Beheer

Security

Management neemt security nu serieus

29 maart 2016

De wet meldplicht datalekken heeft veel managers wakker geschud. Deze wet verplicht organisaties sinds 1 januari dit jaar een datalek te melden bij de Autoriteit Persoonsgegevens en in sommige gevallen ook aan de betrokkenen. Voor Hans Doornbosch, directeur van Pinewood, is dat een van de belangrijke ontwikkelingen op het terrein van IT-security. “Men is zich ervan bewust geworden dat het consequenties heeft als de IT-security niet op orde is. Dat heeft managers ertoe aangezet zich er serieus in te verdiepen. Men beschouwt het niet langer als een ­IT-aangelegenheid, maar realiseert zich dat dit vraagstuk primair de verantwoordelijkheid van het management is.”

Voor de spelers op het terrein van IT-security heeft dit tot extra opdrachten geleid. “We krijgen veel verzoeken voor security scans, het uitvoeren van penetratietests, doorlichten van de procedures, risico-analyses.” Over de bevindingen van deze checks kan Doornbosch zich niet in detail uitlaten. “Er zijn sectoren waar het nog steeds slecht ­gesteld is met IT-security. Veel advocaten versturen strafdossier nog steeds niet versleuteld per mail. In de gezondheidszorg staat de aandacht voor security niet echt bovenaan de agenda. Ik ken een gemeente die alvast een reservering op de begroting heeft gemaakt om boetes voor het lekken van data te kunnen betalen, want men weet dat de ­security niet op orde is.”

Dat het raadzamer is om de IT-Security meteen aan te pakken, onderschrijft Doornbosch, “maar als de IT-security echt onder de maat is, en dat komen we ook tegen, vergt het wel wat tijd en budget om het ­vereiste niveau van bescherming te bereiken.”

Wat goede IT-security precies inhoudt is overigens moeilijk te definiëren. Bij onverhoopt verlies van data moet men kunnen aantonen dat redelijkerwijs alles gedaan is om de IT afdoende te beveiligen. Pleit dit wellicht voor certificering? “Nee”, stelt Doornbosch, “want het gevaar bestaat dat men zich dan veilig waant vanuit het idee ‘Ik heb een security-certificaat, dus ik ben veilig’. En dat ben je ten enenmale nooit! ­Elke organisatie en elk ­bedrijf wordt gehackt. En degenen die zeggen dat het hen nog nooit overkomen is, wéten simpelweg niet dat ze ­gehackt zijn.”

Never ending battle

Het bestrijden van cybercriminaliteit is een ‘never ending battle’. Maar het is daarmee geen gevecht tegen de bierkaai. Er zijn wel degelijk goede systemen om cybercriminaliteit te bestrijden en meer nog, de gevolgen tot een minimum te beperken. De nadruk ligt daarbij niet meer op het buiten houden van de boeven, want dat kun je volgens Doornbosch vergeten. “Ze komen hoe dan ook binnen. Bij iedereen.” Het gaat nu veel meer om het monitoren van verdachte activiteiten en eventueel elimineren ervan. Grote aanbieders als Intel, HP en IBM ­leveren software voor Security Information and Event Management. Deze SIEM-software vormt vaak de basis van wat in het jargon een ­Security Operation Center wordt genoemd; een controlekamer van waaruit cybercriminaliteit gemonitord wordt. “Grote instellingen als banken hebben zelf zo’n SOC, maar KLM bijvoorbeeld, toch een ­bedrijf met enkele tienduizenden werkplekken, heeft dit aan een ­externe partij uitbesteedt.”

Ook Pinewood heeft zo’n center van waaruit men het internetverkeer van zijn klanten monitort en dus ook mogelijke verdachte acties van criminelen. Doornbosch onderscheid daarbij drie vormen van criminaliteit. Allereerst zijn er de vanuit concurrentieoogpunt uitgevoerde acties als het zoeken naar bedrijfsgeheimen en patenten om die digitaal achterover te drukken. Dat vindt vooral plaats vanuit China. Daarnaast zijn er de politiek gemotiveerde acties, zoals het platleggen vorig jaar van een Oekraïense elektriciteitscentrale. Dat gebeurt nu op grote schaal vanuit Rusland en in het Midden-Oosten. Het meest bedreigende voor dit moment is volgens Doornbosch ransomware, het platleggen van systemen om dat vervolgens na betaling weer ongedaan te ­maken. Acties daarop gericht komen vooral vanuit de Oekraïne.

De werking van ransomware komt er in het kort op neer dat code die in staat is om bestanden te versleutelen op enig moment een systeem wordt ‘binnengesmokkeld’. Die code is vrijwel niet te herkennen, daardoor ook niet te detecteren en wordt ook niet meteen actief. Pas na maanden verzend die slapende code een verzoek aan een zogeheten Control & Command Server en met de reactie op dat verzoek wordt de versleutelingscode geactiveerd. Zo’n C&C-server kan in Noord-Korea staan, maar ook in de buurt. “Er zijn onlangs twee malafide C&C-servers onschadelijk gemaakt die in Nederland stonden.”

De crux in het bestrijden van cybercriminaliteit is dat het eerste contact met zo’n Command & Control Server wordt gedetecteerd en als ongewoon wordt beoordeeld. “Daarna kunnen vervolgstappen worden genomen, bijvoorbeeld door de verbinding met zo’n C&C-server ­blokkeren.”

Traagheid zwak punt

De inspanningen van de huidige leveranciers zijn er vooral op gericht om hun SIEM-suite uit te breiden met kennissystemen om een systeem zo veel mogelijk autonoom te laten handelen. Alleen dan kan echt snel op nieuwe cyberacties gereageerd worden. Want traagheid is nu nog het zwakke punt, aldus Doornbosch. “Stel, je ziet op een website waar vliegtickets worden verkocht dat er verdachte acties plaatsvinden. Dan kunnen wij de eigenaar van die site waarschuwen, maar wij zijn niet gerechtigd zijn systemen uit te schakelen. Besluitvorming daarover ligt bij de eigenaar. Hoe snel is men daarmee? Durf je je site zomaar plat te leggen als je daardoor niets meer verkoopt en dus omzet mis loopt? Kennissystemen kunnen dit soort lastige afwegingen veel sneller maken dan mensen. Dat leidt tot veel snellere besluitvorming en dat perkt de schade weer in.”

Pinewood werkt in zijn SOC met twaalf werkstudenten van de TU Delft, waarvan er permanent twee het centrum bemannen. Een ideale oplossing volgens Doornbosch, want monitoren is saai werk, totdat zich een incident voordoet. “Dan moet je meteen de ernst daarvan kunnen beoordelen en weten tot op welk ­niveau je moet escaleren. Dat vraagt om slimme ­mensen.”

Een bijkomend voordeel is dat het bedrijf op deze manier kennis maakt met een aantal mogelijke werknemers, want het vinden van goed personeel is nog steeds heel lastig. “Door deze link hebben we een makkelijke ingang bij de TU Delft en organiseren we bijvoorbeeld een hackersprijsvraag waarbij we informaticastudenten uitdagen om in een periode van twee of drie maanden verborgen code in een systeem te ­ontdekken. De winnaar krijgt een smartphone, nummer twee tot en met vijf krijgen een Raspberry Pi. In ruil daarvoor ­komen wij dan in contact met mensen die ­mogelijk bij ons willen werken.”

Beschermde criminelen

De meeste ransomware komt momenteel uit Oekraïne. Volgens Doornbosch gaat het daarbij om zeer professionele organisaties die weloverwogen te werk gaan. “Ze weten precies wie hun slachtoffers zijn, hebben zeer professionele helpdesks, waar je in je eigen taal te woord wordt gestaan. En ze bieden je heel vriendelijk alle hulp bij het afkopen van hun chantage. Ze zijn ook slim genoeg om een bedrijf niet twee keer te chanteren, omdat men dan niet meer bereid zal zijn om te betalen.” Want betaald wordt er doorgaans. “Doe je dat niet dan ligt je bedrijf stil en is de schade helemaal niet te overzien.”Het meest schrijnende achter de plaag van ransomware is dat opsporingsautoriteiten precies weten wie er achter deze organisaties zit. Met naam en toenaam. Maar omdat deze persoon bescherming van de Oekraïense overheid krijgt is een juridische aanpak lastig, zo niet onmogelijk.

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!