De mens is de belangrijkste schakel!
Een fors deel van de security-industrie en de IT-wereld zijn iets heel belangrijks uit het oog verloren. Informatie- en communicatietechnologie is er voor mensen. Dus ICT-security moet ook mensen beschermen. Ja, de grote digitale inbraak bij Uber is het gevolg van phishing, maar niet alleen van dat eindgebruikersgerichte cybercrimewerk!
© Dell
Dell
Waarom ik bij dit Uber-geval moet terugdenken aan een oude, cynische uitspraak over de NS? Dat ga ik straks vertellen. Eerst wil ik even kwijt dat het meer dan zinloos is om telkens bij securityschendingen en cyberaanvallen te roepen dat de mens de zwakste schakel is. Enerzijds omdat het misschien wel klopt maar niets toevoegt. Het draagt niets bij aan het verbeteren van de beveiliging. Anderzijds omdat het echt niet alleen de mens is die een zwakke schakel is in de hele keten van cyber(in)security.
Keten van zwakke schakels
Het gevaar van (telkens) roepen dat de mens de zwakste schakel is, zit 'm erin dat dan heel veel inspanningen - en investeringen - gericht kunnen worden op het (verder) inperken van die eindgebruiker. Maar die moet toch wel zijn/haar werk kunnen doen. En bij te veel inperkingen, kunnen systemen onwerkbaar worden. Dat kan dan leiden tot lagere productiviteit, afhakende of zelfs vertrekkende werknemers, of schaduw-IT. Vergeet niet: gemak verslaat beveiliging, telkens weer.
Bovendien is die mens dus lang niet de enige zwakke schakel. Zie maar het recente geval van Uber, waar gebruikersnaam én wachtwoord van een beheerder open en bloot te lezen waren in een PowerShell-script. En dat script stond open en bloot op een gedeelde netwerkschijf. En die netwerkschijf was toegankelijk voor een eindgebruiker. En die eindgebruiker was gephisht.
Rijke oogst
Oh, en die inloggegevens van een beheerder waren voor de Thycotic-server van Uber. Thycotic is een zogeheten privileged access management (PAM) platform, dat dienst doet voor de opslag van de zeer gevoelige inlogs van organisaties en de systemen plus diensten die ze gebruiken. Zoals bij Uber de geheime inlogs voor cloudcapaciteit bij AWS (Amazon Web Services), voor de SaaS-apps (Software-as-a-Service) van Googles GSuite en identiteits- en toegangsbeheerdienst OneLogin.
De aanvaller heeft zelfs weten door te dringen in het account van een Uber-werknemer bij HackerOne, een securitybedrijf dat coördinatie van gemelde kwetsbaarheden verzorgt en daarbij (kwetsbare) bedrijven verbindt met security-onderzoekers. Mogelijk hebben de digitale dieven die diep zijn binnengekomen bij Uber dus ook interessante informatie over kwetsbaarheden in Ubers app, systemen en infrastructuur gevonden.
Treinvertragingen en security
Laten we het dus niet alleen maar hebben over die ene eindgebruiker, die in een bepaald moment in iets is getrapt waar vast helemaal niemand die dit leest in zou zijn getrapt. Toch? Much zelfoverschatting, zeg ik. Bij dit alles kwam bij mij een oude, cynische uitspraak over de NS en vertragingen op: 'De NS zou helemaal geen problemen hebben als er geen reizigers zouden zijn'. Maar het doel van de NS (en ProRail) is toch het vervoeren van mensen (en goederen). Zo ook cybersecurity: zonder die lastige eindgebruikers zou het vast allemaal veel veiliger zijn. Toch? Maar dan is het best doelloos dus.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee