs is flinke ophef ontstaan over een grote "buit" aan gestolen digitale gegevens. Met het blootleggen van een command & control-server van een berucht botnet (vaak Pobelka genoemd) is tevens een verzameling gegevens vrijgekomen van wat Pobelka zoal heeft "buitgemaakt" vanaf geïnfecteerde computers. In het algemeen zijn de inspanningen van partijen om botnets te neutraliseren gericht op het lokaliseren en downbrengen van de centrale computers waar vandaan de besturing plaatsvindt. Soms wordt daarbij ook data gevonden die door de betreffende malware is verzameld, opgeslagen of verder misbruikt.

Steeds lijkt het echter te gaan om gerichte opsporingsonderzoeken, waarbij opsporingsinstanties met de juiste bevoegdheden en beperkingen aan de hand van deze gevonden data eventueel stappen ondernemen.

Privaatrechtelijke partij kreeg beschikking over gevoelige gegevens

In dit geval echter gaat het om het verkrijgen van dergelijke gestolen data door een privaatrechtelijke partij (het bedrijf Digital Investigations), dat ineens over gevoelige informatie beschikt, en nu dus met de verantwoordelijkheden zit die bij het beheer van dergelijke data horen. Toen zij hier de hand op hadden gelegd, op een wijze die tot nu toe niet helder is (wat is de rechtmatigheid hiervan?), hebben zij vanuit hun verantwoordelijkheidsbesef de politie ingeschakeld, alsmede het Nationaal Cyber Security Centrum (NCSC). Nu kunnen we aannemen dat het bedrijf te goeder trouw heeft gehandeld, maar de ontstane situatie roept wel enkele vragen op.

Allereerst is daar de kwestie van bevoegdheden: indien een particuliere partij, opererend binnen de grenzen van de wet, de beschikking krijgt over een (grote) verzameling aan gestolen informatie - welke rechten en plichten heeft zij dan?

Ten tweede rijst de vraag wat de positie van de ingeschakelde overheidsdiensten is, al dan niet met speciale bevoegdheden. In het algemeen mag je verwachten van politie en justitie dat zij zich in dienst stellen van het algemeen maatschappelijk belang, en dus onderzoeken in hoeverre dat belang in het geding is in het licht van de gestolen data. Hoever reikt echter die opvatting, en met welke doelstelling zullen politie en justitie de gevonden data gaan analyseren, en mogen zij dit überhaupt, zonder concrete aanwijzingen of verdenking jegens iets of iemand?

Onduidelijk is of het onderzoek zich ook richt op de toedracht van datacollectie

Concreet zullen er twee soorten data aangetroffen worden: gestolen gegevens zelf (zoals bijvoorbeeld inloggegevens, creditcardgegevens of andere zeer gevoelige gegevens) en informatie over die gegevens (herkomst in termen van IP-adressen of hostnamen, en tijdstippen van verzameling), de zogenoemde metadata.  Niet geheel duidelijk is of het onderzoek zich ook gaat richten op de toedracht van de collectie van deze data.

Alles wijst erop dat dit een situatie is die zich niet eerder op deze schaal heeft voorgedaan. Mogelijk komen hier bruikbare gegevens uit, na grondige analyse en selectie van de data: zowel voor het opsporen van vergelijkbare botnets als inzicht in de omvang en lokatie van geïnfecteerde machines en mogelijk zelfs een betrouwbaar beeld van het soort aan gegevens die zijn buitgemaakt. In ieder geval lijkt het erop dat wat er ook uit deze zaak gaat voortkomen, we hier te maken zullen krijgen met een eerste geval in een reeks van ongetwijfeld vergelijkbare situaties. Met het afronden van deze zaak zal een voorbeeld ontstaan over hoe publieke en private organisaties samenwerken bij het zo goed mogelijk opruimen van aangetroffen botnetten, inclusief een verantwoorde en zinvolle afhandeling van de daarbij aangetroffen buit aan gegevens.

Regelgeving is essentieel maar in dit domein niet altijd adequaat

Een van de vragen die daarbij beantwoord zal moeten worden is in hoeverre bestaande wet- en regelgeving deze (waarschijnlijk pragmatische) aanpak legitimeert of juist blokkeert. Regelgeving is essentieel maar zoals we allemaal weten in dit domein lang niet altijd adequaat of berekend op de stand der techniek. Om regelgeving aan te passen zijn soms praktijksituaties nodig die precies inzichtelijk maken waar het in de huidige regelgeving aan ontbreekt (of waar deze te beperkend werkt). Met deze casus hebben de gezamenlijke partijen een prima aanleiding om te bepalen wat er vanuit het veld wenselijk zou zijn, gelegd tegen datgene wat er nu vanuit de regelgeving (niet) mogelijk is.

Als iedereen zich ook deze onderliggende aspecten realiseert, gaan we een mooi leermoment tegemoet waar we nog lang plezier aan kunnen beleven.

Lees meer over
Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.