Development

Dit is een bijdrage van Verizon Nederland
Security
Verizon DBIR 2020 - Overheid

Overheid moet verder investeren in digitale weerbaarheid

Het is noodzakelijk om het security arsenaal verder uit te breiden

9 september 2020
Door: Verizon Nederland, partner

Het is noodzakelijk om het security arsenaal verder uit te breiden

De overheid is altijd goed vertegenwoordigd als het gaat om lijstjes met cybersecurity-incidenten. Dat komt voor een deel omdat men in de publieke sector meer dan in andere sectoren verplicht is incidenten te rapporteren. Tegelijkertijd moeten we vaststellen dat er gewoonweg nog veel fout gaat. Fouten maken we allemaal, maar de gevolgen kunnen groot zijn in deze vitale sector. Tijd voor de overheid om verder te investeren in haar digitale weerbaarheid.

Begin juli maakte de Onderzoeksraad voor Veiligheid bekend een onderzoek te starten naar het beveiligingslek in de software van Citrix eind 2019. Veel gemeenten besloten toen de toegang tot hun Citrix-servers af te sluiten op advies van het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid tot de leverancier met een adequate oplossing zou komen. Citrix wordt gebruikt om op afstand toegang te krijgen tot interne systemen en informatie. De Onderzoeksraad concentreert zich op de vraag wat er gedaan is in de maanden na het bekend worden van het lek. Tevens zal de raad aandacht geven aan de governance van digitale veiligheid in Nederland. Zo moet er onder andere antwoord komen op de vraag: Wie is waar voor verantwoordelijk als het gaat om cybersecurity rondom de vitale infrastructuren in ons land? Het besluit van de Onderzoeksraad, die onder leiding staat van voorzitter Jeroen Dijsselbloem, volgde op berichtgeving van het NOS-programma Nieuwsuur waarin naar voren kwam dat veel organisaties die het lek gedicht hadden met patches al gehackt waren. De patches zouden zo niet goed hebben gewerkt waardoor cybercriminelen vrij spel hadden.

Integriteit
Een van de vervolgacties is het lamleggen van (delen) van het netwerk door deze te versleutelen met ransomware. Vervolgens wordt er losgeld geëist. Volgens het Data Breach Investigations Report 2020 van Verizon is ransomware de meest voorkomende vorm van malware (61 procent) bij overheidsorganisaties. Er vindt dan weliswaar geen datalek in de strikte zin van het woord plaats, maar het gevolg is wel dat medewerkers niet kunnen werken. Daar komt bij dat de integriteit, een essentiële pijler onder het functioneren van de overheid, wel degelijk wordt geschaad. Is er een goede back-up dan kan er wellicht snel weer worden opgestart. Of er wordt betaald, waarna de cyberbende hopelijk voorziet in de sleutels. Naar verluidt is de Universiteit van Maastricht hiertoe overgegaan, toen zij getroffen werd door een ransomware aanval.

Vitale diensten
Een adequaat patchmanagement-beleid lijkt dan ook essentieel om cyberaanvallers buiten de deur te houden. Toch wijst het DBIR 2020 erop dat slechts een klein deel van de onderzochte, bevestigde  datalekken is veroorzaakt door een kwetsbaarheid in de infrastructuur. Het is waarschijnlijk dat het te veel werk is om actief op zoek te gaan naar beveiligingslekken als gevolg van ontbrekende patches. Maar wanneer cyberaanvallers op het internet actief zijn en een kwetsbaarheid in jouw omgeving tegenkomen, dan zullen zij deze niet onbenut laten. Dit is exact wat er gebeurd is in het geval van de Citrix-servers. Zeker in de publieke sector, waar vitale diensten geleverd worden en waar integriteit hoog in het vaandel staat, kun je het je niet veroorloven de achterdeur open te laten staan.

Verkeerde configuratie
Naast de opkomst van gijzelsoftware, waarbij de agressie van buiten komt, zien we dat ‘verkeerde configuratie’ een belangrijke interne oorzaak is van datalekken. Bij 30 procent van alle onderzochte datalekken bij de overheid is er sprake van een verkeerde configuratie, meestal door fouten die worden toegeschreven aan systeembeheerders. Dit percentage neemt sinds 2017 toe, zo valt uit het DBIR 2020 op te maken. De analisten zoeken de verklaring in de opkomst van cloud computing en opslag. Er zijn bijvoorbeeld meer koppelingen te onderhouden en de kans dat het opslaan en publiceren van informatie het label ‘openbaar’ meekrijgt neemt dan ook toe. Ten slotte willen de onderzoekers ook niet voorbij gaan aan het feit dat datalekken die in het verleden werden toegeschreven aan medewerkers - dan noemen we het verkeerd afleveren of verkeerd publiceren van data - nu op het conto word gezet van de systeembeheerder. Om te voorkomen dat dit soort fouten echt tot datalekken en integriteitschendingen leiden, schakelen overheidsorganisaties steeds vaker externe onderzoekers is, die actief of op zoek gaan naar dit soort fouten. Op het eerste oog kleine foutjes, maar met in potentie grote gevolgen.

Cyberspionage
Grote afwezige in het verhaal rondom cybersecurity binnen de overheid is cyberspionage. Als we de krantenkoppen mogen geloven moeten onze overheidsinstellingen zich voortdurend wapenen tegen vreemde mogendheden of criminele cyberbendes die door hen worden ingehuurd. De ophef in de pers is begrijpelijk, maar in realiteit is het percentage datalekken door cyberspionage aan het teruglopen tot 3,2 procent - over alle sectoren heen. Ook bij de overheid is dit percentage inmiddels fors teruggelopen tot onder de 10 procent.

Inspanningen van de overheid in het kader van cybersecurity moeten dus gericht zijn op beveiligde en correcte configuratie. Tegelijkertijd is het noodzakelijk het security arsenaal uit te breiden. Firewalls zijn niet meer voldoende; denk ook aan multi-factor authenticatie en geavanceerde netwerk monitoring. Wellicht is het voor overheidsinstanties lastig de juiste mensen hiervoor aan te trekken en daarom is het inschakelen van een managed security provider het overwegen waard.

Reactie toevoegen