Cybersecurity: de strijd tegen de hackers
Het bedrijf Code Spaces leverde al zeven jaar source code en projectmanagementservices aan een groot aantal klanten. Opeens lukte het een hacker eigenaar te worden van hun Amazon Web Services control panel en konden ze niet meer bij hun data. Het bedrijf kreeg een boodschap van de hacker: tegen een zeer grote som geld konden zij de toegang weer terugkrijgen. Code Source probeerde intussen met man en macht de controle over hun eigen control panel terug te krijgen. Daarop vernietigde de hacker random alle toegang tot hun managementpanelen.
Na 12 uur was zoveel schade aangericht dat Code Spaces zijn klanten niet meer kon ondersteunen. Intussen is het bedrijf failliet. Na onderzoek bleek dat de data van het bedrijf grotendeels vernietigd was en dat de back-ups en machine configuraties beschadigd waren. Voor de goede orde: AWS zelf was niet gehackt en de database van Code Spaces was niet vernietigd, maar de hacker had een manier gevonden om toegang tot het control panel van het bedrijf te krijgen.
Medische hack
Vorige week werd bekend dat hackers – zo bleek nu pas – vorig jaar september toegang kregen tot 4,5 miljoen medische records van de California Medical Group UCLA. Wat allemaal gestolen is, is (nog) niet bekend, maar zeker is wel dat hackers de databases met namen, medische dossiers, burgerservicenummers, medicatie en testresultaten hebben kunnen binnendringen. Vorig jaar oktober werd al iets vreemds gesignaleerd, maar op 5 mei dit jaar werd pas duidelijk wat was gebeurd.
Samen met de FBI en security-bedrijven is UCLA nog steeds bezig te onderzoeken hoe dit kon gebeuren en wat precies is gestolen. Het probleem is dat het om ‘onveranderbare’ data gaat. Een gestolen creditcardnummer kan veranderd worden, maar een geboortedatum en burgerservicenummer niet. Een gestolen BSN of medisch dossier is ordes meer waard dan een gestolen creditcardnummer.
Intussen zijn alle getroffen patiënten geïnformeerd en wordt hen kosteloos identiteitsbescherming geboden, naast een fraudeverzekering met een dekking van 1 miljoen dollar per patiënt.
Investeren in veiligheid
Bovengenoemde gevallen staan niet alleen. We verliezen langzaam de strijd van de cyber hackers. Per jaar is de relatieve groei van geslaagde aanvallen groter en groter. De enige conclusie die we kunnen trekken is: we doen iets helemaal fout!
Onze wens om verder te digitaliseren en de voordelen van de cloud te gebruiken, lijkt groter dan het besef dit veilig te doen. Verzekeren kost geld en de kost gaat voor de baat uit: zolang het goed gaat, zijn we ons van weinig kwaad bewust. Terwijl er zoveel manieren zijn die hackers tegenwoordig hebben om ons digitaal in de weg te lopen.
Bij veiligheid is ‘voorkomen’ altijd de beste investering. Door van breedbandige netwerken gebruik te maken, wordt een DDOS aanval lastiger. Bij zo’n aanval wordt er zoveel verkeer naar één IP-adres gestuurd dat de toegangspoort in feite geblokkeerd wordt en er niet meer gecommuniceerd kan worden. Een logische volgende optie is het netwerk slim te bewaken: weten wie aan de deuren staan te rammelen en proberen binnen te komen. Zorg dat de routers goed zijn geprogrammeerd, dat er niet per ongeluk poorten openstaan en dat het netwerk op ongewenste data gescand wordt.
Software Defined Networking
Dit alles is bijna niet meer te doen zonder automatisering. Daarom is Software Defined Networking zo belangrijk: hiermee kan met software het onderliggende netwerk geconfigureerd, bewaakt en snel veranderd worden en kunnen besmette stukjes netwerk virtueel vernietigd worden. Net zoals Virtual Machines op ‘domme’ hardware prima beschermd kan worden met software, is dat ook voor virtuele stukjes netwerk mogelijk. Door microsegmentatie wordt een soort honingraat gecreëerd van vele kleine cellen. Alles overziende software creëert deze micronetwerkjes via deze ‘domme’ hardware, zodat het snel veranderbaar en steeds slechter inneembaar is voor aanvallers.
Size doesn’t matter
In een eveneens vorige week gepubliceerd onderzoek van RSA wordt geconcludeerd dat de grootte van een organisatie geen enkele indicatie is voor hoe goed men zich heeft beschermd tegen cyberaanvallen. In dit rapport, genaamd ‘Size doesn’t matter’, wordt die conclusie getrokken op basis van interviews met 400 security-professionals uit 61 landen over de volwassenheid van hun cybersecurity-programma. Deze volwassenheid werd afgezet tegen hetNIST Cybersecurity Framework (CSF) dat wereldwijd een geaccepteerde maatstaf is. Het geeft aanknopingspunten op het gebied van: Identify, Protect, Respond en Recover.
Maar liefst 75% van de betrokkenen professionals vindt de volwassenheid van zijn of haar organisatie op het gebied van security onvoldoende. Een triest resultaat. De achilleshiel van de meeste organisaties is het onvermogen om cyber-risico’s te meten en aanvallen af te weren. Veel organisaties zijn in feite een ‘sitting duck’ die zich makkelijk laten aanvallen en absoluut niet weten hoe zich te verweren. Tevens laten de professionals weten dat zij niet in staat zijn hun security-aandacht op de agenda van het bestuur of de directie te krijgen. Laat staan prioriteit in budgettering hiervoor te krijgen.
Incident Response Plan
Het minste wat een organisatie kan doen, is het instellen van een Incident Response Plan. Wat te doen als de infrastructuur is gehackt? Hoe te reageren naar personeel en klanten? En naar de pers? Wanneer is de dienstverlening weer op orde? De digitale wereld is in snel tempo onveiliger aan het worden en de hacker is heel dichtbij: in het eigen netwerk, de eigen organisatie, het eigen datacenter of de eigen cloud.
Een bedrijf bestaat uit drie onvervangbare bezittingen: mensen, merk en data. Raakt één van die drie gecompromitteerd, dan is het einde van het bedrijf meestal heel snel nabij. De cloud, digitalisering en sociale media geven ons ongelofelijk veel nieuwe mogelijkheden, maar we mogen onze grote kwetsbaarheid niet uit het oog verliezen.
Het lijkt erop dat we de afgelopen tien jaar te snel, te veel zijn gaan toepassen, zonder de minimale veiligheidsaanpassingen die daar bij horen. Helaas zal vaak de wal het schip keren, ondanks waarschuwingen vooraf. In Computable stond afgelopen week zelfs het trieste bericht dat bijna de helft van de werknemers bij organisaties met focus op vitale infrastructuursectoren denkt, dat de komende jaren dodelijke slachtoffers gaan vallen. Dit als gevolg van een cyberaanval die een deel van de kritieke infrastructuur plat legt. Ik denk dat het tijd is dat we de rode stormbal moeten hijsen.
Door: Hans Timmerman, cto EMC Nederland
