Preventie is goed, weerbaarheid beter
De Onderzoeksraad voor de Veiligheid vond dat veel overheidsorganisaties zelf niet in control zijn met hun informatieveiligheid. Het is bestuurlijk vaak niet goed belegd, risico’s worden niet systematisch in beeld gebracht en de afhankelijkheid van leveranciers is groot. En dat terwijl cyberspace het 'wilde westen' blijft zolang er geen orde kan worden gehandhaafd, aldus cybersecurity-expert Ronald Prins, die een schokkend beeld schetste van de cyber-dreiging.
De e-boef is onder ons, was de les van de eerste bijeenkomst in de cybersecurity-mastercourse. Niet alleen pukkelige pubers die hun kleine ego achter een toetsenbord op een anonieme zolderkamer opkrikken door andermans computer binnen te dringen, maar ook echtelieden-in-scheiding die elkaars juridische e-mailcorrespondentie doorsnuffelen, Marktplaats-verkopers die wel incasseren, maar niet leveren, en gedumpte vrijers die al te pikante plaatjes van minderjarige ex-geliefden cyberspace inslingeren, het zijn naar de letter van de wet allemaal cybercriminelen. Maar volgens Ronald Prins, cybersecurity-expert, directeur van Fox-IT en master in de slotbijeenkomst, is het nog veel erger.
Cybercriminaliteit is omvangrijk, daarvan wil hij niks afdoen. In 2009 werd 2 miljoen euro met onbevoegd internetbankieren van rekeningen gehaald, in 2010 10 miljoen, 2011 35 miljoen en vorig jaar naar schatting 55 miljoen euro. Geen verdachte is aangehouden, laat staan veroordeeld, het gaat veelal om betrekkelijk kleine bedragen, maar wel geroofd van heel veel slachtoffers, die hun schade van de bank dan weer zonder aarzelen vergoed krijgen. Dat zal dus nog wel blijven groeien. Temeer omdat (met name in Oost-Europa) complete professionele industrieën actief zijn met de verspreiding van malware om inloggegevens en ander gevoelig materiaal te vergaren van argeloze computeraars, die wellicht als onderdeel van een botnet ongeweten zelf daaraan meedoen. Maar een nog grotere dreiging gaat schuil achter cyberspionage en cyberconflicten, betoogde Prins. Voor de bestrijding is het van belang die fenomenen niet geïsoleerd te benaderen, want door cybercriminelen ontwikkelde technieken vinden reeds hun toepassing in beide andere domeinen.
Bij spionage met digitale hulpmiddelen gaat het ook om hacken. Niet als plomp hagelschot, maar juist voorzichtig en gericht, om heel specifieke informatie te bemachtigen. China, Rusland en Iran zijn gekende bronnen van dit soort activiteit, die enorme economische schade kan veroorzaken. Spionage richt zich op bedrijven en overheden. Ook in Nederland, wist Prins, die het ‘naïef’ noemde te menen dat het hier niet gebeurt. Je hoort er alleen weinig van, wat niet bevorderlijk is voor de, daar is het weer, ‘awareness’. Een effectieve methode blijkt de lancering op LinkedIn te zijn van een fakefiguur, zogenaamd verbonden aan bijvoorbeeld een forensisch onderzoeksbureau, die geleidelijk aan tientallen connecties opbouwt met reële functionarissen in die sector, die allemaal ‘vriend’ willen worden. Het loskrijgen van cruciale gegevens uit die kennissenkring is dan nog maar één stap verder.
Met ‘cyberconflict’ wordt iets aangeduid wat niet met ‘cyberoorlog’ wordt omschreven, omdat ‘oorlog’ is voorbehouden voor situaties, waarbij een ander land wordt bezet of ingelijfd en zo ver de potentie van digitale middelen ook weer niet reikt. Maar ook een cyberconflict tussen landen kan de veiligheid ondermijnen, al volgt (anders dan bij het afschieten van een raket naar een buurland, wat sowieso een tegenactie uitlokt) doorgaans geen reactie. Als voorbeeld noemde Prins Qatar en Iran die in dezelfde gasbel boren, waarvan de laatste door een economische boycot amper profiteert en dan de eerste digitaal gaat belagen. Ook Israël koos cyberspace als kanaal om de radarbeveiliging van het Syrische luchtruim te misleiden en vervolgens een nucleaire opwerkingsfabriek uit te schakelen.
Cyberspace is het wilde westen, was Prins’ boodschap, en zal dat blijven zo lang er geen orde is. Hij verwacht wel dat ooit een balans ontstaat tussen dreiging en bestrijding, al is het nog onhelder welke rol de overheid daarin speelt. De overheid moet dat meer laten zien, anders blijft de afhankelijkheid van private waakzaamheid door groepen als Anonymous te groot.
Hoe dan die bestrijding aan te pakken? Awareness is nodig, zeker bij management en bestuur, maar niet genoeg. Voor preventie geldt hetzelfde. Prins hekelde de praktijk, waarbij voor ICT alle kaarten op preventie worden gezet, door de ene viruskiller na de andere firewall te installeren. Een ‘compleet verkeerde benadering’, aldus Prins, die aanraadt veel meer te focussen op detectie en respons. De digitale omgeving is zo complex dat het een illusie is te denken dat maatregelen tot volledig veilige systemen kunnen leiden. Beter is het in te zetten op weerbaarheid.
Detectie moet het binnendringen van je informatiesysteem zichtbaar maken. Dat kan al heel basaal door te monitoren welke pakketjes gegevens tussen welke computers over de kabels gaan en onregelmatigheden prompt te onderzoeken. SIEM-technologie (Security Information and Event Management) kan daarbij helpen. Dat is een soort centrale voor alles wat men in een netwerk meet, en verzamelt indicatoren voor onregelmatigheden. Maar men moet waken voor schijnveiligheid: het inrichten van zo’n centrale is specialistenwerk en je moet weten welke waarnemingen om een reactie vragen en om welke reactie dan.
Respons volgt op detectie. Bij een inbraak in de fysieke wereld is de inbreker snel weer vertrokken, zeker als men hem zelf kan wegjagen. Bij een digitale inbraak moet men afwegen of de indringer meteen moet worden gestopt en verjaagd. Misschien levert het meer op na te gaan, wie waar vandaan inbreekt en waarnaar men op zoek is. Doorgaans is daarvoor ook tijd omdat een indringer niet meteen zijn doel vindt en daar soms stapsgewijs dagen of weken over doet.
Wanneer een organisatie ‘in control’ is, blijft de hamvraag. Die laat zich evenwel moeilijk beantwoorden. Voor de financiële huishouding bestaat de jaarrekeningcontrole door onafhankelijk geachte accountants en bij een vlam in de pan staat een brandweer klaar om te blussen, maar voor digitale veiligheid ontbreken zulke voorzieningen. Het komt primair op de organisatie zelf aan, die dan kan auditen: de techniek (penetratietesten, patchmanagement), de organisatie (desktopoefeningen met realistische scenario’s) en compliance (het afvinken van checklists). Maar net als awareness is ook dat eigenlijk niet genoeg, gezien Prins’ weergave van de huidige stand van zaken: de risico’s groeien harder dan de weerbaarheid.
Diginotar
Dat awareness zeker bij management en bestuur mag groeien, kon Niels Smit, verbonden aan de Onderzoeksraad voor de Veiligheid, bevestigen. De DigiNotar-hack bezorgde in de zomer van 2011 bestuurlijk Nederland paniek toen het overheidsfunctioneren gevaar liep door manipulaties met beveiligingscertificaten. Bij certificatiedienstverlener DigiNotar was niet alleen binnengedrongen in de bedrijfsomgeving, maar ook in de productieomgeving, waardoor onbevoegden valse certificaten konden aanmaken en vervolgens misbruiken.
Preventie had dus gefaald. En opdrachtgever rijksoverheid had DigiNotar onvoldoende in de gaten gehouden. Auditing en certificering vormden het voornaamste controlemiddel, terwijl met certificatiedienstverlening vitale overheidsbelangen in het geding zijn. Onderzoek liet ook zien dat veel overheidsorganisaties zelf evenmin in control zijn met hun informatieveiligheid. Het is bestuurlijk vaak niet goed belegd, risico’s worden niet systematisch in beeld gebracht en de afhankelijkheid van leveranciers is groot. Bestuurders voelen zich hulpeloos en leunen daardoor sterk op ICT-afdelingen in plaats van zelf verantwoordelijkheid te nemen.
Smit zei dat de situatie rond digitale beveiligingscertificaten, althans binnen het overheidsdomein, intussen is verbeterd. Toch moet ook nog veel gebeuren. Awareness mag niet genoeg zijn, het is wel het begin van alle verbetering, die bij bestuurders moet worden geïnitieerd door kennis vanuit de organisatie. Ze moeten er ook zelf actief in zijn. Zoals bestuurders geacht worden elementaire bagage te hebben met betrekking tot financieel beheer, zou dat ook voor digitale en informatiebeveiliging moeten gelden. Een ‘opleidingsslag’ is nodig. Wat ook node wordt gemist is ‘accountability’. Niemand is aanspreekbaar op de bescherming tegen cyberincidenten. Er is geen inspectie, geen interbestuurlijk toezicht, geen publieke verantwoording.