Gisteren was ik op een voor mij atypische locatie. Het mag een klein
wonder heten dat ik überhaupt ergens heen ging – dit was mijn eerste
niet-thuiswerkdag sinds het ingaan van de ophokplicht. Maar waar ik gisteren
was, zijn ze gewend om ook in coronatijd naar het werk te gaan, omdat ze thuis nu
eenmaal de benodigde spullen niet hebben. Ik was op bezoek bij een laboratorium.
Zo’n lab heeft apparatuur die je, zacht uitgedrukt, niet-standaard zou
kunnen noemen. Vaak zit daar ook een bijgeleverde computer aan vast. Van
ziekenhuisapparatuur is bekend dat ze vaak wordt aangestuurd door verouderde
computers en dat is in een lab niet anders. Een fabrikant levert een
kant-en-klaar, compleet apparaat af, en dat kant-en-klaar moet je letterlijk
nemen: als het apparaat bij zijn geboorte was voorzien van een computer op
basis van Windows XP, dan draait die computer nog steeds op dit zwaar
verouderde en daardoor onveilige besturingssysteem. En daar kun je weinig aan
doen.
Als je risicovolle spullen in je technische infrastructuur hebt, dan doe
je er goed aan om die af te zonderen van de rest. En dat is precies wat hier nu
wordt gerealiseerd: het laboratorium wordt netwerktechnisch gescheiden van de
rest van de organisatie. Mocht er dan een keer iets mis gaan, dan is de kans
groot dat de ellende beperkt blijft tot het lab.
Zo’n eigen netwerk brengt verantwoordelijkheden met zich mee. En daarom
was ik opgetrommeld om een presentatie over cybersecurity te geven. De titel
daarvan luidde: Veiligheid in het lab –
nu eens anders. In een lab wordt natuurlijk al heel veel aandacht aan
veiligheid geschonken, maar nog niet per se aan ‘mijn soort’ veiligheid. Daar
moest dus aandacht voor worden gevraagd. Rode draad in mijn verhaal was de
ransomware-aanval op de Universiteit Maastricht van afgelopen kerst. De
universiteit heeft het onderzoeksrapport van Fox-IT gepubliceerd, zodat wij er
allemaal van kunnen leren. Een zekere verwantschap tussen een universiteit en
een laboratorium maakte deze kapstok extra toepasselijk.
Het begon in Maastricht met een phishingmail en om die reden stond ik
uitgebreid stil bij deze vorm van criminaliteit. Het wordt steeds moeilijker om
phishing te herkennen, simpelweg omdat de mailtjes er net echt uitzien. Ook de
links, waar ze je op willen laten klikken, kunnen net echt uitzien,
bijvoorbeeld doordat een schreefloze kleine letter L er net zo uitziet als een
hoofdletter i, zoals ik hier al eerder heb beschreven. Ook kwam typosquatting aan de orde: het misbruik
maken van andermans typfouten, waardoor je op een nepsite terechtkomt en daar
allerlei gegevens invult die je eigenlijk niet met vreemden had willen delen.
Het is niet fijn om te zeggen, maar toch moet de boodschap ten aanzien van
e-mail luiden: wees altijd op je hoede – zelfs bij bekende afzenders.
Een ander leerpunt uit Maastricht is iets wat we ook al lang wisten: je
moet alle software accuraat updaten om niet extra kwetsbaar te zijn. De reden
hiervoor is simpel: alle software bevat fouten, gewoon vanwege de omvang en de
complexiteit. Een deel van die fouten tast je beveiliging aan. Het is de vraag
wie zo’n fout als eerste ontdekt: de goeien of de kwaaien. Als de kwaaien er
als eerste achter komen, dan heb je te maken met een zero-day vulnerability: een kwetsbaarheid die nog niet bekend is
bij degene die verantwoordelijk is voor de software. Maar ook als de goeien er
als eerste achter komen en een patch voor het programma uitbrengen, ben je nog
niet veilig: die patch moet namelijk wel geïnstalleerd worden hè. En dat doen
veel mensen en organisaties niet accuraat. Hierdoor kon de WannaCry-ransomware
in 2017 wereldwijd 230.000 computers besmetten – twee maanden nadat Microsoft
een patch had uitgebracht.
Maar dat up-to-date houden is dus lastig in een lab met al die systemen
waar een computer bij geleverd is volgens het kant-en-klaarprincipe. Tenzij je
daarover slimme afspraken maakt met je leverancier. Daar ligt volgens mij de
sleutel voor het beveiligen van systemen in ziekenhuizen, laboratoria en al die
andere plekken waar een computer wordt gebruikt om een apparaat aan te sturen.
Je sluit bij de aanschaf sowieso een onderhoudscontract af, stel dan ook eens
de simpele vraag: wat doen jullie gedurende de levensduur van het apparaat om
het te beveiligen tegen cyberaanvallen? En laat je dan niet afschepen met “Oh,
maar hij hangt niet aan het internet.” Er is vast wel ergens een actieve
USB-poort, die zeer geschikt is om allerlei ellende naar binnen te kruien. En
dan zul je net zien dat een nietsvermoedende medewerker daar een wazige
UBS-stick in prikt. Met in potentie desastreuze gevolgen.
En in de grote boze buitenwereld …
... vestigt ook het kabinet nog eens de aandacht op het belang van
updaten, maar dan specifiek gericht op IoT-apparaten.
... is het aantal phishingwebsites in het .nl-domein sterk gestegen.
... vertelt een voormalige IAM-expert van Maersk uitgebreid over de
ransomware-aanval die het bedrijf in 2017 platlegde.
... adviseert het Digital Trust Center over het maken van backups. Het
DTC is voor het bedrijfsleven wat het NCSC voor de overheid en de vitale sector
is. Het zijn allebei overheidsorganisaties.
... durft het Amerikaanse leger het aan om thuiswerkende soldaten
geheime informatie te laten raadplegen.
... gaat de Belastingdienst een rol spelen in de exploitatie van de
corona-app. Het SOC speelt daar een belangrijke rol in.
... komen WhatsApp-fraudeurs via foute callcentermedewerkers aan de
gegevens van hun slachtoffers.
... pikte ook de Tweede Kamer die melding op.
... bevat de belastingsoftware van een Chinese bank malware.
... beschuldigt EC-president Von der Leyen China van het uitvoeren van
cyberaanvallen op ziekenhuizen tijdens de coronacrisis.
... ziet Duitsland Rusland als bedreiging voor de kritische
infrastructuur.
... hebben EU-burgers dankzij de AVG een sterkere positie verworven.
... vormen drones juist weer een bedreiging voor onze privacy.
Geen opmerkingen:
Een reactie posten