Het is zinloos is om telkens bij securityschendingen en cyberaanvallen te roepen dat de mens de zwakste schakel is. Een fors deel van de security-industrie en de IT-wereld zijn iets belangrijks uit het oog verloren. Informatie- en communicatietechnologie is er voor mensen. Dus ICT-security moet ook mensen beschermen.
Het is zinloos is om telkens bij securityschendingen en cyberaanvallen te roepen dat de mens de zwakste schakel is. Een fors deel van de security-industrie en de IT-wereld zijn iets belangrijks uit het oog verloren. Informatie- en communicatietechnologie is er voor mensen. Dus ICT-security moet ook mensen beschermen.
Het gevaar van (telkens) roepen dat de mens de zwakste schakel is, zit ‘m erin dat dan heel veel inspanningen – en investeringen – gericht kunnen worden op het (verder) inperken van die eindgebruiker. Maar die moet toch wel zijn/haar werk kunnen doen. En bij te veel inperkingen, kunnen systemen onwerkbaar worden. Dat kan dan leiden tot lagere productiviteit, afhakende of zelfs vertrekkende werknemers, of schaduw-IT. Vergeet niet: gemak verslaat beveiliging, telkens weer.
Bovendien is die mens dus lang niet de enige zwakke schakel. Zie maar het recente geval van Uber, waar gebruikersnaam én wachtwoord van een beheerder open en bloot te lezen waren in een PowerShell-script. En dat script stond open en bloot op een gedeelde netwerkschijf. En die netwerkschijf was toegankelijk voor een eindgebruiker. En die eindgebruiker was gephisht.
Rijke oogst
Oh, en die inloggegevens van een beheerder waren voor de Thycotic-server van Uber. Thycotic is een zogeheten privileged access management (PAM) platform, dat dienst doet voor de opslag van de zeer gevoelige inlogs van organisaties en de systemen plus diensten die ze gebruiken. Zoals bij Uber de geheime inlogs voor cloudcapaciteit bij AWS (Amazon Web Services), voor de SaaS-apps (Software-as-a-Service) van Googles GSuite en identiteits- en toegangsbeheerdienst OneLogin.
Tech moet de mens dienen. Ook cybersecuritytech.
De aanvaller heeft zelfs weten door te dringen in het account van een Uber-werknemer bij HackerOne, een securitybedrijf dat coördinatie van gemelde kwetsbaarheden verzorgt en daarbij (kwetsbare) bedrijven verbindt met security-onderzoekers. Mogelijk hebben de digitale dieven die diep zijn binnengekomen bij Uber dus ook interessante informatie over kwetsbaarheden in Ubers app, systemen en infrastructuur gevonden.
Treinvertragingen en security
Laten we het dus niet alleen maar hebben over die ene eindgebruiker, die in een bepaald moment in iets is getrapt waar vast helemaal niemand die dit leest in zou zijn getrapt. Toch? Much zelfoverschatting, zeg ik. Bij dit alles kwam bij mij een oude, cynische uitspraak over de NS en vertragingen op: ‘De NS zou helemaal geen problemen hebben als er geen reizigers zouden zijn’. Maar het doel van de NS (en ProRail) is toch het vervoeren van mensen (en goederen). Zo ook cybersecurity: zonder die lastige eindgebruikers zou het vast allemaal veel veiliger zijn. Toch? Maar dan is het best doelloos dus.
Jasper Bakker is Techjournalist, ICT-kenner en contentproducent bij AG Connect. Deze blog werd eerder gepubliceerd op AG Connect.