Leren van de politiehack: niet vingerwijzen naar een vrijwilliger
Wat kunnen andere organisaties leren van (de nasleep van) het datalek bij de politie? “De fout ligt niet bij de medewerker die op dat linkje klikte. Wie is er verantwoordelijk binnen een organisatie voor de beveiliging van e-mail?”
Radiostilte
Over het omvangrijke datalek bij de politie dat vorige week bekend werd gemaakt, wordt weinig informatie verstrekt. Vaststaat dat criminelen zakelijke contactgegevens van politiemedewerkers hebben buitgemaakt, zoals namen, emailadressen en telefoonnummers en in enkele gevallen ook privégegevens. Volgens de inlichtingendiensten gaat het zeer waarschijnlijk om een statelijke actor, oftewel een ander land, of daders die handelden in opdracht van een ander land, schrijft de politie op de eigen website. “Om de daders niet wijzer te maken en verder onderzoek niet te schaden, kan op dit moment niet meer verteld worden.”
De radiostilte leidt bij sommigen binnen de politie tot onrust, meldt onder meer De Telegraaf. Bij gebrek aan bevestigd nieuws verschuift de focus in de berichtgeving naar de schuldvraag. “Fout van politievrijwilliger zette deur open voor hackers” kopte de krant op basis van zes anonieme bronnen. Zeer tegen het zere been van Fleur van Leusden, lid van de Raad van Advies van het lectoraat Cybersecurity van Hogeschool Utrecht en maker van de podcast CISO praat. “Wat er had moeten staan? “Fout van het management zette deur open voor criminelen”,” schreef ze in een LinkedIn-post die veel bijval ontving.
Grote gevolgen
Het komt vaker voor dat er na een hack binnen organisaties met een beschuldigend vingertje naar een ondergeschikte wordt gewezen, bijvoorbeeld door het Amerikaanse SolarWinds. “Het is bijna altijd een samenloop van ongelukkige beslissingen of omstandigheden die voor rampen of incidenten zorgt,” zegt Van Leusden, die als digitaal onderzoeker bij de Onderzoeksraad voor Veiligheid onderzoek deed naar de patiëntveiligheid in ziekenhuizen waar grote ICT-storingen hadden plaatsgevonden. “Iemand de schuld geven leidt ook af van de discussie die je eigenlijk zou moeten voeren, namelijk: hoe kan het klikje van die ene persoon zulke grote gevolgen hebben?”
Firewall-instellingen
Mensen trappen in phishing mails. Altijd. Zelfs experts overkomt het. Een organisatie moet er volgens haar dus vanuit gaan dat wanneer een phishingmail een mailbox bereikt, die ook doel treft. “Je moet maatregelen nemen om te voorkomen dat zo’n mail überhaupt in die inbox terecht komt.” Dan gaat het bijvoorbeeld over firewall-instellingen. Van Leusden adviseert organisaties vaak om standaard alle domeinnamen te blokkeren die korter dan drie maanden geleden zijn geregistreerd. Criminelen gebruiken vaak (maar niet altijd) nieuwe domeinnamen om niet gepakt te worden. “Als je dan op zo”n linkje klikt, gebeurt er niks.”
Een andere maatregel is om phishingmails tegen te houden die lijken te komen van de eigen organisatie. “Je kunt dan geen mails versturen vanaf zo’n soort mailadres als je niet in de lijst staat.” Dat gaat over aanpassingen in de SPF-records over vanaf welk netwerk mails mogen worden verstuurd vanaf het eigen domein. Ook is het mogelijk om een bepaald type websites geheel te blokkeren, bijvoorbeeld platforms om bestanden mee uit te wisselen. “Dat voorkomt dat iemand bijvoorbeeld een mail van de communicatieafdeling denkt te krijgen met het verzoek om iets via WeTransfer te downloaden.”
Zo is er nog een karrevracht aan maatregelen te bedenken, waaronder het filteren van mailservices waarvan bekend is dat ze phishingmails versturen. Maatregelen waar de CISO (chief information security officer) van een organisatie ongetwijfeld bekend mee is, maar die in de praktijk nog weleens worden opgerekt, omdat ze leiden tot ongemak bij medewerkers, die tegen beperkingen aanlopen.
Toegang
Een andere les die organisaties uit dit datalek kunnen leren, is deze: kijk nog eens kritisch naar de toegangsinstellingen van de systemen. Van Leusden: “Waarom is er überhaupt een adresboek waar alle medewerkers van de politie in staan en waar iedereen bij kan? Waarom kan een enkele klik meteen de sleutel tot het paradijs vergeven?”
Verantwoordelijkheid
Haar conclusie: “Als je wil praten over wat er fout is gegaan, moet je het niet hebben over die ene medewerker die op dat ene linkje klikte, maar over wie er verantwoordelijk is binnen een organisatie voor de beveiliging van e-mail. En dat is in de meest gevallen het management.”
En de CISO dan? Die is er toch ook om de cyberveiligheid te garanderen? “De rol van CISO wordt wereldwijd verschillend ingevuld. In de Verenigde Staten is de CISO-rol echt een executive-functie. Die kan worden ontslagen vanwege een incident als dit. Maar die heeft dan ook een totaal andere rol, met budget en mandaat.” In Nederland heeft de CISO meestal de rol van onafhankelijke adviseur: kaderstellend en controlerend. “Het komt best vaak voor dat een CISO of een FG kritieke punten rapporteert, zonder dat er iets met die rapportages wordt gedaan.”
Communicatie
Over de communicatie van de politie over het datalek is ze dan weer mild. “Ik vond dat ze er nog best snel mee naar buiten kwamen, want ik weet over hoeveel lagen zoiets moet. En ik weet hoeveel moed er voor nodig is om zoiets naar buiten te brengen. Het is het juiste om te doen, maar ik kan me wel voorstellen dat het niet binnen 24 uur na de ontdekking gebracht wordt. Ik had het opmerkelijker gevonden als dat wel was gebeurt.”
lees ook:
De meeste overheden werken met Microsoft 365 in de variant E5. In E5 zit alle functionaliteit om dit soort hacks te kunnen onderscheppen maar ook oplossingen om een aanval te simuleren om gebruikers bewust te maken. Tot mijn grote verbazing is de basis beveiliging bij veel commerciële en overheidsorganisaties niet goed of beperkt ingeregeld. Ook voor het vastleggen en bijhouden van de maatregelen heeft Microsoft 365 een mooie oplossing, Compliance manager, waarin op basis van Zero Trust en NIS2 precies kan worden bijgehouden welke procedures en maatregelen en door wie er zijn genomen op welk moment.
Zie mijn beide artikelen over deze topics, naast vele andere handige oplossingen op LinkedIn.
https://www.linkedin.com/in/hans-van-der-meer-936618/recent-activity/articles/
Er is vooralsnog ernstige twijfel over de toepasbaarheid van MS36 bij de overheid.
Advies AC-ICT Beter samen werken (blz en verder);
https://www.adviescollegeicttoetsing.nl/documenten/publicaties/2024/09/02/advies-beter-samen-werken