‘Regel je beveiliging onafhankelijk van je technologie’

De ene mega-hack volgt op de andere. De OM-hack was er zo een, vooral om de verstrekkende gevolgen voor de dagelijkse continuïteit van justitie. Wat ging er fout en wat kunnen we ervan leren? Computable sprak erover met cybersecurityspecialist Erik de Jong. Via een kwetsbaarheid in Citrix Netscaler kregen cybercriminelen toegang tot de systemen van het Openbaar Ministerie (OM). Wat er ingezien of gestolen was, was niet direct duidelijk. Maar omdat er sprake was van ongeoorloofde toegang, werd deze OM-hack zo ernstig gevonden, dat alles volledig offline ging. Waarom kon het fout gaan en hoe had het voorkomen kunnen worden? Computable vroeg het aan Erik de Jong, Chief Research Officer bij cybersecuritybedrijf Tesorion. Hoe kwamen ze binnen bij het OM? ‘De backdoor – de vermoedelijk misbruikte kwetsbaarheid – was een herhaalbaar maar onvoorspelbaar geheugenlek. Wat dan af en toe gelekt wordt van de server, dat kan ook een session-cookie zijn. Dus als je dat lek maar vaak genoeg activeert, dan komt er op een gegeven moment een session-cookie terug. Dat betekent dat de hacker dan niet alleen die gelekte data heeft, maar dat vanaf dat moment die session-cookie gebruikt kan worden om zo feitelijk toegang te krijgen, via Citrix NetScaler, tot het hele account dat bij die session-cookie hoort. Zo eenvoudig was het eigenlijk: als je eenmaal weet wat je moet doen om dat geheugenlek te triggeren, is het daarna niet zo moeilijk meer en gewoon een kwestie van vaak proberen en hopen dat je wat nuttigs terugkrijgt.’ Dus de schuld ligt bij Citrix? ‘Op het moment dat je software installeert, dan ga je akkoord met de terms and conditions. En daar staat gewoon in, het is ‘as-is’. Als het dan niet doet wat je wil, tja, dan heb je eigenlijk pech gehad. Daar is uiteraard wel discussie over. Want wanneer is er in welke mate een bepaalde verantwoordelijkheid voor de leverancier? Bijvoorbeeld om te zorgen dat patches er op tijd zijn, of dat die misschien wel automatisch geïnstalleerd kunnen worden. Dat zijn allemaal dingen die beter kunnen. Maar op papier gezien ligt het heel simpel: de verantwoordelijkheid ligt bij de eindgebruiker. Het is ook heel moeilijk als overheid dat te reguleren, want het is onmogelijk om foutloze software te maken. Langzamerhand komen er meer eisen voor leveranciers van hardware en software. Denk aan de Cyber Resilience Act, de Europese verordening die specifiek gericht is op het verbeteren van beveiliging van digitale producten en diensten.’ Had het OM dan beter andere software kunnen gebruiken? ‘Eigenlijk is dat niet de goede vraag. Tuurlijk kan je overstappen naar een concurrent, maar daar kunnen óók kwetsbaarheden in zitten. Dus de vraag die je jezelf moet stellen is: hoe maak ik mijn organisatie weerbaar? Als bestuurder en als beslisser moet je in een omgeving opereren waarin je aandacht besteedt aan wéten wat je hebt, daar begint het mee. Van al die zaken moet je op de hoogte blijven. En jezelf er vragen over stellen, zoals ‘moet ik op risico gebaseerde keuzes maken om patches te installeren’. Als dat als een goed proces draait, dan is de kans dat er wat fout gaat gewoon lager. Het kan nog steeds een keer fout gaan natuurlijk. Dus je moet ook zorgen dat je dat snel merkt en dan in actie komt: probeer zoveel mogelijk te voorkomen, maar monitor ook je infrastructuur. Kortom: preventie, detectie, response. De productkeuze is niet per se het probleem.’ Mensenwerk dus? ‘Precies, wij spreken altijd over ppt: people, process, technology. Eigenlijk geldt: regel je beveiliging onafhankelijk van je technologie. Dat gaat dus veel meer over mens en processen, dan over technologie. Dat is ook waar wij onze klanten over informeren: we proberen uiteraard te voorkomen dat er iets fout gaat, maar er kan altijd íets fout gaan en als dat gebeurt, dan moet je goed optreden. Daar komt weer het weten wat je hebt om de hoek kijken. Want als je niet eens weet wat je hebt, dan kan je daar ook geen beheersing op hebben. Je moet dus in kaart hebben gebracht welke assets je hebt, en uiteraard geldt dat ook voor je ict-leverancier./ Wanneer moet je cybersecurity in-house doen? ‘Voor de meeste organisaties die niet heel groot zijn is uitbesteden van de meeste zaken heel gangbaar, en ook de beste keuze. Die zullen niet in staat zijn om het beheer en de beveiliging van al die systemen zelf te doen, tenzij ze een serieuze ict-organisatie hebben. Het nadeel van uitbesteden is dat men er zelf niet zo veel verstand van heeft en dat men daarom niet zo goed weet of er goed bediend wordt. Dat is best lastig, je kan second opinions vragen natuurlijk. Maar het beste is ervoor te zorgen dat je iets van kennis in huis hebt, zodat je ook kan beoordelen of je een goede dienstverlening krijgt. Verder kan je het goed vergelijken met gewone beveiliging. Een organisatie gaat ook niet even zelf camera’s overal ophangen en zelf surveillanten en een 24/7 meldkamer optuigen. Dat besteed je uit. Ik denk dat je dat pas zelf kan gaan doen vanaf vijf- tot achtduizend man.’ Wat kan een organisatie voor beveiliging het beste intern doen? ‘Bottom line: je moet weten wat je hebt en dat moet je up-to-date houden. Dat is echt één van de belangrijkste maatregelen om te zorgen dat je het risico op een hack verkleint. En daarnaast, dat wat je niet kan tegenhouden, dat moet je gaan zien in je infrastructuur. Dus als beslisser moet je daarover nadenken: investeer ik voldoende in preventie, maar investeer ik ook in detectie en reageren. Als die een beetje in balans zijn, dan is je organisatie al een stuk weerbaarder. Want zolang je bedrijf aan internet hangt, blijft een hack een risico dat je elke dag kan overkomen. Alleen is dat iets wat toch vaak een beetje wegzakt in de operatie, omdat er gelukkig bij de meeste bedrijven niet vaak wat fout gaat. Het gevaar is dat je daar een beetje laks van wordt. Wat dat betreft is goed om dit op het bureau van de cfo of de risk officer te leggen, die snappen risico. Als je het bij de ict-afdeling legt, dan zie je te vaak dat men bij het kiezen tussen nu die patch doen, of al die andere dingen waar direct merkbaar effect van te zien is, men voor dat tweede kiest.’ De nieuwste ontwikkelingen op cybersecurity gebied komen aan de orde op de Cybersec Netherlands beurs. Het event vindt dit jaar plaats op 10 en 11 september in het congresgebouw Koninklijke Jaarbeurs in Utrecht. Inschrijven kan hier en is gratis.