Een trouwe lezer van de Security (b)log, werkzaam bij organisatie X,
heeft het boek Het is oorlog maar niemand
die het ziet van Huib Modderkolk gelezen. Hij schrijft hierover: “Het leest
als een spannende detective maar het opent wel je ogen. Er gebeurt blijkbaar
dagelijks al véél meer dan we beseffen. Hoe één onachtzame medewerker of een
niet uitermate goed beveiligd systeem tot zéér grote gevolgen kan leiden. Dat
er dagelijks aanvallen zijn op datacenters waar buitenlandse mogendheden achter
zitten, maar ook criminelen.”
Vervolgens heeft deze lezer zich afgevraagd hoe graag buitenstaanders nu
eigenlijk informatie uit zijn eigen organisatie zouden willen hebben. En hoe
goed is organisatie X nu écht daartegen beveiligd? De lezer is geen techneut
maar beseft wel heel goed dat ook niet-technische gaten in de beveiliging
kunnen leiden tot het lekken van gegevens. Zo ziet hij sleutelkastjes openstaan
waar leidinggevenden schouderophalend langs lopen. Bij interne verhuizingen –
uitgevoerd door externe verhuizers – worden dossiers met beursgevoelige
informatie in open containers vervoerd. Managers geven toe dat dat ‘eigenlijk’
niet zo hoort, maar berusten er verder in.
Hé, daar komt mijn stokpaardje voorbij gehobbeld. Ik herhaal het maar
nog eens: ‘eigenlijk’ is het meest misbruikte woord in de
informatiebeveiliging. Telkens wanneer iemand zegt dat iets eigenlijk niet mag
of dat het eigenlijk anders moet, weet je dat hij een voor zichzelf acceptabele
smoes heeft bedacht om zich niet aan de een of andere regel te houden. Ik besef
terdege dat het soms om argumenten gaat die hout snijden, maar ik zie ook vaak
dat men zich er toch wel erg gemakkelijk van afmaakt. Ik wil dus dat jullie
voortaan allemaal, als je het woord ‘eigenlijk’ gebruikt in relatie tot iets
wat met beveiliging te maken heeft, even stilstaan bij wat je zegt en je
afvraagt of je je met net iets meer moeite niet tóch aan die regel kunt houden
die je dreigt te gaan omzeilen. En breid deze opdracht gerust uit tot het
domein van de veiligheid: “Ik weet dat je hier eigenlijk niet mag inhalen, maar
…”. Heb je nou écht zo’n haast dat je de analyse van de wegbeheerder aan je
laars moet lappen?
Terug naar mijn lezer. Die vraagt zich af of het veel moeite zou kosten
om in zijn organisatie te infiltreren, of om gevoelige informatie te
bemachtigen middels omkoping of afpersing. De onderliggende vraag luidt: wegen
de kosten en inspanningen voor criminelen en statelijke actoren op tegen de
voordelen die ze uit X bv kunnen halen? Dat deze vraag voor allerlei organisaties
met ja wordt beantwoord, wordt door nieuwsberichten bevestigd. Politiemensen
die informatie doorsluizen naar criminelen. Douaniers die een oogje
dichtknijpen bij containers met smokkelwaar. Diefstal van intellectueel
eigendom bij hightech bedrijven. Het komt gelukkig – voor zover bekend – in
Nederland maar sporadisch voor. Corruptie is hier nog groot nieuws. Of
economische spionage hier te lande ook zo klein is, durf ik niet te zeggen.
Nog even over die openstaande sleutelkastjes bij X bv. Van de week vroeg
iemand zich af waarom die kastjes, waarin belangrijke sleutels van zeer
degelijke sloten worden bewaard, zelf toch zo vaak zijn voorzien van een
uiterst knullig slotje. Als op een deur of kast een gecertificeerd slot zit,
dan wil je kennelijk datgene wat zich achter dat slot bevindt, goed beveiligen.
Als je vervolgens de sleutel van dat slot zowat onder de deurmat legt, dan
introduceer je daarmee een wel heel zwakke schakel in de beveiliging van je
spullen.
“Hoeveel beter zijn onze veiligheidsscenario's dan de genoemde
voorbeelden in het boek?”, vraagt de lezer zich af. Kijk, aan de ene kant heb
je scenario’s, beleid, intentie en risk
appetite. Aan de andere kant heb je de medewerkers van een organisatie, die
daar dagelijks mee moeten omgaan. Als die beide kanten niet netjes op elkaar
aansluiten – bijvoorbeeld doordat de ene kant tot onwerkbare situaties leidt of
doordat de andere kant te laks is – dan ziet het er op papier allemaal
hartstikke goed uit, maar heb je, als organisatie, in werkelijkheid een
probleem waarvan je waarschijnlijk niet eens weet dat je het hebt. En als een
kritische medewerker naar aanleiding van eenvoudige constateringen te verstaan
krijgt dat hij wel héél kritisch is, dan maak ik me zorgen over de
beveiligingscultuur bij X. Maar eigenlijk zou de baas van die organisatie zich
daar druk over moeten maken.
X bv is natuurlijk een
gefingeerde naam. De medewerker van X kent de Security (b)log via securityblogpatrick.blogspot.nl.
En in de grote boze buitenwereld …
... vragen veel websites niet op de juiste manier of je hun cookies
lust.
... geeft jouw auto straks informatie door aan Rijkswaterstaat.
... zijn de laadpassen van elektrische auto’s gemakkelijk te klonen.
... loop je bij het online kopen van namaakartikelen de kans dat je
creditcardgegevens worden gestolen.
... zijn IoT-devices nu eenmaal erg kwetsbaar, zeker als de handleiding
niet wordt gelezen – of als die handleiding te vrijblijvend is. Enkele gezinnen
met jonge kinderen kwamen daar op een heel vervelende manier achter.
... willen consumenten veilige IoT-devices.
... heeft een robot ruim duizend cybersecurityvoorspellingen gelezen en
vervolgens zijn eigen voorspellingen gemaakt. Garbage in, garbage out...
... kunnen tools om de beveiliging te testen natuurlijk ook door
aanvallers worden gebruikt.
... zijn op hardware gebaseerde wachtwoordkluizen ook niet per definitie
veilig.
... krijgen we nieuwe verkiezingssoftware.
https://www.security.nl/posting/635164/Overheid+laat+volledig+nieuwe+verkiezingssoftware+ontwikkelen
... helpt Microsoft beheerders van Office 365 in de strijd tegen
phishing.
... helpt Amazon beheerders van S3-buckets in de strijd tegen datalekken.
... hebben onderzoekers een nieuw record gehaald voor het kraken van
encryptiesleutels.
... werden Afrikaanse IP-adressen onder de toonbank verhandeld.
Geen opmerkingen:
Een reactie posten