Weekly News

Bedrijven zijn zich niet bewust van hun kwetsbaarheid

Digitale veiligheid. Het zou topprioriteit moeten zijn voor bedrijven in de connected wereld van tegenwoordig, maar dat is het niet. Onbegrijpelijk voor Mischa Rick van Geelen: “Bedrijven hebben op zijn minst een morele verplichting om te weten welke risico’s ze lopen en om er zoveel mogelijk aan te doen om die risico’s te beperken.”

‘Met genoeg tijd en genoeg resources komt een hacker altijd binnen’

Hij is ethisch hacker, alhoewel hij dat zelf op Linkedin anders noemt: Forensisch Security Consultant. En dat is op zich niet zo gek, want hacken heeft, op zijn zachtst gezegd, niet echt een heel positief imago. Bij hacken denken we tegenwoordig vaak aan Russen die bedrijfs- of overheidsinformatie proberen te stelen, of verkiezingen proberen te beïnvloeden. We denken niet aan slimme ICT’ers die bedrijven en overheden juist proberen te beschermen tegen deze criminelen. Toch is dat wat Mischa Rick van Geelen doet. Al adviserend, al consulterend en al hackend. In nette bedrijfstermen noemen ze dat coordinated vulnerability disclosure. In normale mensentaal: digitale kwetsbaarheden opsporen en die dan netjes melden bij het bedrijf. Zodat bedrijven deze kwetsbaarheden kunnen verhelpen voordat hackers de boel overnemen. Klinkt als een must in het digitale tijdperk waarin we leven, maar “helaas leert de ervaring dat bedrijven er weinig mee bezig zijn.”

        

Bedrijven zijn er weinig mee bezig, terwijl we leven in, of op z’n minst op weg zijn naar, een connected society. Van koelkast tot prullenbak, van huis tot werk tot kroeg, alles is connected. Baart jou dat zorgen?

“Ja. Ik heb daar drie jaar geleden mijn zorgen al over geuit, en de situatie is er niet heel veel beter op geworden. We knopen alles vast aan Internet, maar er is geen regelgeving wat betreft digitale veiligheid. Fabrikanten hoeven er dus wettelijk gezien maar weinig aan te doen. Maar ondertussen zijn er al wel koelkasten en andere smarthome apparaten gehackt en zijn er via die apparaten DDoS-aanvallen uitgevoerd. Het klinkt misschien gek, maar als koelkasten niet meer geüpdate worden, zoals telefoons na een aantal jaar, dan vormen ze een enorm veiligheidsrisico. En dat geldt voor alle apparaten die connected zijn.”

 

Schets eens een beeld: wat kunnen hackers teweegbrengen? Is het apocalyptisch om een beeld in mijn hoofd te hebben dat hackers auto’s overnemen? Of vliegtuigen?

“Dat is niet apocalyptisch, dat is al gebeurd. Charlie Miller, een oud NSA-agent, heeft in 2014 via een entertainmentsysteem een Jeep Cherokee overgenomen. Remmen, optrekken, links afslaan, hij kon er alles mee doen wat hij wilde. Voertuigen opereren steeds meer onder het drive by wire-principe. Dus als de piloot in een vliegtuig aan het stuur trekt, dan vertelt de piloot eigenlijk aan een computer wat die moet doen. En fabrikanten doen hier nog maar weinig mee. Ik moet de eerste echte security audit in de auto-industrie die publiek wordt gemaakt nog zien. Ze zijn zich niet bewust van de kwetsbaarheid.”

 

Kan het nog erger?
“Het is nog erger. Er zijn ook wapens die door computers worden bestuurd. Zo kan de slechtste en meest onervaren schutter toch zijn doel raken. Maar dus ook een ander doel als de hacker dat wil. Zoals bijvoorbeeld het schot laten missen, of zelfs iemand die naast het doel loopt te laten raken in plaats van het doel zelf.”

 

Wie draagt de hoofdverantwoordelijkheid dat alles veilig gebeurt in een connected society? Of in ieder geval: zo veilig mogelijk?

“Daar kan ik twee antwoorden op geven: de overheid en de fabrikanten zelf. Mijn mening is dat die laatste, de fabrikanten, zelf verantwoordelijk zijn dat hun producten veilig op de markt komen. Helaas gebeurt dat niet, time to market is hier de reden voor. Ze willen hun product zo snel mogelijk op de markt brengen, ze willen niet achterlopen, dus besteden ze geen aandacht aan de veiligheid.”

Dan zie ik toch een rol voor de overheid.

“Natuurlijk. De overheid moet een heel duidelijke verplichting neerleggen voor veilige apparaten. Bijvoorbeeld dat apparaten met een admin/admin preset wachtwoord echt niet meer op de markt kunnen komen. Toch gebeurt dat nog wel. De overheid is ermee bezig, maar wetgeving ontwikkelen duurt lang. En ondertussen is die koelkast, die wel 15 jaar meegaat, niet beveiligd, want er zijn geen updates beschikbaar. Er zou een verplichting voor digitale ondersteuning, updates dus, moeten komen voor dit soort connected apparaten.” 

 

Vind jij dat bedrijven juridisch verantwoordelijk zijn voor de digitale veiligheid?

“Ze hebben op zijn minst een morele verplichting om te weten welke risico’s ze lopen en om er zoveel mogelijk aan te doen om die risico’s te beperken. Wat je wil is dat slecht beveiligde apparatuur van de markt gaat. Dat geldt voor apparaten zoals koelkasten maar ook systemen waarop gedraaid wordt. Ik vind dat je er als consument vanuit moet kunnen gaan dat een bedrijf verregaande maatregelen neemt.”

 

En gebeurt dat?

“Helaas leert de ervaring dat bedrijven er weinig mee bezig zijn. Na een schandaal worden ze even wakker, maar daarna is het weer stil, zakt het weg. Je kan 24/7 bezig zijn met digitale veiligheid, maar er zijn nog steeds bedrijven die er helemaal niks aan doen. Dan denk ik vooral aan het MKB. Daar zijn er vaak simpelweg geen financiële middelen voor. Of in ieder geval: die worden er niet voor vrijgemaakt.”

 

Dan zie ik weer een rol voor de overheid.

“Die rol nemen ze ook. Een voorbeeld daarvan is bijvoorbeeld dat men vanuit het Centrum voor Criminaliteitspreventie en Veiligheid actief bezig is met awareness sessies om ondernemers bewust te maken van de risico’s die ze lopen. En om ze bewust te maken van de maatregelen die ze kunnen nemen om dit risico te verlagen.”

 

Wat zijn maatregelen die bedrijven anno 2018 moeten nemen?

“Een CVD-beleid (coordinated vulnerability disclosure-beleid, red.) is een hele goede eerste stap, zeker als je als bedrijf compleet blind bent. Dat betekent dat je een beleid hebt waarbinnen hackers op zoek kunnen gaan naar kwetsbaarheden en ze die op een goede manier kunnen melden. De basisafspraak is dan: wij vervolgen jou niet als je je aan deze en deze regels houdt. Hacken is zo een perfecte tool om je kwetsbaarheid bloot te leggen.Verder moet de basis op orde zijn. Dat betekent dat nieuwe applicaties aan een gedegen security audit onderhevig worden. En dat applicaties aan de open standaarden van de ISSAF (Information Systems Security Assessment Framework) voldoen. En tenslotte moet er een duidelijke rechtenstructuurstatus zijn en moeten de systemen fatsoenlijk doorgetest zijn.”

 

En dan is het bedrijf veilig?

“Dan heeft het bedrijf er voldoende aan gedaan. Maar laten we helder zijn: met genoeg tijd en genoeg resources komt een hacker altijd binnen.”

Feit

Mischa Rick van Geelen is een ethisch hacker ofwel Forensisch Security Consultant. Dit betekent dat hij de digitale veiligheid test van bedrijven en eventuele onvolkomenheden, ofwel lekken, meldt bij het bedrijf. Heeft meegewerkt aan het nieuwe CVD-beleid, waarbinnen hackers volgens bepaalde afspraken bedrijven kunnen doorlichten en kwetsbaarheden kunnen melden, zonder daarvoor vervolgd te worden.

Delen

Journalist

Jerry Huinder

Related articles