contact | miloujansen@wielinq.nl | 0307670556
contact | miloujansen@wielinq.nl | +31 (0)30 767 0556

De donkere kant van digital

De donkere kant van digital
24 mei 2016 Milou Jansen

Nieuwe risico’s vergen grondige maatregelen

Het is nog niet eens zo lang geleden dat aandacht voor en prioriteit van ‘IT security’ nog geen vanzelfsprekendheid was. Informatiebeveiliging bleef beperkt tot het afvinken van lijstjes van De Nederlandsche Bank en andere toezichthouders. Inmiddels weet iedereen die binnen een organisatie verantwoordelijk is voor IT wel beter. Mede door de voortschrijdende digitalisering, de opkomst van cloud computing en het succes van het Internet of Things zijn aanvallen van kwaadwillende netwerken allerminst denkbeeldig. Overheden, financiële instellingen, feitelijk iedere organisatie waarin hoge volumen transacties omgaan dienen maatregelen te treffen. Uitgangspunt: het beveiligingsniveau in lijn brengen met het risico van de organisatie.

IT-security betreft het geheel aan digitale maatregelen tegen ongewenste indringers. Denk hierbij aan encryptie, firewalls en anti-malware. In dit domein zie je eigenlijk een continue ‘wapenwedloop’: digitale bendes komen met nieuwe, inventieve wapens, slim gebruikmakend van de laatste technologische ontwikkelingen. Leveranciers van IT-securitytechnologie spelen daar voortdurend op in en dat gebeurt andersom ook. Informatiebeveiliging daarentegen is het geheel van technische maar juist ook niet- technische maatregelen tegen ongewenste indringers en onbevoegd gebruik van data, zoals secure data policies, fysieke beveiliging, procedures en het creëren van bewustzijn bij medewerkers. Dit laatste is minstens zo belangrijk als de technische maatregelen, want de meest geavanceerde aanvallen beginnen met de zwakste schakel: de mens. We hebben het hier over Advanced Persistent Threats (APT, zoals die van Carbanak [1]).

Sociale media
Een APT-aanval gebeurt via ‘Social Engineeringstechnieken’: het vergaren van informatie over de aan te vallen doelsystemen en personen die daar mogelijk toegang tot kunnen bieden. Sociale media bieden een schat aan informatie over personen, zoals de organisatie waar zij werkzaam zijn. De hacker probeert vervolgens de betreffende persoon te lokken naar een site waar diens werkcomputer geïnfecteerd en dus gecompromitteerd kan raken. Deze computer heeft contact met het centrale commandocentrum van de hacker die vervolgens allerlei gerichte, malafide opdrachten kan laten uitvoeren. Daar komt nog bij dat de hacker ‘binnen’ is; hij kan allerlei acties verrichten zoals het opzoeken van bepaalde systemen, het uploaden van malware en het stelen van gegevens. We zien tegenwoordig ook een fenomeen dat we spear phishing noemen. Bij zo’n aanval wordt een medewerker binnen een organisatie misleid en aangezet tot bijvoorbeeld het betalen van een openstaande factuur. De medewerker denkt dat de opdracht komt van een leidinggevende maar het is de hacker die zich voordoet als die leidinggevende. Aan deze aanval is een uitgekiend proces van social engineering voorafgegaan. De hacker heeft kunnen achterhalen wie geautoriseerd is om betaalopdrachten te geven in de bewuste organisatie en hoe diens e-mailadres misbruikt kan worden. Om dit soort aanvallen te voorkomen is het noodzakelijk een staat van continue waakzaamheid bij medewerkers te creëren.  Een reeks andere maatregelen is weergegeven in het kader ‘Controleren en analyseren’.

Straight Through Processing
Het overvallen van de postkoets en later de bank had in de tijden van het Wilde Westen nog wel iets romantisch. Ook in de digitale wereld vinden deze bankovervallen plaats, maar de bancaire sector is lang niet meer het enige doelwit. Alle organisaties die op grotere schaal te maken hebben met automatische geldstromen (uitkeringen bij verzekeraars, pensioenfondsen, overheden, enzovoorts) zijn een potentieel doelwit. Verregaande automatisering via bijvoorbeeld Straight Through Processing is prachtig, maar kent ook een keerzijde: eenmaal een valse identiteit aangemeten kan een digitale bende zeer lang ongezien te werk gaan. Veel organisaties hebben dan ook niet alleen aandacht voor ‘preventie’ (voorkomen dat men binnen komt) maar ook voor ‘detectie en respons’ (men is al binnen – hoe kunnen we via software verdachte patronen ontdekken en daar adequaat op reageren?). Het stelen van persoonsgegevens en andersoortige informatie en het platleggen van een computerinfrastructuur kunnen zijn ingegeven door allerlei andere doelen dan het buit maken van geld. Denk hierbij aan het toebrengen van reputatieschade of aan politieke doelen.

Cloud
Traditionele beveiliging werd en wordt soms nog gezien als het bewaken van een fort: de kroonjuwelen in de schatkamer, dikke muren er omheen, een mooie slotgracht incluis. Met het toenemend gebruik van (public) cloudoplossingen werkt dit echter niet meer. Data bevinden zich in principe overal en niet meer alleen binnen de ‘veilige’ muren van het eigen datacenter. Dat vereist dan ook een ander beveiligingsparadigma. Je beveiligt je data daar waar de data op dat moment zijn. De beveiliging reist als het ware mee met de data. Binnen dit zogenaamde ‘Jericho Principle’ zijn data-encryptie en meervoudige authenticatie op gegevensniveau belangrijke beveiligingsprincipes. Ten onrechte wordt vaak aangenomen dat providers van private cloudoplossingen hun beveiliging optimaal hebben ingericht en berusten afnemers van clouddiensten in die gedachte. Het jaarlijks opvragen van een zogeheten ISAE3402-verklaring is voor hen voldoende. Dit is een internationale standaard voor informatiebeveiliging in relatie tot uitbesteden. Serviceproviders mogen zich echter in toenemende mate in de belangstelling van criminele, digitale bendes verheugen en de eerder geschetste ontwikkelingen gelden evenzeer voor hen. Een ISAE3402-verklaring zegt bijvoorbeeld weinig over het bewustzijn rondom cybercrime binnen de organisatie. En sta ook eens stil bij de volgende vragen:

• Wat is er vastgelegd over het omgaan met autorisatierechten?
• Is het personeel gescreend?
• Kan de service provider aantonen dat alle bekende kwetsbaarheden tijdig en volledig worden weggenomen?

Bij de selectie van de service provider is het raadzaam al in de RFP-fase specifieke informatiebeveiligingsaspecten mee te nemen.

Internet of Things
Met de opkomst van Internet of Things (IoT) en infrastructure-as-a-code wordt het potentiële aanvalsvlak enorm vergroot. Alles met een IP-adres is een target. Met de zelfdenkende koelkast zal het nog wel loslopen, maar gerichte aanvallen op smart buildings en allerlei vitale infrastructuren kunnen een flinke impact hebben. Neem bijvoorbeeld de recente aanval op de Oekraïense power grid BlackEnergy. Dit was een combinatie van malware-infectie met DDoS aanvallen. Via spear phishing werden bepaalde machines geïnfecteerd en werden gegevens verzameld van het interne netwerk die werden doorgestuurd naar een Command and Control Server. Vervolgens zocht en vond de malware zijn weg naar de systemen waarmee de stroomvoorziening uitgeschakeld werd. Tussendoor werd een DDoS-aanval gelanceerd om de herstelwerkzaamheden te verstoren. Het gevolg van deze aanval: ongeveer 80.000 klanten zaten 6 uur zonder stroom. Op dit soort platforms gelden dezelfde klassieke regels van informatiebeveiliging als elders, zoals:

  • Zorg voor beveiliging van de IoT-devices gedurende de gehele levenscyclus (ontwerp, ontwikkeling en testen);
  • Zorg voor awareness van de risico’s en dreigingen onder de gebruikers van IoT-devices;
  • Pas best practices toe voor security. Deze zijn gericht op verschillende doelgroepen (bijvoorbeeld fabrikanten van devices, ontwikkelaars en service providers);
  • Richt een security-beheersingsmodel in;
  • Integreer security-functies in hardware en software;
  • Zorg voor beveiligde data-uitwisseling tussen IoT-devices;
  • Zorg voor adequate operationele veiligheid en onderhoud, zoals patches update en scanning van kwetsbaarheden.

Het is ook gewoon je werk
Cybercrime is niet meer weg te denken. Maak daarom voldoende tijd, geld en aandacht hiervoor vrij en zorg dat informatiebeveiliging op het niveau is dat past bij de risico’s van de organisatie. Het is geen ‘rocket science’ – het is gewoon je werk als IT-verantwoordelijke.

Door Cor Broekhuizen, interim manager / adviseur bij Wielinq.

Een interview met mw. Mercera en de heren Van Driel en Van Kessel (Information Risk & IT Security medewerkers bij APG) vormde de basis voor dit artikel.

VOETNOOT

1 Criminele bende die vrij recent mogelijk tot 1 miljard dollar heeft buitgemaakt van verschillende financiële dienstverleners.