nr 1 maart 2013
India Rigoureus onderzoek voor staatsveiligheid for a more secure society
column
De hypocrisie van ethisch hacken
actueel
04 India accepteert DataDiode De Fox DataDiode heeft voldaan aan de strengste veiligheidseisen in India. Veel Indiase overheidsorganisaties kunnen nu hun high-security netwerken en vitale infrastructuren beter beschermen.
Het lijkt zo’n mooie gedachte: ‘ethische’ hackers die ons behoeden voor kwetsbare databases met privacygevoelige gegevens. Daar kun je toch niet tegen zijn? Lektober in 2011 openbaarde vele incidenten en toonde aan dat de gegevensbeveiliging in ons land beter moet. Het was een wake-upcall. Daarna maakten Robin Hood-verhalen over hacks de stap uit het tech-nieuws naar de voorpagina’s. De waardering voor ethische hackers is gelukkig gegroeid. Ze lopen echter nog hetzelfde risico voor vervolging. Ook al vindt een hacker zelf dat hij ethisch bezig is, de geraakte bedrijven en de wet zien dit vaak anders.
praktijk
04
De politie in Twente heeft een bus met Tracks Inspector, en kan op een plaats delict direct digitaal sporenonderzoek doen.
10
Twee zaken haalden onlangs het nieuws. Zowel bij het ‘Groene Hart Ziekenhuis’ als ‘Diagnostiek voor U’ waren patiëntengegevens toegankelijk voor hackers, die via media de publiciteit zochten. In beide gevallen ging het Openbaar Ministerie over tot vervolging. In eerste instantie leek het de wereld op zijn kop: als iemand hier iets fout heeft gedaan, dan zijn dat toch de organisaties die onzorgvuldig met de gegevens van hun cliënten omgaan?
colofon Redactieadres fox-it
Afdeling Marketing Postbus 638 2600 AP Delft +31 (0)15 284 79 99
[email protected] www.fox-it.com Vormgeving viervier strategisch ontwerp Interviews en teksten Sabel Communicatie Full Circle Communications fox-it
Daar is zeker iets voor te zeggen. Maar bij nadere bestudering blijken de hackers minder ethisch dan gedacht. In het geval van het GHZ stapte de hacker direct naar de media in plaats van het ziekenhuis. Ethische hackers plaatsten op social media veel vraagtekens bij de tijd tussen ontdekking en melding, de gebruikte middelen en de hoeveelheid data die was ontvreemd. Bij ‘Diagnostiek voor U’ brak de hacker – Henk Krol – met een gestolen password in op een Elektronisch Patientendossier (EPD). Hij zocht vervolgens in de database naar vrienden en stapte kort na de melding bij de organisatie naar de media. Belangrijke details voor de vervolging hoorde ik vanaf de publieke tribune van de rechtbank, niet uit de anders zo goed geïnformeerde media.
opinie
12 CCO naast de CEO
Topman Ad Scheepbouwer pleit voor een nieuwe specialist in de directies van grote organisaties: de Chief Cybersecurity Officer.
praktijk
17
15 Jong geleerd is oud gedaan
Regelmatig verzorgen Foxers gastcolleges, trainingen en begeleiden ze stage- en afstudeeropdrachten.
interview
17 Cyberwar
Kolonel Hans Folmer en Ronald Prins in gesprek over de cyberstrategie van Defensie.
praktijk
22 Rouwverwerking
Een mediale schandpaalcultuur tegenover bedrijven die de sjaak zijn geworden, zonder redelijke discussie over de ethiek van de hacker, mist het doel. Het is tijd om met z’n allen eens goed in de spiegel te kijken. En daar hoort naast de ethiek van hackers en bedrijven ook die van de media bij. Ronald Prins, directeur fox-it
10 Mobiel digitaal sporenonderzoek
De emotionele achtbaan van gehackte organisaties heeft veel parallellen met de vijf fasen van rouwverwerking.
22 25
opinie
25 Responsible disclosure
Een hacker staat voor dilemma’s: aan wie en wanneer meldt hij een lek, en wordt hij vervolgd?
nieuws en trainingen
28 Bits
Kort nieuws en de trainingskalender. Gratis abonnement Meld je aan op fox-it.com
actueel
actueel
In deze tijd van cybercriminaliteit, spionage en conflicten kunnen overheden niet voorzichtig genoeg zijn met de bescherming van hun IT-infrastructuren. Overheidsinstellingen in India waren zich bewust van de toegevoegde waarde van de Fox DataDiode in de beveiliging van high-security netwerken en de betekenis van een productcertificering op het hoogste Common Criteria level. Toch moest de Fox DataDiode in India eerst een eigen nationale certificering ondergaan.
Rigoureus onderzoek voor staatsveiligheid
republic of india - bharatiya ganarajya / government type: federal republic / 28 states and 7 union territories / legal system: common law system based on the english model / chief of state: president pranab mukherjee (since 22 july 2012) / vice president mohammad hamid ansari (since 11 august 2007) / head of government: prime minister manmohan singh (since 22 may 2004) / bicameral parliament (sansad) consists of the council of states (rajya sabha) and the people’s assembly (lok sabha)
4 | fox files #1 2013
fox files #1 2013 | 5
actueel
De Fox DataDiode is een hardware oplossing voor gebruik op de grens tussen twee computernetwerken. Het laat data in slechts één richting passeren. Om vertrouwelijke gegevens te beschermen stroomt informatie van een netwerk met een lager veiligheidsniveau door naar een geheim netwerk met een hoger veiligheidsniveau, maar niet andersom. Om vitale infrastructuur te beschermen, zoals energie centrales of waterzuiveringsinstallaties, stroomt informatie vanuit het Industrial Control System (ICS) naar een extern netwerk, terwijl de faciliteit van buitenaf digitaal ontoegankelijk blijft. Veel belangrijke overheidsorganisaties in India zijn geïnteresseerd in het gebruik van de Fox DataDiode om vertrouwelijke gegevens en vitale infrastructuren te beschermen. De Fox DataDiode zou de veiligheid en productiviteit bij het uitwisselen van gegevens in een high-security omgeving enorm verbeteren ten opzichte van bidirectionele firewalls en ‘air gaps’. Maar eerst moest er goedkeuring komen van de certificeringsinstantie van de Indiase overheid, het directoraat Standardization Testing and Quality Certification (STQC).
strenge certificatieprocedure Certificatie lijkt een relatief eenvoudig proces. De Fox DataDiode is al internationaal erkend volgens het hoogste Common Criteria Evaluation Assurance Level dat certificeerbaar is in India (CC EAL4+). In Europa heeft de Fox DataDiode al de CC EAL7+-certificering bereikt. Er zijn nog meer goedkeuringen, zoals voor netwerkverbindingen tot en met het niveau NATO Secret. En de hardware wordt al ingezet in veel landen over de hele
actueel
wereld. Toch was er een maar. Dr. Dinesh Mhatre, CEO van fox-it-partner High-Tech Technologies (HTT) in Mumbai, India, verwoordt het als volgt: ‘De potentiële opdrachtgevers zijn erg enthousiast over het product, maar de Indiase regering moet het bewijs hebben dat het product presteert zoals is gespecificeerd en dat de claims op papier ook in de praktijk waargemaakt kunnen worden.’ India is immers een van de oprichters van ISO, de internationale organisatie voor normalisatie, en verantwoordelijk voor de ontwikkeling van vele ISO-normen. Valideren en documenteren van producten en processen voor de uitwisseling van goederen en diensten zijn ingebakken in de bedrijfscultuur van het land. Aanvullend op zijn leidende rol in ISO publiceerde het Bureau of Indian Standards meer dan 18.000 normen voor huishoudelijk gebruik. Jaarlijks worden meer dan 300 nieuwe Indiase standaarden en 300 wijzigingen op bestaande standaarden gepubliceerd.
gepland en uitgevoerd door de onafhankelijke beoordelaars moesten worden gedocumenteerd op een detailniveau, zodat testprocedures en resultaten herhaalbaar waren en gereproduceerd konden worden. De Indiase STQC-certificering ging verder. Het proces omvatte ook een audit bij fox-it als onderdeel van een productie- en leveranciersketenonderzoek van de Fox DataDiode. Door de staat gesponsorde spionage kent immers geen grenzen. Elke kans dat de Fox DataDiode kan worden geleverd met third-party spyware zou het product diskwalificeren voor gebruik door de overheid of vitale infrastructuren. De beoordelaars inspecteerden de beveiliging van de productieomgeving voor de Fox DataDiode, productie- en testprocedures, de veiligheid van het leveringsproces en de integriteit van het product gedurende zijn hele levenscyclus. De hele STQC-certificering nam meer dan een jaar in beslag, voordat de Fox DataDiode op 18 december 2012 werd goedgekeurd voor gebruik in India.
uitgebreide testen Vanuit Indiaas perspectief is de Fox DataDiode met zijn Common Criteria-certificering niet per se veilig totdat het product is geëvalueerd door het eigen Indiase Common Criteria Certification Scheme (IC3S). Dit betekende een review van alle procedures en documentatie die fox-it meegaf van eerdere testen en certificeringen, dupliceren van testen in de eigen Common Criteria-testlaboratoria, en het uitvoeren van aanvullend onderzoek op de functionaliteit en veiligheid van de Fox DataDiode, waaronder de evaluatie van de kwetsbaarheid en hypothetische aanvalscenario’s. Alle testen zoals
waardering voor hoge normen Met hun unieke focus op een veiligere samenleving zijn Foxers gewend te werken binnen het brede spectrum van overheid, rechtshandhavers, veiligheids- en inlichtingendiensten. Met ervaring bij inlichtingendiensten in het binnen- en buitenland en de NAVO, was de STQC-certificering verwacht, maar niettemin indrukwekkend. ‘We hebben uit eerste hand de zeer hoge normen ervaren die India hanteert voor het aantonen van de veiligheid van IT-producten die bedoeld zijn voor gebruik door de overheid en in vitale infrastructuurnetwerken’, vertelt
Wouter Teepe, businesslinemanager van de Fox Data Diode bij fox-it. ‘De onafhankelijke beoordelaars hebben diep gegraven om elk aspect van de functionaliteit van de Fox DataDiode en ons veiligheidsbeleid te valideren, voordat de certificering werd toegekend. Certificeringen zijn niet altijd even makkelijk, en deze certificering was zeker geen uitzondering, maar het hoort bij onze business. Uiteindelijk geeft het veel voldoening iets goeds te presteren en het bewijst eens te meer dat de Fox DataDiode het beste product in zijn soort is voor het veilig koppelen van high-security netwerken. Het bewijst ook het vertrouwen dat andere gebruikers hebben in onze DataDiode en in ons bedrijf. Het feit dat we de DataDiode over de hele wereld bij de meest kritische organisaties weten te verkopen, laat zien dat we met ons team in Delft tot de top van de wereld behoren.’
opgespaarde vraag Door de STQC-certificering is voor HTT de tijd aangebroken om de vruchten te plukken van het vele voorwerk dat is gedaan om de Fox DataDiode te kunnen introduceren aan potentiële opdrachtgevers in India. Dr. Mhatre gelooft dat 2013 een druk jaar zal worden om te voldoen aan de opgespaarde vragen van klanten die hebben gewacht op de certificering, voordat ze over wilden gaan tot de aankoop.
de STQC-certificering nam meer dan een jaar in beslag
national symbol: bengal tiger / national anthem: “jana-gana-mana” / currency: indian rupees (inr) / gdp: $4.735 trillion (4th in the world); gdp (comparison per sector): agriculture: 17%, industry: 18%, services: 65% / telephones – mobile cellular: 893.862 million (2011) – ranking 2nd in the world / internet users: 61.338 million (2009) – ranking 6th in the world / airports: 352 (2012) / population: 1,220,200,000 (2012 est.) – 2nd largest population worldwide / population below poverty line: 29.8%
6 | fox files #1 2013
fox files #1 2013 | 7
actueel
actueel
Tijdens de overleggen die HTT met diverse overheidsorganisaties voerde, is een breed scala van toepassingen voor de Fox DataDiode besproken, zoals: - het automatisch verzenden van e-mails naar een high-security netwerk en het efficiënter uploaden van bestanden; - het automatisch distribueren van antivirus-, antispyware- en software-updates voor geïsoleerde geheime netwerken, wat het updaten versnelt en het netwerkbeheer sterk vereenvoudigt; - het realiseren van realtime-communicatie tussen afdelingen in een high-security organisatie, waarbij informatie alleen beschikbaar komt op een need-toknow-basis; - het veilig centraliseren van datastromen uit logbestanden en SIEM (Security Information and Event Management), zodat meerdere netwerken kunnen worden bewaakt vanuit één locatie;
- voortzetting van een ‘air gap’-proces met usb-drives, maar met inzet van de Fox DataDiode tussen de computer waarop de drives zijn geplaatst en de rest van het high-security netwerk, zodat het netwerk geen informatie kan teruglekken naar de usb-drives. ‘Organisaties kunnen de Fox DataDiode gebruiken op vele innovatieve manieren om de veiligheid en efficiëntie te verbeteren van processen en netwerken met gevoelige informatie en toezichthoudende controles’, zegt dr. Mhatre. ‘We verwachten dat dit deel van ons bedrijf flink zal toenemen, nu de STQC-certificering binnen is.’
Wereldwijd vertrouwen de meest kritische organisaties op de Fox DataDiode
staatsgeheimen geheim houden High-security netwerken isoleren van de buitenwereld is moeilijk, omdat deze netwerken er zijn om gegevens en controleprocessen te beheren, hoe gevoelig de informatie ook is. Terwijl netwerken kunnen worden beveiligd met een range aan cybersecurity-tools om indringers buiten te houden – van firewalls tot SIEM (Security Information and Event Management) – bestaan er kwetsbaarheden. Firewalls en toegangsrechten kunnen verkeerd worden geconfigureerd (menselijke fouten) of een aanvaller kan een slimme nieuwe exploit ontwikkelen om de cyberdefences te ontwijken en op slinkse wijze met kwade bedoelingen het netwerk binnendringen. Firewalls en SIEM zijn reactieve verdedigingsmaatregelen die altijd zullen achterlopen op de nieuwste vormen van malware. Zelfs wanneer de
zo werkt de fox datadiode
For protecting secrets Internet or lower security level
For protecting secrets Secret network or higher security level
For ICS SCADA / Proccess Control System
For ICS corporate network, possibly internet
UPSTREAM NETWORK
UPSTREAM PROXY SERVER
DATADIODE
DOWNSTREAM PROXY SERVER
DOWNSTREAM NETWORK
De Fox DataDiode is een apparaat waarmee data maar in één richting kan stromen. Het bevat geen beslislogica, software of firmware en kan niet verkeerd worden geconfigureerd. Daardoor zijn softwarestoringen, malware, sabotage, online aanvallen of menselijke fouten uitgesloten. De fysieke eenrichtings verbinding transporteert data optisch met een lichtbron en bijbehorende fotocel om te waarborgen dat de gegevens echt maar in één richting kunnen
integriteit van cyberdefence nog volledig intact is, kunnen de gegevens van een high-security netwerk tijdens de gegevensoverdracht naar een lager beveiligingsniveau lekken. Beveiligingsexperts kunnen deze problemen omzeilen met ‘air gap’-technieken waarbij een high-security netwerk nooit wordt aangesloten op een ander netwerk. In plaats daarvan gebeurt de gegevensoverdracht met draagbare media zoals usb-drives. Maar ook hier bestaan kwetsbaarheden. Draagbare media kunnen verloren gaan of geïnfecteerd raken met malware. De welbekende Stuxnet-computerworm verspreidde zich oorspronkelijk op deze manier. ‘Air gap’technieken hebben ook gevolgen voor een tijdige toegang tot de informatie. De gegevens moeten worden gekopieerd
passeren. Glasvezelkabels minimaliseren elektromagnetische straling wanneer het apparaat is aangesloten tussen low- en high-security servers. IT-protocollen berusten typisch op tweerichtingsverkeer en kunnen daardoor niet door een diode heen werken. Daarom zijn er proxy servers nodig aan beide zijden van de Fox DataDiode. In het verzendende, ‘upstream’ netwerk ontvangt een proxy server alle informatie met reguliere tweerichtingsverkeerprotocollen. Deze
naar draagbare media en de media moeten worden gescand op malware, voordat de informatie kan overgaan naar een high-security netwerk. De Fox DataDiode maakt niet alleen een einde aan deze veiligheidsrisico’s, maar beschermt ook de realtime-informatieoverdracht. Het maakt een veilige verbinding mogelijk tussen high-security netwerken en netwerken of apparaten op lagere beveiligingsniveaus, door toe te staan dat informatie zich maar in één richting kan verplaatsen. Het voorkomt ook het lekken van gegevens uit een high-security netwerk tijdens de gegevensoverdracht.
informatie wordt met een eenrichtingsprotocol door de Fox DataDiode gestuurd. Aan de ontvangende, ‘downstream’ zijde staat een proxy server die het eenrichtingsprotocol weer omzet in reguliere protocollen die berusten op tweerichtingsverkeer. Elke proxy heeft een eenvoudig te gebruiken webinterface waarmee geautoriseerde gebruikers kunnen configureren welke informatie mag worden overgebracht. Een overdracht kan onder meer bestanden, streaming video of inkomende e-mail bevatten.
median age: 26.5 years / 0-14 years: 31.1%; 15-64 years: 63.6%; 65-over: 5.3% / urban population: 30% of total population / total area: 3,287,263 sq km – the world’s 7th largest nation / land: 2,973,193 sq km / water: 314,070 sq km / land boundaries: total: 14,103 km / coastline: 7,000 km / electricity production: 880 billion kwh (2010 est.) – 7th in the world / electricity (installed generating capacity): 189.3 million kw (2009 est.) – 6th in the world / electricity from nuclear fuels: 2.2% Bron: CIA World Factbook
8 | fox files #1 2013
fox files #1 2013 | 9
praktijk
praktijk
Politie Oost-Nederland zet speciale bus in
Digitaal forensisch onderzoek op de plaats delict
mogelijkheid to opzetten eigen wifi
vpn site-to-site
live stream video camera onsite-lab
internet connectiviteit in geheel europa
Het is als een scene in een politiefilm: bij een plaats delict staat een bus geparkeerd waarin de politie forensisch digitaal onderzoek doet. In Twente is dit geen fictie maar realiteit.
12tb storage
De politie in Enschede had behoefte aan snel en goed onderzoek op locatie en een middel dat dergelijk onderzoek faciliteerde. Al in 2010 onderzocht de digitale recherche van de politie Oost-Nederland district Twente voorbeelden van mobiele digitale oplossingen. Digitaal rechercheurs namen een kijkje bij de politie van MiamiDade. De ideeën die zij daar opdeden op technisch gebied namen zij mee in de ontwikkeling van het SRV, het Specialistisch RechercheVoertuig.
ondersteunen forensisch digitaal rechercheurs het tactisch onderzoeksteam met digitaal onderzoek, bijvoorbeeld met onderzoek naar gegevensdragers, internetgebruik, social media etc. Dus al het onderzoek waarbij digitaal sporenmateriaal aanwezig is, kunnen zij in deze bus uitvoeren. De tactisch rechercheur bepaalt wanneer dat nodig is. In de afgelopen twaalf maanden is het SRV wekelijks ingezet bij veel verschillende zaken, van moord tot verkeerscontroles en van milieudelicten tot vermissingen.
Een mobiele oplossing als het SRV biedt uitkomst, omdat de digitale rechercheurs niet met de digitale gegevensdragers naar het lab hoeven te rijden. Ze kunnen nu direct op de plaats delict forensisch digitaal onderzoek doen. Daarbij is triage (het door analyse prioriteren van de belangrijkste stukken) mogelijk waardoor de digitale rechercheurs niet snel te veel bewijsmateriaal meenemen. Voordeel van het SRV is dat de digitale recherche in een grote regio als Oost-Nederland veel tijd kan besparen door op locatie te werken.
perfect samenspel
Op initiatief van een aantal digitaal rechercheurs rijdt daar sinds februari 2012 het zogeheten Specialistisch RechercheVoertuig (SRV) rond.
samenwerking met tracks inspector
soorten onderzoek
Tekst Nina van der Knaap en Brendan van der Maarel, fox-it
10 | fox files #1 2013
Het RechercheVoertuig wordt wekelijks ingezet, van moord tot milieudelicten
Het voertuig voldoet aan een aantal belangrijke vereisten: het is niet te groot, is met een rijbewijs B te besturen en is onder meer voorzien van stroomvoorziening en internetverbinding. In het SRV
De politie zet het SRV dus al regelmatig in en de digitale rechercheurs blijven de mogelijkheden verder uitbreiden en verbeteren. Zo kan het voertuig ook ingezet worden als deel van een incidentresponseteam. Digitaal experts in het lab staan dan via een internetverbinding in contact met het incident-responseteam op de plaats delict en onderzoeken op afstand de data. Een van de voordelen aan de speciale politiebus is dat de tactisch rechercheurs zien wat de toegevoegde waarde is van hun digitale collega’s. Dankzij kortere communicatielijnen kunnen ze efficiënter samenwerken. Andersom is het ook voor de digitale experts prettig om direct met de tactische collega’s te kunnen schakelen. Een perfect samenspel dus.
In het Specialistisch RechercheVoertuig (SRV) is ook Tracks Inspector van fox-it ingebouwd, software waarmee tactisch rechercheurs relatief eenvoudig digitaal bewijsmateriaal kunnen uitlezen. De tactisch rechercheur heeft met Tracks Inspector direct toegang tot de digitale informatie en kan relevante bevindingen meteen toepassen in het onderzoek op de plaats delict. Samenwerking met het SRV in Twente bleek dan ook een goede combinatie. Tracks Inspector is gebruiksvriendelijk, intuïtief en draait in een webbrowser. Dit is precies wat de tactisch rechercheur nodig heeft om eenvoudig zelf digitaal onderzoek te kunnen doen.
fox files #1 2013 | 11
opinie
opinie
Vacant: de functie van CCO Ad Scheepbouwer versterkt sinds oktober Fox-IT als directielid en aandeelhouder. Met zijn ervaring in de bestuurskamers van grote beursgenoteerde ondernemingen weet hij als geen ander hoe daar de hazen lopen. Het is tijd dat in de boardrooms sluwe vossen komen, met oog en hart voor cybersecurity, bepleit hij. Waar zijn die Chief Cybersecurity Officers? Vroeger werd wel over generaals gezegd dat ze altijd bezig zijn met de vorige oorlog. Over de cybersoldaten die onze computernetwerken beschermen, kun je dat zeker niet beweren. Het is juist hun ambitie om hackers steeds een slag voor te zijn; hoe zouden zij eventueel onze systemen kunnen binnendringen? Dat is de vraag waar crimefighters constant mee bezig zijn en daarom ruiken zij al onraad als anderen nog denken dat er geen vuiltje aan de lucht is. Wantrouwen wordt hun tweede natuur.
vertrouwen op wantrouwen Dat is natuurlijk niet de instelling waarmee de meesten van ons naar hun werk gaan. Enig wantrouwen is mij ook niet vreemd en op gezette tijden geef ik de voorkeur aan zeker weten boven vertrouwen. Maar toch: in mijn loopbaan heb ik het vooral van dat laatste moeten hebben. Als leidinggevende moet je nu eenmaal kunnen rekenen op de mensen om je heen, de medewerkers, de partners, enzovoort. Ik zou me wel heel erg vergissen als mijn collega-bestuursleden niet op dezelfde manier in het (bedrijfs-) leven staan. Voor zover ik de sfeer in de directiekamers van Corporate Nederland heb mogen proeven, is dat er een van vertrouwen. Je moet er ook vanuit kunnen gaan dat veel dingen gewoon goed geregeld zijn. Als dan mensen voorbijkomen met wilde verhalen over cybercriminaliteit, over maffiose leiders die vanuit de Oekraïne aanvallen
Wie vrede wil, moet zich op oorlog voorbereiden 12 | fox files #1 2013
voorbereiden, virussen die zichzelf razendsnel verspreiden en harde schijven die in China besmet zijn geraakt, ben je in eerste instantie geneigd die met een korrel zout te nemen.
Ronald Prins geopperde mogelijkheid voor een ‘digitale brandweer’ aan de orde gekomen. Minister Opstelten laat echter geen gelegenheid voorbij gaan om erop te wijzen dat cyberveiligheid toch vooral de eigen verantwoordelijkheid is van organisaties en bedrijven. ‘De overheid neemt die niet van hen over.’ Bedrijven ontkomen er dus niet aan: zij moeten zelf die verantwoordelijkheid nemen.
inkoopbeleid Een beleidsterrein dat al evenmin aan zijn aandacht mag ontsnappen, is het inkoopbeleid. Hier zijn veel partijen bij betrokken, zowel intern (IT-afdeling, inkoop, marketing/communicatie, enzovoort) als extern (onder meer aanbieders, onafhankelijke consultants en deskundigen). Bij een on-
gecoördineerd en impulsief inkoopgedrag wordt IT-security een gatenkaas. Daarom is het aan de CCO om al deze belanghebbenden op één lijn te brengen en de discussie aan te jagen. Hij zal de omstandigheden moeten creëren waarin de inbreng van al deze partijen tot zijn recht kan komen. Om vervolgens uit te komen bij de oplos-
sing die iedereen verreweg als de beste beschouwt, zonder de veiligheid uit het oog te verliezen.
Heb vertrouwen in wantrouwen
tijd voor een cco fatalistische gedachte Inmiddels realiseren veel bestuurders zich wel dat een hack dramatische gevolgen kan hebben. Zij kunnen zich echter nog niet voorstellen dat zij zelf ook doelwit zijn. ‘Dat zal ons niet overkomen - what are the odds?’, is wellicht een hele normale of zelfs natuurlijke reflex, maar het is niet de juiste reactie. Een op zichzelf wel juiste maar tegelijk fatalistische gedachte hobbelt daar mogelijk nog achteraan. ‘Honderd procent veiligheid is toch niet haalbaar, is het wel? En dus…’ En dus krijgt cybersecurity niet de aandacht die het verdient, terwijl door de aanhoudende groei van het internetverkeer en het steeds intensievere gebruik van mobiele apparaten, zoals tablets en smartphones, de risico’s groter en talrijker worden. We kunnen steeds meer met internet, we doen steeds meer met internet, maar we worden daardoor ook steeds kwetsbaarder. En dus lijkt er voorlopig ook nog geen einde te komen aan de reeks incidenten die pal achter ons ligt: het malware op nu.nl, het diginotar-lek, de KPN-hack, de DDoS-aanvallen op de websites van Mastercard en het Openbaar Ministerie, het Dorifel-virus, enzovoort.
verantwoordelijkheid van bedrijven De overheid stelt zich niet afzijdig op. Eind vorig jaar heeft de Tweede Kamer nog uitgebreid en met kennis van zaken gesproken over het Nationale Cyber Security Beleid. Bij die gelegenheid is ook de door collega
Op dit moment hebben veel ondernemingen het veiligheidsissue wel ergens in de organisatie belegd. Bijvoorbeeld bij functionarissen met jarenlange ervaring in het politiewezen of het justitiële apparaat. Het lijkt mij van belang om deze afdelingen op de kortst mogelijke termijn te versterken met specialisten in (de bestrijding van) cybercrime. Dat brengt ook de noodzaak van een meer gerichte aansturing met zich mee. Moet cybersecurity niet bovenaan op de agenda van de CIO staan? Is het zelfs niet raadzaam om de directie of raad van bestuur met één lid uit te breiden? Moet er naast de CEO, CFO en CTO een plaats zijn voor een CCO, de Chief Cybersecurity Officer? Hij of zij kan er dan voor zorgen dat veiligheid hoog op de agenda van de directie komt te staan, en daar tot nader order blijft staan! Van deze CCO mag verwacht worden dat hij om te beginnen slimme keuzes maakt over de opslag van data: de persoonsgegevens (van medewerkers en klanten) en de vitale bedrijfsgegevens (zoals gevoelige documenten of AutoCAD-tekeningen van innovatieve producten). Hij of zij stuurt de IT-afdeling aan, maar dat is slechts een onderdeel van zijn takenpakket. Het cybersecuritybeleid omvat namelijk veel meer. Zo draagt de CCO eveneens de verantwoordelijkheid voor de bewustwording van medewerkers, want als die laatsten argeloos internet gebruiken en geen acht slaan op risico’s als phishing, dan is het dweilen met de kraan open.
fox files #1 2013 | 13
opinie
crisispreventie Zoals andere directieleden letten op de koersontwikkeling en de salesperformance van de businessunits, zo kan het nieuwe bestuurslid alle informatie over IT-security binnen en buiten het bedrijf bijhouden. Zo krijgt hij de kans om het veiligheidsbeleid – of beter gezegd: het crisispreventiebeleid – op een steeds hoger plan te brengen.
praktijk actueel
Wie niets doet, komt zeker aan de beurt. Een aloud beginsel is dan ook actueler dan ooit: wie vrede wil, moet zich op oorlog voorbereiden. Bedrijven die dat motto omarmen en daar een eigentijdse invulling aan geven, zullen zichzelf en hun omgeving veel onheil besparen. En inderdaad: zij zullen bijtijds de assistentie inschakelen van de cybercrimefighters die door hun werk wantrouwend zijn ingesteld, maar die juist daarom hun vertrouwen verdienen. Ad Scheepbouwer, directeur Fox-IT
wie is ad scheepbouwer? Ad Scheepbouwer (1944) is een selfmade topmanager. Hij ging voortijdig van school, pakte alle kansen en schuwde geen uitdaging. Snel maakte hij carrière bij diverse logistieke bedrijven. Bekendheid kreeg hij vanaf 1989, als directeur en CEO van PTT Post, later TNT. Vanaf 2001 leidde hij het telecombedrijf KPN weg van een dreigende UMTS-ondergang naar een internationaal gerespecteerd bedrijf. Al in 2002 werd hij verkozen tot Topman van het Jaar. In mei 2011 nam hij afscheid bij KPN. Sindsdien deed hij verschillende investeringen in bedrijven, waaronder fox-it waar hij tevens een van de drie directeuren werd.
waarom ben je in fox-it gestapt? ‘Zoekende naar investeringen kwam ik in gesprek met Ronald Prins en Menno van der Marel. Helaas is cybercrime een markt die sterk groeit, en fox-it is nationaal de koploper in de bestrijding hiervan. Het bedrijf groeit al sterk en heeft veel mogelijkheden voor verdere expansie. Dat is een gunstige basis voor een investering. Daarnaast is het een leuk bedrijf om voor te werken, met veel jonge mensen.’
hoe is het om tussen die jonge honden van fox-it te werken? ‘Ik werk altijd graag met jonge mensen. Ze hebben veel energie, tonen een groot enthousiasme en zitten vol ambities. Dat trekt me. Zelf kan ik er dan een andere kijk aan toevoegen.’
Security leer je niet uit een boekje
‘De meeste cyberincidenten die wij tegenkomen, zijn eigenlijk heel simpele hacks’, vertelt Hans Hoogstraaten, Security Expert van fox-it. ‘Door makkelijk te voorkomen foutjes krijgen hackers toegang tot systemen, met alle gevolgen van dien. Al met een basis securitykennis had men kunnen zien dat de beveiliging niet toereikend was.’ Hoe kan dat anders? Hans: ‘Het antwoord is simpel: kennis op het gebied van beveiliging moet gemeengoed worden.’
iedereen opleiden
Regelmatig verzorgen Foxers gastcolleges en trainingen om cyberexperts op te leiden of om basale securitykennis over te dragen. En omdat zij vinden dat je niet vroeg genoeg kunt beginnen, geven ze zelfs trainingen aan kinderen.
Iedereen kennis van beveiliging; het lijkt een onbegonnen zaak. Hoe ziet Hans dit? ‘Cybersecurity is een onderwerp waar we vroeg of laat allemaal mee te maken krijgen. Een goed uitgangspunt is het groeiende bewustzijn over risico’s die wij lopen met ‘moderne’ technologie. Een basisniveau van securitykennis is dan al toereikend en het is mogelijk iedereen op dat niveau te krijgen. Vergelijk het met voetbal: de KNVB heeft een brede basis voetbalspelers met 800 duizend amateurleden. Daaruit ontstaat een top, het Nederlands elftal. Dus als meer mensen begrijpen wat cybersecurity inhoudt en dat leuk vinden, komen er vanzelf ook meer experts.’
gastlessen fox-it wil zo veel mogelijk mensen vertellen hoe security werkt. Als commercieel bedrijf deelt het informatie en advies met klanten, biedt trainingen aan, en sponsort bijvoorbeeld een leslokaal in hackerspace Hack42 en programmeerwedstrijden. Daarnaast vinden Foxers dat zij een bredere maatschappelijke taak hebben. Hans: ‘We geven presentaties, gastcolleges of werken mee aan items in de media. Onze slogan For a more secure society leeft écht bij Foxers.’ Medewerkers van fox-it geven gastcolleges aan zo’n twintig verschillende mbo’s, hbo’s en universiteiten. Ook geven ze graag uitleg aan mensen die wel met security te maken hebben maar zich niet bezighouden met de techniek, zoals juristen, webredacteuren en informatiespecialisten. Cybersecurity wordt vaak meer als een belemmering dan noodzaak gezien. ‘Maar cybersecurity gaat iedereen aan die een computer of smartphone heeft’, zegt Hans. ‘Daarom geven we zelfs les aan kinderen. Wij vinden dat je niet vroeg genoeg kunt beginnen dat duidelijk te maken.’
De meeste incidenten zijn eigenlijk heel simpele hacks
wat ga je toevoegen aan fox-it? ‘Mijn uitdaging is te helpen bij de verdere uitbouw van het bedrijf. Snelle groei creëert nu eenmaal problemen: hoe kom je aan mensen, hoe bewaak je de kwaliteit, hoe richt je de organisatie in, hoe financier je het? Ik ga helpen dat te managen, met aandacht voor vooral het financiële deel. We gaan ook een strategie opzetten: welke producten en diensten, in welke landen? Welke stappen willen we de komende jaren zetten? Duidelijke keuzes maken, niet zomaar groeien. Dat geeft je ook een helder verhaal naar klanten en medewerkers.’
14 | fox files #1 2013
fox files #1 2013 | 15
actueel praktijk
jong geleerd In samenwerking met pedagogisch centrum ‘Basis in Perspectief’ verzorgde fox-it bij centrum KidzTower in Nieuwegein een thema-week voor kinderen met een hoge intelligentie. Onderwerp: forensisch onderzoek. Een Foxer gaf les aan een groep zes- tot negenjarigen. Spelenderwijs legde hij uit welke soorten forensisch onderzoek zij op hun computer kunnen doen en waarom het belangrijk is dat ze dat op de juiste manier doen. De kinderen gingen enthousiast aan de slag, haalden computers uit elkaar en maakten forensische images van harddisks.
opleiden voor een veiligere samenleving ‘Met meer cyberopgeleide mensen wordt de samenleving veiliger’, legt Hans uit. ‘Dat is nodig want cybercrime groeit en zal dat de komende tijd blijven doen. Niet alleen
interview
is kennis de sleutel om je zelf te beschermen, ook zal de vraag naar securityexperts blijven toenemen.’ Helaas laten trendonderzoeken zien dat ook het tekort aan IT-personeel de komende tijd alleen maar toeneemt. Des te meer reden om kennis over cybersecurity voor iedereen toegankelijk te maken.
stage en promotie Een aspect dat bijdraagt aan een veiliger digitale samenleving is academisch onderzoek. Cybersecurity is een relatief nieuw onderzoeksveld in de wetenschap. Daarnaast ontwikkelt de ICT zich razendsnel met nieuwe technieken en diensten. Het is daarom moeilijk voor wetenschappers om goed en bruikbaar onderzoek te doen. Hoe meer kennis zij opdoen in de praktijk, hoe meer dat bijdraagt aan wetenschappelijk cyberonderzoek. Hans: ‘Daarom werkt fox-it samen met hogescholen, universitei-
ten en andere onderzoeksinstellingen en stellen we continu meerdere promotie- en stageplaatsen beschikbaar.’ Frank Uijtewaal, derdejaars hbo’er Security Technology aan de Hogeschool van Utrecht, is net klaar met zijn stage bij fox-it: ‘Door mijn stage weet ik nu beter wat ik na mijn huidige studie wil doen, namelijk een master Computer Science. Mijn interesse in de ICT Security is absoluut gegroeid.’
Kolonel Hans Folmer, commandant Taskforce Cyber:
Met cyber win je geen oorlog, wel een slag
Heb je een leuk idee om kennis over cybersecurity onder de aandacht te brengen en kan fox-it hierbij helpen? Neem gerust contact met ons op via
[email protected]
Er is nog geen echte cyberwar
Op internet staan talloze security tutorials en challenges. Een selectie vind je bij de online versie van dit artikel onder Nieuws op fox-it.com
Cybersecurity gaat iedereen aan met een computer of smartphone
Het is niet de massa die de kwaliteit maakt Defensie komt alleen in actie met een mandaat van onze regering
De activiteiten van Defensie in de cyberwereld kennen veel parallellen met die in de conventionele wereld. Net als wapens of inlichtingen is ‘cyber’ een van de instrumenten voor een commandant, zegt kolonel Hans Folmer van de Taskforce Cyber. Ronald Prins spreekt met hem over de cyberstrategie van Defensie.
16 | fox files #1 2013
fox files #1 2013 | 17
interview
interview
Ronald: Defensie schreef een cyberstrategie (zie kader, red). Aan jou en jouw Taskforce de taak om die in te vullen. Met welke activiteiten ben je bezig? Hans: Onze activiteiten richten zich grofweg op drie dingen. Allereerst een defensieve capaciteit tegen cyberaanvallen. Dat doen we door het inrichten van het DefCERT (Defensie Computer Emergency Response Team). Ten tweede op het verzamelen van inlichtingen. Dat is het terrein van de MIVD (Militaire Inlichtingen- en Veiligheidsdienst). Cyber is een van de bronnen die we gebruiken om informatie te verzamelen. Ten derde richten onze activiteiten zich op operationele slagkracht. Daarin onderscheidt Nederland zich. Want wij vinden dat cyber ook een offensief instrument moet zijn in de gereedschapskist van een commandant. Net zoals wapens, inlichtingen en verdediging. Per keer kijk je welk effect je wilt bereiken en welke instrumenten je daarvoor inzet.
Verandert cyber de systematiek van oorlogvoering?
18 | fox files #1 2013
Hans: Bij de Operation Allied Force tegen Servië en bij de invasie van de VS in Irak zijn energiecentrales uitgeschakeld door er netten van koolstofvezels over te gooien. Dat betekende wel een kostbare herbouw. Stel dat je nu die centrales kunt uitschakelen via cyber, dan scheelt dat enorm in de wederopbouw van een land. Dan bereik je écht wat. Dat geldt ook voor het uitschakelen van bijvoorbeeld radarsystemen of luchtverdedigingssystemen. Je kunt al heel veel bereiken als bijvoorbeeld de metertjes bij een tegenstander wat anders aangeven dan de werkelijkheid.
systemen manipuleren of uitschakelen
Hans: In Afghanistan vochten we tegen tegenstanders die technologisch minder krachtig waren. Wel gebruikten zij gsm, e-mail en zaten ze in internetcafés. Die communicatie hadden we kunnen monitoren, misschien wel kunnen omleiden. Bij meer technologische tegenstanders kun je overwegen om hun informatiesystemen te verstoren, de toegang tot hun technische systemen te blokkeren of ze zelfs te vernietigen. Een ander voorbeeld is de antipiraterij. Daar wordt onderhandeld over losgeld. Met cyber kun je meer over die communicatie ontdekken en wellicht manipuleren. Je kunt bijvoorbeeld een gemanipuleerde boodschap overbrengen dat het losgeld is betaald, terwijl dat in het echt niet is gebeurd.
Ronald: Je deed in het verleden mee aan Nederlandse missies. Heb je een voorbeeld van een situatie waarin cyber een goed instrument had kunnen zijn?
Ronald: Voorzie je scenario’s waar cyber wordt ingezet tegen civiele doelen?
Hans: Dat is altijd het doel. Met cyber kun je dat in theorie nog beter bereiken. Ik zeg bewust ‘in theorie’, want bijvoorbeeld het verspreiden van virussen is iets dat nog vrij ongecontroleerd gebeurt. Dan heb je dus ook geen goede controle over de effecten.
Een commandant moet in zijn planning om een doel te bereiken ook cyber kunnen meenemen. Hij moet daarover adviezen krijgen van een specialist en vervolgens zijn instrumenten kiezen. Zet hij special forces in, F16’s of cyber? Ronald: Cyber is altijd ondersteunend aan andere activiteiten? Hans: Ja, het is een instrument voor de commandant. Met cyber win je geen oorlog, wel een slag.
Ronald: Betekent dit dat gevechten schoner worden?
Nee, niet echt. In cyber zijn er wel grenzen, maar we zijn allemaal elkaars buren
fox files #1 2013 | 19
interview
Ronald: Is dat je angst? Stuxnet is ook gevonden bij een Japanse kerncentrale en zelfs in Nederland. Hans: Het is mooi als je via cyber de radarsystemen van je opponent weet uit te schakelen, maar wat als je tegelijkertijd die van je partners uitschakelt? Ronald: Zijn dat niet nog de kinderziektes van een cyberwar? Hans: Jazeker. We staan nog erg aan het begin. We kruipen nog, moeten leren opstaan, lopen en rennen. En zullen nog vaak vallen. Het zal organisch moeten groeien.
oorlog verklaren via twitter Ronald: Er zijn dus veel parallellen te trekken tussen een klassieke Defensie en cyber. Maar op de klassieke manier kun je leren van de acties van je tegenstander, kun je zelf oefeningen opzetten. In cyber niet. Hoe bereid je je voor op een tegenstander die je nog niet kent? Stel, je hebt een missie, en ergens op een zolderkamer zit iemand die de missie wil verstoren, of juist helpen. Dat verandert toch de hele systematiek van oorlogvoering? Hans: Nee, niet echt. Ook nu al kan elke idioot zich mengen in een conflict. We kunnen nu ook al terroristen in Nederland hebben? Datzelfde gebeurt in cyber. In cyber zijn er wel grenzen, maar we zijn
interview
allemaal elkaars buren: je weet niet waar ter wereld de persoon zit die zich ermee gaat bemoeien, maar in cyber is het altijd je buurman. En hij kan binnen een milliseconde een actie uitvoeren. Onze tegenstanders kunnen staten zijn, of groepen, of individuen. Zoals Anonymus tegen Israël. Ronald: Hoe ver reikt je operationele terrein? Komt Defensie in actie als er een vreemd bericht op nu.nl verschijnt? Hans: Dat is een goede vraag. Defensie zal niet in actie komen bij een berichtje op nu.nl of als er een website gehackt wordt. Wel als er een statelijke actor schade aanricht die vergelijkbaar is met een conventionele aanval. En dan nog alleen met een mandaat van onze regering. Maar wat is cyber? Het over en weer beïnvloeden van je omgeving? Bij het Gaza-conflict heeft de IDF (Israeli Defense Forces, red.) Twitteren webberichten de wereld in gestuurd, bijvoorbeeld dat een Hamasleider dood was. Zelfs de oorlogsverklaring is via Twitter gegaan. Dat was een informatieoperatie, geen cyberoperatie. Daarna waren er DDoS-aanvallen over en weer, dat was wel cyber. En als Hamas dat had gedaan, dan was het een cyberwar geworden. Nu was niet bekend wie de aanvallen deed. Toch, er is nog geen echte cyberwar aan de gang. Het is nu vooral intelligence en spionage. En dat is van alle tijden. Maar het kan wel zomaar gebeuren. Ook nu we met onze Patriots weer naar Turkije gaan. Stel dat Syrië een DDoS-aanval op Nederland richt, dan is het cyberwar, want dan is er een statelijke actor in het spel.
offensieve wapens Ronald: Hoe maak je als Defensie plannen rond offensieve cyberinstrumenten als je nog niet weet hoe die eruit zien, wat ze moeten kunnen doen? Hans: Heel rudimentair: neem het op in je operationele planning. Zoek uit wat de wapens van je tegenstander zijn. Hoe gebruikt die cyber, welke capaciteit kan die tegen mij inzetten?
20 | fox files #1 2013
Ronald: Hoe oefen je daarin? Hans: We kunnen wel voorbereidingen treffen en oefenen, net zoals met conventionele defensie-eenheden. Het is alleen lastig in te schatten of je een cyberwapen slechts eenmalig kunt inzetten of vaker. En hoe effectief is een cyberwapen? Wil je zoiets als Stuxnet effectief maken, dan moet je eerst thuis het hele systeem nabouwen en oefenen. Dat kost tijd en geld. Daarom focussen we ons momenteel vooral op de defensieve aspecten van cyber en op inlichtingen. Vervolgens gaan we daarvan leren, en met die kennis kunnen we gaan bouwen. Ronald: De Nederlandse politie is begonnen te opereren in cyber. Pas later is er een huis omheen gezet, en is de wetgeving aangepast. Hoe kan Defensie dat doen? De politie oefende en leerde dus in het echt.
defensie cyber strategie Defensie presenteerde in 2012 haar Defensie Cyber Strategie. Deze visie geeft aan hoe Nederland haar digitale weerbaarheid versterkt en het militaire vermogen ontwikkelt om cyberoperaties uit te voeren. De Defensie Cyber Strategie heeft zes speerpunten: 1. Totstandkoming van een integrale aanpak. 2. Versterken van de digitale weerbaarheid. 3. Ontwikkeling van het militaire vermogen om cyberoperaties uit te voeren. 4. Versterken van de inlichtingenpositie in het digitale domein. 5. Versterken van de kennispositie en van het innovatieve vermogen van Defensie in het digitale domein. 6. Intensivering van nationale en internationale samenwerking.
Hans: Tja, dat kunnen wij niet. Wij moeten een lab bouwen, daar slimme mensen in zetten en tegen hen zeggen: ga maar aan de slag! Verder maken we vooral gebruik van de kennis en capaciteit van de MIVD. We nemen cyber mee in het commandoproces, we adviseren commandanten wat ze in cyber kunnen doen en bereiken.
Ze heeft ook de aftrap voor de awarenesscampagne gedaan. Het is essentieel dat onze topmensen ervaring hebben met de digitale wereld.
cybersoldaten
Hans: Ik schat in dat Nederland iets achterloopt op de grote landen zoals de VS, Rusland, Duitsland en Engeland. We lopen gelijk op met onze buurlanden en voorop ten opzichte van het merendeel van de Westerse landen. Andere landen investeren ook in cyber, maar niet iedereen is er open over. Cyber is nog nieuw, onbekend en eng. Het zit dicht tegen inlichtingen aan, daarom ligt het erg gevoelig. Wil je bijvoorbeeld je cybercapaciteiten aan anderen laten zien? Of juist niet?
Ronald: Defensie moet zwaar bezuinigen. Kun je artilleristen inzetten als cybersoldaten? Hans: Ik vis in de vijver van mensen die bij Defensie werken en waarvan een gedeelte de organisatie moet verlaten. Daar zitten mensen tussen die we zeker kunnen gebruiken. Van hoogopgeleiden tot uitvoerders en adviseurs. Geschikte Defensiemensen moeten we opleiden, wellicht bij private partijen detacheren en ze later terughalen. Ook moeten we mensen in de vrije markt zien te vinden. In totaal willen we er bij Defensie ongeveer tweehonderd cyberspecialisten bij hebben. Het is dus niet de massa die de kwaliteit maakt. In elk geval zullen we geen eigen legereenheid oprichten. Nee, iedereen in de organisatie heeft al een verantwoordelijkheid en krijgt er het stukje cyber bij. De coördinatie ligt dan bij een cybercommandant. Ronald: Mijn angst is dat de oude structuren en denkwijzen te conventioneel zijn. Cyber vraagt toch meer om een incidentorganisatie? Hans: De eerste stap is awareness creëren bij iedereen binnen Defensie. 95% van de incidenten ontstaat door onwetendheid. We geven trainingen en gebruiken een simulatietool. Die opent vaak echt de ogen. Zo trainen we onze toekomstige militaire leiders en maken we ze cyberbewust. Dat is wel pionieren, en dat kost moeite. Zeker bij Defensie, zeker in tijden van krimp. Zonder de support van minister Hillen waren we nog niet zo ver geweest. En het is fijn dat de nieuwe minister HennisPlasschaert veel affiniteit met cyber heeft.
klein maar slim land Ronald: Wat doen de landen om ons heen, waar staan we als Nederland?
Ronald: Vroeger liet de USSR met een militaire parade op het Rode Plein haar spierballen zien. Van die raketten wist je niet of ze echt waren. Stuxnet was knap gemaakt, maar de verspreiding was knullig. Je vraagt je af of dat wellicht met opzet is gedaan. Hans: Dat is een interessante vraag. Op conventioneel gebied hebben we afspraken over bewapeningen en controleren we elkaar. Gaan we nu ook zerodays tellen? Dat zal niet zo snel gebeuren, verwacht ik.
cyberkolonel hans folmer Hans Folmer is commandant Taskforce Cyber bij de Defensiestaf. Hij is belast met de implementatie van het cyberprogramma binnen de krijgsmacht. Sinds zijn benoeming tot officier in 1986 vervulde hij zowel operationele als technische functies in binnen- en buitenland. Als hoofd afdeling Gemeenschappelijke Behoeften was hij belast met de (operationele) behoeftestelling van commandovoerings-, communicatie-, informatie-, inlichtingen- en verkenningssystemen (C4I). Als hoofd van het EU operatiecentrum in Brussel monitorde hij alle EU missies en leidde hij de gemeenschappelijke EU missies in Darfur. Van 2004 tot 2007 was hij commandant van het binationale CIS Battalion 1 (GE/NL) Corps, dat het hoofdkwartier en alle eenheden voorziet van mobiele (satelliet)verbindingen, netwerken en ICT-middelen. Ook was hij senior projectmanager bij de Directie Materieel en hoofd logistiek bij 1 Divisie. Hans Folmer is afgestudeerd aan het US Army War College (2010, Master in Strategic Studies) en de Technische Universiteit Delft (1995, Electrotechniek).
Ronald: We werken als Nederland internationaal samen aan missies, bijvoorbeeld met de inzet van onze Patriots. Kunnen we als klein maar slim land in cyber voorop lopen? Kan dat onze niche in Defensie zijn? Hans: In onze cyberstrategie hebben we meegewogen dat cyber een specialiteit kan zijn waarin Nederland zich kan onderscheiden. Binnen de NATO zijn wij ook voortrekker om cyber geaccepteerd te krijgen als operationele capaciteit. NATO richt zich vooralsnog vooral op de defensieve kanten. Onze visie is anders, dat proberen we over te dragen.
fox files #1 2013 | 21
praktijk actueel
praktijk actueel
Na een cyberaanval
de 5 fasen van rouw Het is een ramp waarvan je hoopt dat die je nooit overkomt en waar je in het openbaar liever niet over praat: slachtoffer zijn van cybercrime als fraude, bedrijfsspionage, phishing of hacking. Wat blijkt? De reactie van getroffen organisaties past prima in het bekende model van ‘vijf fasen van rouw’.
22 | fox files #1 2013
1. ontkenning
2. boosheid
3. onderhandelen
Dit moet een fout zijn. Dit kan ons toch niet overkomen?
Hoe heeft dit kunnen gebeuren? Wiens fout is dit?
Ik heb er alles voor over om herhaling te voorkomen.
Het is makkelijk om de feiten te ontkennen, of deze te bagatelliseren. Voor de meeste mensen is de eerste fase, die van ontkenning, gelukkig van voorbijgaande aard. Het is dan ook een natuurlijke reactie om een onwenselijke situatie eerst te negeren. Echter, bij cybercrime kan deze vertraging aardig kostbaar worden. Uit onderzoek van het Ponemon Instituut (USA) blijkt dat Amerikaanse bedrijven in 2012 gemiddeld 24 dagen nodig hadden om een geval van cybercrime op te lossen. Gemiddeld liep de financiële schade daarbij op tot 436.865 euro per incident. In Duitsland kwamen deze gemiddelden uit op 22 dagen respectievelijk 294.829 euro; Engeland deed het iets beter met 24 dagen en gemiddelde kosten van 157.403 euro.
Als organisaties zich realiseren dat ontkennen geen zin heeft, begint de tweede fase. Iemand moet verantwoordelijk zijn, de schuld krijgen. En het probleem moet snel worden opgelost.
Om de financiële schade te beperken, is het cruciaal dat de fase van ontkenning snel voorbij gaat. Maar blijf ook niet hangen in de tweede fase…
Is eenmaal de veiligheid in het geding, dan kunnen de emoties hoog oplopen. Mensen kunnen hun boosheid op verschillende manieren uiten – door boos te zijn op zichzelf, op hun naaste collega’s, of op degene die bijvoorbeeld een phishing-mailtje opende. Onterecht, want cybercriminelen kunnen behoorlijk vasthoudend zijn. Een publicatie van Cisco Systems ‘Email Attacks: This Time It’s Personal’ meldt dat zogeheten ‘spear phishing’, als onderdeel van een grote aanval, kan rekenen op een open-ratio van zeventig procent. Omdat de mails lijken te komen van een betrouwbare bron, zijn ontvangers tien keer vaker geneigd op een link te klikken. Bovendien lost het beantwoorden van de schuldvraag een crisis niet op. Natuurlijk is het belangrijk om te weten welke fouten er zijn gemaakt, maar maatregelen om een toekomstige cyberaanval te voorkomen, moeten prioriteit krijgen. Een IT-manager doet er dan ook verstandig aan om zich niet te laten leiden door zijn emoties, zeker in de volgende fase…
In de derde fase is er binnen de organisatie nog hoop dat de situatie wel overwaait door te onderhandelen. Meestal ontstaan er onderhandelingen met een grotere macht, zoals een leidinggevende, om de situatie aan te pakken in ruil voor veranderingen. Er zijn nogal wat organisaties die na een incident het risico willen verlagen door zowel voor gebruikers als voor systemen een streng veiligheidsbeleid in te voeren. Zo’n oplossing is in de praktijk meestal niet bevorderlijk voor de bedrijfsvoering. Hoewel het altijd goed is om kritisch na te denken over een onderwerp als veiligheid, is het belangrijk om geen overhaaste beslissingen te nemen. Wie de tijd neemt om hier rustig over na te denken, belandt al snel in de vierde fase…
fox files #1 2013 | 23
actueel
opinie
de dilemma’s van
responsible disclosure 4. depressie
5. acceptatie
Ik kan er niet meer tegen! Overleeft onze organisatie dit wel?
Het komt allemaal goed.
Veel is er niet voor nodig om gedurende het rouwproces wanhopig te worden, of het gevoel te krijgen dat een probleem onoplosbaar is en nooit meer verdwijnt. Erger is nog dat deze gevoelens leiden tot lethargie. Zit niet bij de pakken neer! Er moet actie worden ondernomen, en er is altijd een oplossing. Te midden van de chaos die een beveiligingslek met zich meebrengt, is het belangrijk de rust en het overzicht te bewaren. Dan verdwijnt snel het gevoel van machteloosheid dat je kunt krijgen van onzichtbare en anonieme indringers. Raadpleeg deskundigen en ervaren professionals, bijvoorbeeld de FoxCERT-experts van fox-it. Zij zijn altijd telefonisch bereikbaar, 24/7 beschikbaar en ze staan je met raad en daad terzijde. Na een eerste beoordeling van het probleem krijg je snel een advies om het een en ander op te lossen. Vervolgens kun je samen met een multidisciplinair team werken aan een definitieve oplossing. Dat gebeurt bij voorkeur op locatie, maar er zijn ook uitstekende remote oplossingen. In de eerste analyse is het goed om de feiten van de aannames te scheiden en de prioriteiten van de organisatie voorop te stellen. De adviezen van fox-it zijn daarop afgestemd, evenals de middelen om een crisis aan te pakken. Een nauwe samenwerking en directe communicatielijnen met de belangrijkste beslissers zorgen ervoor dat iedereen zo goed mogelijk opereert. Stel het management én het team voortdurend op de hoogte van de voortgang en mogelijkheden om het incident op te lossen.
Het vertrouwen is terug, en daarmee ook de daadkracht om de situatie onder controle te krijgen en de juiste beslissingen te nemen voor de toekomst. Natuurlijk is dit artikel met een knipoog geschreven. Toch zijn de beschreven reacties op een cybersecurity incident zeer menselijk en zeker niet ongewoon. Na van de eerste schrik te zijn bekomen, heeft FoxCERT de kennis en ervaring om organisaties snel en soepel te begeleiden van de fase van ontkenning naar acceptatie. Vertraging van bedrijfsactiviteiten en financiële schades blijven daarmee tot een minimum beperkt.
wat kan foxcert doen bij een cybercrisis? enkele voorbeelden: Complex business recovery. Bij sommige incidenten, zoals een DDoS-aanval of een gecoördineerde aanval op servers, is het belangrijk dat zo snel mogelijk vervangende communicatie in de lucht komt. Samen met FoxCERT-experts herstel je de bedrijfsactiviteiten zo snel en verantwoord mogelijk. Emergency security monitoring. Is het incident voorbij? Was dit het enige, of waren er nog andere incidenten? Door de specialisten van FoxCERT intelligente sensoren in een netwerk te laten plaatsen en deze ook te laten monitoren, kan het veiligheidsteam een organisatie behoeden voor een herhaling van de aanvallen.
Hiermee maak je de stap naar de vijfde en laatste fase.
Te midden van de chaos die een beveiligingslek met zich meebrengt, is het belangrijk de rust en het overzicht te bewaren
24 | fox files #1 2013
Veiligstellen van digitale bewijsvoering. De forensisch experts van FoxCERT onderzoeken systemen op sporen van digitaal bewijs, om deze vervolgens op een juridisch juiste manier te rapporteren en veilig te stellen. Ook in een eventuele rechtszaak kunnen zij optreden als forensisch expert. Andere diensten van FoxCERT zijn digitaal forensisch onderzoek, security monitoring, een grondige penetratietest, PR-advies, crisismanagement en contact met politie en justitie. Op die manier kom je exact te weten wat het incident is en hoe je het oplost, hoe het is ontstaan en vooral wat je kunt doen om herhaling te voorkomen.
Zolang er complexe IT-systemen zijn, zijn er kwetsbaarheden. En zolang er hackers zijn, zullen zij kwetsbaarheden vinden. Wat doet een hacker dan? Publiekelijk waarschuwen? Of beter eerst de verantwoordelijke informeren zodat die het probleem kan oplossen? Responsible disclosure kent vele dilemma’s. In de hackergemeenschap bestaat sinds jaar en dag een mooie cultuur: zie je een veiligheidsprobleem, dan wijs je de systeemeigenaar erop zodat die het kan verhelpen. Een aardigheidje, dat stuk voor stuk het veiligheidsniveau verbetert. Echter, bij hackers en verantwoordelijke personen in bedrijven heb je verschillende karakters - the good, the bad and the indifferent. Aan beide kanten gaat niet iedereen even fatsoenlijk met een melding om, vaak ook omdat eigen belangen zwaarder wegen dan het oplossen van het veiligheidsprobleem. Voor de hacker is de wet de grootste bedreiging - ben je in een systeem waar je niet hoort te zijn, dan ben je strafbaar - en voor een bedrijf is het een ‘veroordeling’ in de media. Hoe gedragen goedwillende hackers en het gehackte bedrijf zich verantwoord in deze ingewikkelde situatie? Responsible (of: coordinated) disclosure gaat om de keuze tussen een lek openbaar aan de kaak stellen - door het aan de media te
melden of gegevens op internet te zetten - of eerst de verantwoordelijke organisatie op de hoogte te brengen, en die zo de mogelijkheid te geven het probleem op te lossen nog voordat er schade is. Het is een balans die veel vragen oproept.
zelfbescherming Wat zijn realistische tijdslijnen voor disclosure? Hoe moet een hacker omgaan met zeer ernstige kwetsbaarheden waarbij het publiek zo snel mogelijk geïnformeerd moet worden om zichzelf te beschermen? Enerzijds zijn de belangen groot bij relatief eenvoudig toegankelijke patiëntendossiers of controlesystemen. Responsible disclosure kan dan de beveiliging van deze systemen verbeteren. Anderzijds betekent een volledige scan van de omgeving of het exploiteren van kwetsbaarheden in veel gevallen dat je de wet overtreedt.
of de overheid. Of als ze ideologisch gemotiveerd zijn, waarbij gehackte bedrijven als bewijs worden opgevoerd dat er structureel iets mis is – een soort bewuste collateral damage ten behoeve van een hoger doel. Met het lukraak scannen van organisaties om IT-lekken te vinden en die vervolgens publiek te maken, helpen hackers de maatschappij niet, vindt Steffen Morrees, manager Forensic R&D bij fox-it. Dat veel organisaties lek zijn, is geen nieuws. Beter is het dat we samen onze energie steken in dialoog.
maatschappelijk hacken Hackers die vinden dat hun meldingen te vaak onbeantwoord blijven of bang zijn dat er aangifte tegen hen wordt gedaan, kiezen er sneller voor om direct naar de media te stappen met hun ontdekking. Zo wordt de oorspronkelijk ‘ethische hacker’ die met goede intenties ging hacken, onethisch doordat hij een organisatie geen kans geeft het gevonden probleem op te lossen. Hackers doen dit vooral bij gebrek aan vertrouwen in een bedrijf
Het vertrouwen tussen bedrijven en hackers verbetert alleen als beide partijen weten waar ze aan toe zijn fox files #1 2013 | 25
actueel
actueel
Responsible disclosure gaat om de keuze tussen een lek openbaar aan de kaak stellen of eerst de verantwoordelijke organisatie op de hoogte brengen
Responsible disclosure doelt er vooral op dat het vertrouwen tussen de hacker en het bedrijf groter wordt. Dit gebeurt door afspraken te maken over welk gedrag van een hacker verwacht wordt en welk gedrag het bedrijf aan de melder garandeert. Een eigen responsible disclosure-beleid op de website publiceren, vereist bedrijfsintern zorgvuldige overwegingen. Kan een bedrijf daadwerkelijk beloven geen aangifte te doen bij een melding? Indien soortgelijke
Voor een organisatie is de impact van een lek dat via de media bekend wordt, enorm beloftes achteraf verbroken worden, is het idee van een responsible disclosure-beleid niets meer waard: het vertrouwen verbetert alleen als beide kanten zich écht aan de afspraken houden.
26 | fox files #1 2013
Voor een organisatie is de impact van een lek dat via de media bekend wordt, enorm. De digitale firefighters van het FoxCERTteam maken dit van dichtbij mee, zij hebben er mensen letterlijk ziek van zien worden. Plotseling heeft een organisatie niet alleen een beveiligingsincident, maar ook een crisis. fox-it raadt dan altijd aan om het probleem te erkennen, het op te lossen en open te communiceren met belanghebbenden. Een organisatie die via de media geconfronteerd wordt met een lek in haar systeem, moet heel snel inzicht krijgen in haar zwakke plekken. Want media-aandacht betekent ook aandacht voor de infrastructuur. Zo’n crisis kost een organisatie al snel tienduizenden euro’s. Steffen: ‘Het is zeker onacceptabel dat (gevoelige) informatie niet goed wordt beschermd. Maar een directe stap naar de media staat niet altijd in verhouding tot de schade voor de eigenaar van het systeem. Een hacker kan ook anoniem een lek melden bij angst voor
aangifte. Als de betreffende organisatie de melding niet serieus neemt, kan hij altijd nog naar de media stappen.’
geen wet, wel richtlijnen Als een hacker een kwetsbaarheid vindt bij een online dienst of infrastructuur, heeft hij mogelijk een probleem. Hij weet niet hoe de organisatie gaat reageren, ongeacht of hij actief zocht, of dat hij toevallig op een probleem stuitte. Daarom zou het handig zijn als een ethische hacker vooraf weet hoe een organisatie reageert bij een hack. Het Nationaal Cyber Security Centrum (NCSC) dacht over die mogelijkheid na en gaf een leidraad uit voor bedrijven en hackers. Dit zijn richtlijnen die bepalen wat een verantwoorde manier is om kwetsbaarheden te vinden, te melden en op te lossen. Deze ‘Leidraad om te komen tot een praktijk van Responsible Disclosure’ betreft zowel disclosure op het vlak van software en hardware, als de in dit artikel besproken
online diensten en infrastructuur. De richtlijnen zijn overigens niet meer dan suggesties hoe hackers en bedrijven dit samen kunnen oplossen. Het is geen wet of algemeen beleid. Het is ‘slechts’ een document waarin staat hoe bedrijven zouden kunnen omgaan met meldingen, zodat hackers weten waar ze aan toe zijn.
bewijs meesturen. Gebeurt er dan nog niks? Dan zou hij het NCSC kunnen berichten (al dan niet anoniem), naar een onafhankelijk hackmeldpunt (zonder garantie op een veilig systeem) kunnen stappen of naar de media kunnen gaan. Hoe dan ook blijft hij aansprakelijk voor zijn actie en kan aangifte tegen hem worden gedaan.
toeval of gerichte actie?
ongevraagde scans
De huidige situatie voor het melden van kwetsbaarheden in online diensten en infrastructuren ziet er als volgt uit. Als een hacker een kwetsbaarheid meldt bij een organisatie, maakt het uit of hij er toevallig tegenaan liep of actief op zoek ging. Bovendien hangt het ervan af of de betreffende organisatie een beleid heeft gepubliceerd of niet. Een organisatie met een beleid heeft in ieder geval actief over beveiliging nagedacht en zal de melding van de hacker dan ook waarschijnlijk serieus nemen. Bij geen reactie (of ontkenning) kan de hacker een
‘Zelfs als elke organisatie in Nederland een beleid publiceert over disclosure, dan nog zijn we er niet’, aldus Morrees. ‘Ongevraagd scans uitvoeren blijft problematisch. En laten we eerlijk zijn: ook zonder die scans weten we dat het gemiddelde niveau van informatiebeveiliging in Nederland veel te laag is. We zien nog te vaak Clear Text wachtwoorden, SQL-injection en ongepatchte systemen. Dat is voor ons allemaal een probleem, ook als burger, omdat de maatschappelijke kosten van cybercrime de komende jaren alleen maar verder stijgen.’
boetes en prikkels Feit is dat informatiebeveiliging voor individuele organisaties een dure aangelegenheid is en vaak maar weinig (op korte termijn) oplevert. Extra externe prikkels zijn dan nodig, bijvoorbeeld boetes of sancties voor bedrijven die persoonsgegevens onvoldoende beveiligen. ‘Bedrijven kunnen natuurlijk ook het goede voorbeeld geven en een laagdrempelig responsible disclosure beleid opstellen’, stelt jurist Jan Jaap Oerlemans. Beide aansporingen kunnen bijdragen aan een betere informatiebeveiliging. Hoe meer gepubliceerde disclosure policies, hoe meer bedrijven zich van security bewust zijn en hoe meer duidelijkheid voor hackers met goede bedoelingen. En in 2015 is de EU van plan een extra stok achter de deur te zetten van alle gegevensverwerkers, om het belang van beveiliging in te zien. Tekst Erik de Jong, Lead Expert Cybercrime bij fox-it
fox files #1 2013 | 27
Bits red october op mobieltjes Kaspersky Lab publiceerde in januari de ontdekking van het spionagevirus Red October (Rocra). Dit virus richtte zich op ambassades en wetenschappelijke onderzoeksorganisaties. Vijf jaar lang is informatie gestolen en zijn netwerken verkend. Via besmette computers heeft Red October ook smartphones geïnfecteerd, zoals Blackberry en Android. Onderzoek van Fox InTELL wees uit dat de geïnfecteerde mobiele smartphones zich in Amerika, Afrika, Azië en Europa bevonden.
training: digitaal materiaal in de opsporing Gegevensdragers zoals laptops of smartphones spelen een steeds belangrijkere rol in de opsporing. fox-it verzorgt op 22 en 23 april een speciale training voor tactisch rechercheurs over de juiste aanpak om het maximale uit digitaal onderzoek te halen.
trainingskalender 11 maart
DFO
06 maart
ROI basis
27 maart
iRN deel 1
03 april
ROI – Onderzoek in social media
08 april
Online Feitenonderzoek voor juristen
22 april
Digitaal materiaal in de opsporing
29 mei
iRN deel 2
03 juni
ROI basis
06 juni
ROI – Zoekstrategieën
25 juni
ROI – Onderzoek in social media
15-19 juli
Summer School 2013
26-30 aug
Summer School 2013
afkortingen iRN
Internet Recherche Netwerk
ROI
Rechercheren op Internet
DFO
Digitaal Forensisch Onderzoek
Meer info
fox-it.com/training
evenementen fox-it ontdekt nbc.com hack Op 21 februari ontdekte het Fox-IT Security Operations Centre (SOC) dat bezoekers van de website NBC.com met Citadel malware besmet raakten. Meteen werd NBC gewaarschuwd en kon de aanval stopgezet worden. Een kwaadaardige iframe verwees naar een exploit kit genaamd ‘RedKit’, dat zwakheden in Java en Adobe misbruikte om vervolgens Citadel op de computer van de gebruiker te laden. De Trojan was geconfigureerd om online banking transacties met tal van Amerikaanse banken te onderscheppen en geld van de gebruikers te stelen.
Ben je aanwezig op een van de volgende evenementen, kom dan gezellig bij onze stand langs. 21 maart E-discovery en bewijsbeslag, Amsterdam 21 maart
NextGEN SCADA, Amsterdam
23 april
InfoSecurity Europe 2013, Londen
14 mei
fox-it Crypto Klantendag, Den Haag
15-19 juli
Summer School 2013
31 juli OHM2013, Geestmerambacht bij Alkmaar (31 juli - 4 aug) 26-30 aug
Summer School 2013
Meer info
fox-it.com/events
crypto klantendag 2013
wegens succes geprolongeerd
Op 14 mei organiseert de afdeling Crypto van foxit voor haar klanten een informatieve themadag over ‘Crypto en gegevensbescherming: praktijk en visie’ in de Caballero Fabriek, Den Haag.
Na het succes in 2012 organiseert fox-it ook dit jaar weer een Summer School, deze keer in het teken van cybersecurity en incident response. Met een strippenkaart kies je workshops uit - één, meer of allemaal - om je kennis van tal van onderwerpen bij te spijkeren. Houd onze website fox-it.com in de gaten voor meer informatie.
Meer info en aanmelden fox-it.com