Beheer

Security
Mikko Hyppönen

Train uw organisatie in digitale judo

Security-advies: gebruik de kracht van je tegenstanders tegen hun zelf.

Hyppönen in 2013, in Brazilië © CC BY 2.0,  Calebe Simões
17 oktober 2014

Niet de nerds, noch de georganiseerde misdaad, en evenmin de ­terroristen. Overheden vormen de belangrijkste bedreiging als het gaat om het ­scheppen van chaos in cyberspace, vindt securitygoeroe Mikko Hypponen. Ook tegen die overheden kan een bedrijf zich beschermen. “Sla terug door hun kracht tegen henzelf te gebruiken.”

Mikko Hypponen, Chief Research Officer bij de Finse beveiliger F-Secure, draait al ruim twintig jaar mee in beveiligingsland. Hij zag het spel geleidelijk veranderen; van de nerdy hackers die virussen bouwden voor hun plezier, tot de opkomst van de georganiseerde cybermisdaad en sinds tien jaar de steeds ernstigere elektronische aanvallen die overheden op elkaar, burgers en bedrijven doen. Die laatsten vormen wat hem betreft de grootste dreiging. “Overheden doen van alles online. Dat varieert van het in de gaten houden van hun burgers tot spionage en cyberoorlogsvoering en sabotage toe. De dreiging die een bedrijf moet vrezen van overheden verschilt per soort organisatie. De lokale pizzaboer zal weinig last hebben van spionage. Een leverancier van defensieproducten wel.”

 

Kan een bedrijf zich nog wel wapenen tegen de cyberaanvallen van overheden met hun enorme financiële en technologische overmacht?
“Ja, en zeker tegen de APT-aanvallen [advanced persistent threaths]. Daar is genoeg technologie voor verkrijgbaar. Je moet een baseline opbouwen van de netwerkactiviteiten. Wat is er normaal te zien aan activiteiten in het netwerk? Vervolgens moet je de afwijkingen zoeken, de outbound-verbindingen monitoren en blacklists bijhouden. Dan krijg je alarmmeldingen als dingen niet kloppen. Het krachtigste is wat ik digitale judo noem: gebruik de kracht van de aanvaller tegen hemzelf. Overheden hebben de middelen om enorme aanvallen te doen. Die kun je tegen hen gebruiken met reputatiesystemen.

Reputatiesystemen zijn het tegenovergestelde van antivirussoftware. Antivirussoftware kan onbekende programma’s moeilijk tegenhouden, want de antivirussoftware zoekt juist naar bekende onderdelen in malware. Een APT draait bijna per definitie met een onbekend uniek programma en een reputatiesysteem blokkeert dat programma juist om die reden. Hoe harder de aanvallers proberen steeds gerichter aan te vallen, hoe beter dat te herkennen is.”

 

Hoewel de cloud inmiddels behoorlijk gemeengoed is, twijfelen nog altijd veel organisaties aan de veiligheid ervan. Terecht?
“Nee. De cloud is niet gevaarlijk als het om security gaat, je hebt alleen geen rechten – zeker niet wanneer je data in de VS staan of bij een Amerikaanse provider. Dat betekent dat je een cloudprovider heel secuur moet kiezen, want je moet hem vertrouwen. Vraag je ook goed af in welk land die cloud zich bevindt en welke wetgeving daar geldt. In landen als de VS is de overheid gerechtigd al jouw data in te zien en te houden, voor altijd.

Sinds de onthullingen van Snowden is de houding van organisaties op dit vlak wel veranderd. Zij stellen zich nu deze vragen voor ze voor een cloudprovider kiezen. Het is ook naïef om dat niet te doen, want je hebt totaal geen rechten.”

 

Is het tijd voor een puur Europese cloud?
“Ik vraag me af waar de Europse cloudservices zijn, de Europese besturingssystemen, de Europese zoekmachines, de Europese sociale media. Dat stoort me enorm. Hoe komt het dat wij dat niet kunnen maken? Ja, er waren wat Europese sociale netwerken, maar die zijn weg sinds Facebook. We hebben hier prima start-ups, maar wat doen ze? Ze trekken zo snel mogelijk naar Silicon Valley, of worden over­genomen door Amerikaanse bedrijven. Europa faalt hierin volkomen. Ik heb geen idee hoe dat opgelost moet worden, maar het moet wel gebeuren.”

 

In juni van dit jaar viel u uit tegen John Kerry, de Amerikaans minister van Buitenlandse Zaken, omdat hij Edward Snowden een lafaard en verrader noemde. Waarom reageerde u zo fel?
“Omdat ik hem juist moedig en bewonderenswaardig vindt. Ik zou hem graag een kerstkaart sturen, als ik zijn adres had. Om zijn heldhaftigheid enerzijds en ook omdat vrijwel alle Europese bedrijven die in de IT-beveiliging werken profijt van hem hebben gehad. Hij heeft Europese organisaties wakker geschud. Als zij nu beveiligingsproducten aanschaffen, kijken ze naar waar die software vandaan komt. Komt het uit een Europees land? Is dat land lid van de EU? Is het lid van de Navo? Wij Finnen profiteren hier heel erg van. Wij zijn lid van de EU, maar niet van de Navo. We zijn het minst corrupte land ter wereld. Dat telt nu allemaal mee, daardoor is er nu veel meer vraag naar onze diensten. Dit geldt overigens niet voor consumenten. Die roepen wel dat ze nu kritischer kijken, maar kiezen uiteindelijk bijna altijd voor het gratis aanbod.

Snowden heeft onze organisatie ook sterk veranderd. We hebben een andere missie, andere diensten en producten; we richten ons meer op de bescherming van privacy. Anderhalf jaar geleden zijn we naar aanleiding van de publicaties van Snowden bijvoorbeeld gestart met een VPN-dienst waarmee je wifi kunt gebruiken maar wel je locatie kunt verbergen. Onze slogan hebben we in dat kader veranderd in Switch on Freedom.”

 

Hoewel de algemene staat van IT-beveiliging is verbeterd, maken organisaties nog steeds zeer basale fouten. Welke fout komt steeds weer terug?
“Een fout die velen maken, is dat ze niet aan threat modelling doen. Er wordt een verdediging opgebouwd zonder vooraf te bepalen tegen wat en wie je je moet verdedigen. Het is beter eerst uit te zoeken welke risico’s je werkelijk loopt en waar die vandaan komen. Het heeft geen zin om miljoenen euro’s te steken in dure firewalls om data te beschermen die maar een half miljoen waard zijn. Dat is iets wat elke organisatie kan bedenken. Daar zijn geen dure consultants voor nodig.

Beveiligen is geen rocket science. Goed nadenken scheelt al veel. Wat ik vaak doe, is bij een bedrijf langs gaan. Daar wil ik de afdeling financiën zien en degene die verantwoordelijk is voor de betalingen. Vaak gaat dat om honderdduizenden tot miljoenen euro’s per maand aan betalingen. Als ik ze vraag op welke computer ze die betalingen doen, is dat meestal een Windows-desktop. Vervolgens vraag ik op welke computer ze Facebook bekijken en hun privé-e-mails versturen. Precies, diezelfde desktop! Dan gaat het lampje branden. Een desktop-pc kost een paar honderd euro. Koop daarom een extra systeem voor die andere zaken, waarmee je zo makkelijk een banking trojan of wat voor malware dan ook binnenhaalt.”

 

Is er enig zicht op een finale oplossing voor cybercrime?
“We worden beter in IT-beveiliging. Tien jaar geleden braken om de haverklap allerlei wormen uit. In de tussentijd hebben bedrijven als Microsoft hun beveiliging heel sterk aangepakt en verbeterd. Tegelijkertijd zijn er veiligere besturingssystemen gekomen zoals Android en iOS. Die zijn alleen al veiliger omdat die een veel kleiner aantal functies hebben. Het zou nu geweldig geweest zijn als de vijand stil was blijven staan.

Een perfecte oplossing voor dit probleem is er nog niet. Dat komt doordat er altijd bugs zullen zijn, want bugs zijn programmeerfouten. Software wordt nog altijd gemaakt door mensen en mensen maken fouten. Het effect van bugs is nu ook veel vervelender dan vroeger. Toen zorgde een bug ervoor dat Word crashte en dat je je tekst kwijt was. Dat was alles. Nu zorgt een bug voor een beveiligingsprobleem; je systeem kan erdoor worden overgenomen, wat veel ernstigere problemen oplevert.

De beste manier om je data te beschermen is om ze offline op aparte systemen op te slaan. Dat raden we sommige klanten aan. Ja, dat vinden ze in eerste instantie vreemd, maar zeker defensieleveranciers doen het uiteindelijk toch. Dan nog ben je niet honderd procent veilig, want Stuxnet kwam ook binnen. Via usb-sticks of mollen kan dat altijd gebeuren. Klaar zijn we nooit in de IT-beveiliging.”

De RSA-rel

Hypponen trok eerder dit jaar veel aandacht toen hij zich terugtrok als prominent spreker voor de RSA-conferentie in San Francisco. Hij was verontwaardigd over het feit dat RSA vrijwel zeker 10 miljoen dollar heeft aangenomen van de NSA om die het spioneren te vergemakkelijken met een bewust lekke beveiliging. Hypponen is een zeer gewaardeerd spreker en sprak al vele malen eerder op de conferentie. Haalde zijn terugtrekking ook werkelijk wat uit?

“Nee. In de brief die ik aan het management van EMC en RSA heb gestuurd schreef ik al dat ik niet verwachtte dat het iets zou veranderen. Twaalf andere sprekers trokken zich ook terug. Maar de conferentie ging gewoon door. Zij trok weer duizenden bezoekers. Het had zeker geen effect op de waarde van de aandelen van RSA. We hebben aan de overkant van de straat een eigen conferentie gehouden met de sprekers die zich hadden teruggetrokken en daar uiteindelijk wel 20.000 dollar opgehaald voor de Electronic Frontier Foudation. Dat was wel goed.”

Kreeg hij nog een reactie van RSA of EMC? “Ik moet echt zeggen dat ze heel netjes hebben gereageerd. Ik had contracten met hen en meldde me toch erg laat af, maar hun antwoord op mijn brief was zeer redelijk, zeer genuanceerd. Zij betreurden het dat ik niet kwam. Ze hadden er begrip voor, maar deelden mijn mening niet. Ze vroegen me om mijn beslissing te heroverwegen en toch te komen spreken. Dat kon ook over de NSA-affaire gaan, zonder enige bemoeienis van hun kant. Ik heb dat sterk overwogen. Toch heb ik het niet gedaan, omdat ik dat niet erg standvastig over vond komen.”

Zou hij volgend jaar wel komen als RSA het vraagt? “Ja. Ik heb er al negen keer gesproken. Het is het grootste en belangrijkste congres in dit vakgebied. Als ze me vragen, zal ik ‘ja’ zeggen. Op één voorwaarde: ik krijg de keynote op de eerste dag. Daar zal ik heel duidelijk mijn mening geven over deze zaak.”

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!