Er zijn brandweermannen onder mijn lezers, zegt LinkedIn. Gaaf! De
politie en de Koninklijke Marechaussee waren ook al aan boord, dus als er nu
nog iemand van de ambulance bij komt, dan heb ik de zwaailichtsector compleet.
Nou en, hoor ik je denken. Welnu, als informatiebeveiligers hebben we weliswaar
geen zwaailichten en sirenes, maar voor het overige hebben we veel gemeen met
deze beroepsgroepen.
De link met de brandweer ligt misschien wel het meest voor de hand. In
presentaties gebruik ik deze vergelijking als ik het over het SOC heb, het
Security Operations Center. Zo van: als onze infrastructuur wordt aangevallen,
bijvoorbeeld middels en DDoS-aanval, dan rukt het SOC uit om de aanval af te
weren. En net als de echte brandweer doen ze ook veel aan preventie; ze
monitoren systemen en grijpen waar mogelijk in vóórdat het mis gaat. Jaren
geleden verwoordde iemand, die aan incidentmanagement deed, het zo mooi: we
willen de brand blussen voordat hij uitbreekt. (Dat moet je vooral niet
letterlijk nemen, want dan wordt het lastig: waar moet je het water heen
spuiten?)
Dan de politie (al dan niet militair van aard). Bij beleid hoort
handhaving, want een regel zonder controle is geen regel, zei een
gepensioneerde collega altijd (dag Jaap!). En dus reageren we op signalen uit
logging en monitoring en analyseren we of die binnen de lijntjes van het
informatiebeveiligingsbeleid passen. Soms duiken er hacktools op in je
infrastructuur, dan wil je wel dat de persoon in kwestie daarop wordt
aangesproken. Ondanks dat dit vrijwel altijd onschuldige incidenten zijn,
blijven we er toch alert op. Soms gebeurt er ook iets wat een iets andere
aanpak vergt, bijvoorbeeld als een nieuwe medewerker in het enthousiasme van zijn
eerste werkdag een tweet illustreert met een ontwerpschema. Niet iedereen voelt
aan dat zoiets niet mag, maar gelukkig hebben we ogen en oren op social media,
die dat wél snappen. En dan is het dus zaak om die twitteraar op te sporen en
vervolgens aan te sporen om die plaat weg te halen. We leren hiervan dat het misschien
handig is om een medewerker al op zijn eerste werkdag de verplichte online awarenesscursus
te laten volgen. En niet pas als hij hier al een tijdje rondloopt.
Als ik vroeger met autootjes speelde, dan rukten ze altijd allemaal uit:
de brandweer om te blussen, de politie om de weg af te zetten en de ambulance
om de gewonden af te voeren (soms tot leedwezen van mijn vader, die het vanuit
mijn kamer aanzwellende ge-tatuu-tataa na een lange werkdag niet altijd kon
waarderen). Nu vallen er in de informatiebeveiliging zelden gewonden, maar
sommige zaken moeten wel net zo multidisciplinair worden aangepakt als in mijn
kinderkamer. Bovenstaande alinea bevat daar een mooi voorbeeld van: het
incident werd gespot door webcare, gemeld aan het SOC, doorgemeld aan mij en
nadat het was opgelost besproken tussen de medewerker in kwestie en zijn
manager. En voor de verbeterstappen hebben we HR nodig.
Overigens kunnen cyberaanvallen wel degelijk gewonden en zelfs doden tot
gevolg hebben. In 2010 viel de Stuxnet-worm doelbewust Iraanse
uraniumverrijkingscentrifuges aan. Er is weinig fantasie voor nodig om te
bedenken wat een virus allemaal zou kunnen aanrichten in een nucleaire
installatie. En we hadden de NotPetya-ransomware, die in 2017 wereldwijd de containerterminals
van Maersk platlegde. Het duurde lang voordat de zaak weer operationeel was:
twee weken na de aanval kon Maersk eindelijk beginnen met de uitrol van nieuwe
pc’s. De financiële schade – voornamelijk veroorzaakt door omzetverlies –
bedroeg 250-300 miljoen dollar. Misschien bevatte een van de vele gestrande
containers wel medische apparatuur die iemands leven had kunnen redden als zij
eerder op plaats van bestemming was geweest. Laatste voorbeeld: de hack op
DigiNotar in 2011, die het mogelijk maakte dat valse beveiligingscertificaten
werden uitgegeven, heeft zeer waarschijnlijk daadwerkelijk levens gekost – van
Iraanse dissidenten, van wie de identiteit opeens geen geheim meer was voor het
regime.
Als je blauwe zwaailichten ziet, dan is er bijna altijd iets ergs aan de
hand. Geef die voertuigen voorrang – een volgende keer rukken ze misschien uit
om jou te helpen. Soms hebben informatiebeveiligers ook haast, maar we hebben
geen zwaailichten. Gelukkig begrijpen collega’s meestal wel de urgentie en
mogen we op snelle medewerking rekenen.
En in de grote boze buitenwereld …
... is fuzzing een
geautomatiseerde brute force
testmethode, gericht op het vinden van kwetsbaarheden in software.
... bevatte Tikkie een functie die was bedoeld om betalingen te doen op
basis van telefoonnummers in plaats van
rekeningnummers, maar juist deze functie lekte onbedoeld het IBAN.
https://tweakers.net/nieuws/148290/abn-amro-haalt-tikkie-pay-offline-wegens-privacylek.html
https://tweakers.net/nieuws/148290/abn-amro-haalt-tikkie-pay-offline-wegens-privacylek.html
... heeft Homeland Security een voor de hele federale overheid
verplichte maatregel uitgevaardigd naar aanleiding van recente aanvallen op de
DNS-infrastructuur. Amerika heeft wettelijk vastgelegd dat ze op deze strakke wijze
centraal de regie kunnen voeren bij dit soort incidenten.
... waarschuwt het NCSC ook voor deze DNS-aanval.
... nemen vooral gamingbedrijven het niet zo nauw met de cookiewet.
... heeft een Nederlandse arts, die op een informele zwarte lijst was
beland, succesvol een beroep gedaan op het recht om vergeten te worden.
... ligt het meestal aan de klant als er iets mis gaat in de public
cloud, en niet aan de cloudleverancier.
... beschuldigt de AIVD China van het hacken van Nederlandse bedrijven
en overheidsinstanties.
... kan de Autoriteit Persoonsgegevens het vele werk niet aan.
... ondersteunen steeds meer Nederlandse domeinen veilige e-mail.
... zijn mailtjes, die beweren dat je voicemail hebt ontvangen, in
werkelijkheid phishingmails.
... waarschuwde een gehackte beveiligingscamera een Amerikaans gezin
voor aanstormende raketten uit Noord-Korea.
... kan een organisatie ook een responsible disclosure ontvangen als zij
daar helemaal niet voor is ingericht. Dit Nieuw-Zeelandse artikel geeft tips
over hoe daarmee om te gaan.