'China hackte salarissysteem van Brits ministerie van Defensie'

Vanuit informatiebeveiliging moet je eigenlijk een three lines of defense hanteren.

Als iemand zegt gehacked te zijn door een gat in <X> vraag ik wel eens welke ándere twee gaten er nog meer gebruikt zijn, want één enkel gat zou niet genoeg moeten zijn om binnen te komen. Dat is natuurlijk makkelijker gezegd dan gedaan en misschien een beetje flauw van mij, maar het denken in lagen van bescherming bestaat al decennia (in de IT, en nog veel langer daar buiten), iedere professional zou dat in het bloed moeten hebben zitten. (pro-tip: Ontwerp alles alsof er géén firewall is en gebruik de firewall als extra laag, niet als belangrijkste of enige laag).

Daarnaast vind ik het toch vrij frapant hoe er tot op de dag van vandaag bedrijven en overheden nog steeds veel gebruik maken van admin of privileged accounts om data in te zien en/of dagelijkse werkzaamheden uit te voeren.

Ja, en het gaat nog jaren zo niet decennia duren om voordat alle systemen van nu weer zijn vervangen.

Binnen security schreeuwen we allemaal al lang dat het voorkomen van een hack onmogelijk is, maar hoe je erop reageert. Business Continuity, Incident Response, Threat Intelligence, Vulnerability Management, Patching en andere domeinen binnen informatiebeveiliging krijgen veels te weinig aandacht en dan drukken ze waar het pijn doet.

Wat dat betreft zie ik wel voordelen in het cloud/huur-model waarbij je per maand betaalt in plaats van eenmalig. Zo is er geld voor doorlopend onderhoud in plaats van de je alleen geld krijgt bij release van een nieuwe versie met nieuwe features.

Momenteel is de financiele druk om onderhoud en security te marginaliseren enorm. Zelfs als er veel geld wordt gestoken in het proces (certificaten, security tests, ci/cd) zitten er toch forse grenzen aan hoe ver men wil gaan om een product veilig te maken. Meestal komt het toch neer op een beetje bijschaven en gaten stoppen zolang niemand er maar iets van merkt. Zo heb ik heel wat gevechten gevoerd over antieke SSL-configuraties die niet veranderd mogen worden omdat een of andere klant nog een oude computer heeft en die niet wil upgraden. Dat alle andere klanten zo voor de bus worden gegooid maakt zelden indruk.

Je uitgangspunt lijkt dat de beveiliging van het systeem bijzonder zou zijn zodat je een bewering kan doen.
Alleen gaat dat niet zomaar op. Kijk maar hoe makkelijk er fitnesstracker werden gebruikt en men pas na verloop van tijd beseft dat contracters het er niet zomaar veiliger op maken.

Dat hoort er in mijn ogen bij. Als zelfs het leger dit probleem niet tijdig heeft voorzien dan zullen andere organisaties die minder met veiligheid bezig zijn het waarschijnlijk ook niet voorzien.

Het ging dus al niet zomaar op dat je vooral moet kijken of er gehacked is. En aangezien niet duidelijk is of dit systeem werkelijk geheel van defensie is of dat ze contracters hebben kunnen we eerder stellen dat als je als bedrijf voldoende moet aantonen dat belangrijke gegevens, zoals persoonlijke gegevens, werkelijk goed beschermd zijn.

Niet mee eens. Het leger is en blijft verantwoordelijk. Als ze een slechte leverancier hebben gekozen dan is dat een fout van het leger, blijbkaar hebben ze een leverancier gekozen die niet voldoende heeft aangetoond dat de gegevens veilig zijn.

In praktijk zie ik vrijwel nooit overtuigend bewijs dat gegevens goed zijn beveiligd. Meestal blijft het bij beloftes, procedures en voorschriften. Veiligheid aantonen is nog veel lastiger dan beveiligen zelf. Er is de laatste tijd veel aandacht voor veiligheidscontroles maar ik zie vooral veel aandacht voor wíe er verantwoordelijk is, niet voor hoe veilig/riskant het in praktijk nu echt is.

Wat ook niet zomaar al jaren een wettelijke plicht is. Ongeacht of het een (salaris)systeem van een klein bedrijfje is of een heel groot bedrijf of organisatie.

De plicht is er inderdaad, de uitvoering valt echter nogal tegen. De interpretatie van de wet laat heel veel ruimte omdat er in zeer algemen termen gesproken wordt (dat is normaal bij wetten).

Voorbeeld:
Aritkel 32 van de AVG:

Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten:

Je kan eindeloos twisten over wat de "stand van de techniek" precies is, wat "passende maatregelen"
zijn, hoe waarschijlnlijk of ernstig risico's zijn of wat acceptabele uitvoeringskosten zijn, en dat doen we ook. Dat is geen klacht over de wet, zo werken wetten, maar het betekent wel dat we pas bij de rechter zullen ontdekken hoe de wet in praktijk moet worden toegepast. Dat is wel een heel traag en onzeker proces zonder vaststaande uitkomst en het zal nog heel wat jaren duren voor het beeld duidelijker wordt.

Moeten sommige zaken niet gewoon air gapped zijn? Soms denk ik wel eens "laten we gewoon Europa en z'n bondgenoten een eigen internet hebben" maar dat is wellicht niet meer helemaal realistisch. Je kunt je echter van diverse systemen afvragen of ze aan internet vast moeten zitten. Systemen met persoonsgegevens van mensen van veiligheidsdiensten, defensie en inlichtingendiensten zouden dat misschien wel niet moeten.

In de meest extreme gevallen wel, maar over het algemeen kan ik het niet aanraden. Een air-gapped systeem opzetten is niet zo moeilijk, het air-gapped houden wel. Overal wordt alles aan elkaar geknoopt, en een eenvoudige mobiele telefoon kan al gebruikt worden om een geisoleerd netwerk toch met internet te verbinden. De kans dat het vroeg of laat gebeurt (per ongeluk of door een spion) is te groot om geen rekening mee te houden. Het gaat immers om belangrijke data, Je moet die systemen dus nog steeds beveiligen alsof ze wel op een openbaar netwerk zijn aangesloten.

Om zo'n systeem goed te beheren en beveiligen wil je gebruik maken van het beste gereedschap. Moderne tools zijn gericht op beheer via het netwerk met een open link naar internet. Je maakt het jezelf moeilijk als je daar geen gebruik van kan maken. Bij je meest belangrijke systemen wil je juist gebruik kunnen maken van het beste gereedschap, niet een beetje onhandig aanklooien.

Een enkel los systeem kun je nog een bunker zetten met een gewapende bewaker voor de deur, maar als je zo'n systeem hebt is de data op dat systeem waarschijnlijk heel waardevol. Daar wil je dus backups van maken en de eerste regel van backups is dat je die op een andere locatie moet bewaren. Dan heb je dus al twee air-gapped locaties nodig en een manier om te communiceren tussen die locaties. Zodra communicatie mogelijk is dan is het niet echt air-gapped meer.

Als er geen kabels gebruikt woren (want air-gapped) dan moet alle data via tapes of usb-sticks getransporteerd worden, net als alle softwareupgrades. Dan moet je weer gaan zorgen dat die niet gestolen worden tijdens het transport. (Uiteraard is alle data versleuteld, maar dat doe je met kabels ook). Daarnaast zul je die tapes/sticks moeten controleren op virussen en andere malware. Moderne viirusscanners hebben eigenlijk een permanente verbinding nodig om snel informatie over nieuwe bedreigingen te krijgen. Ook daar maak je het jezelf moeilijk om dat op een air-gapped systeem te willen doen.

Realistisch gezien zal een modern systeeem niet uit één computer bestaan maar uit verschillende. Primaire server, hot-standby, cold-standby, pc van de beheerder, pc van de assitentbeheerder, een netwerkdoos, een securitydoos. Al die systemen moet je airgapped houden en goed beheren. Het loopt snel uit de hand.

Ik heb niet heel veel ervaring met dit soort systemen maar ik heb het nog nooit echt goed gezien, er zaten altijd rafelrandjes aan en bekende problemen die nog opgelost moeten gaan worden, ooit.

BKR heeft maatregelen getroffen (ook mede door regels die opgelegd zijn door de overheid) zodat, wanneer de data uitlekt, mensen niet zo makkelijk te vinden/herleiden zijn. Ze mogen alzo niet op basis van bsn nummer registreren en die info is dus ook niet aanwezig op het systeem van BKR. Personen zijn ook niet direct gekoppeld dmv naw gegevens enzo.

Dus ook al breek je daar in, dan nog heb je niet voldoende info om mensen direct te kunnen benaderen op basis van die gegevens.

Wie zegt dat het hier om schulden gaat?

Die je eenmalig doet (nou ja, als ze de mankracht hebben willen ze het ieder 5 jaar herhalen), er kan een hoop veranderen in je leven in 5 jaar tijd.

Wat is er zogenaamd aan de bad actor?

Vind het meestal eenzijdige berichtgeving wat altijd 1 kant van het verhaal belicht.

Lijkt me logisch, de media heeft die kennis niet want geheim, maar andersom is het geen geheim natuurlijk. Immers zijn onze veiligheidsdiensten in bepaalde mate beschermd in NL maar die chineze diensten niet (duh)....

Als je personeel alleen in Nederland zit, dan worden alle inlogpogingen buiten Nederland geblokkeerd
Denk je dat hackers via een chinees IP inloggen? Dat zou je als IT'er in de beveiliging toch moeten snappen. Mijn schoonmoeder kan al een VPN gebruiken voor netflix. Staatshackers gaan een heel stuk verder...

Ik denk wel dat ze proberen in te loggen via een buitenlands IP. Als ik alleen al naar mijn activiteiten pagina van Microsoft ga, dan zie ik honderd (mislukte) pogingen per dag om in te loggen van over de hele wereld, alleen mijn eigen succesvolle pogingen komen uit NL.
N=1 natuurlijk.

Dus we zouden ons alleen maar met verkeersveiligheid moeten bezighouden als er constant in het nieuws wordt gerapporteerd over verkeersongelukken?

Natuurlijk kan iedereen in het buitenland om IP blokkades heen werken en daar maak je dan ook direct mijn punt, weten waar het vandaan komt is BS! Want je kan je alleen maar heel basic beveiligen tegen waar het vandaan komt. Je zorgt er hoogstens voor dat er minder potentiële locaties zijn om vanaf aan te vallen.

Is er voor een bedrijf/organisatie een verschil in nieuwsbericht tussen "Bedrijf X gehackt!" en "Bedrijf X gehackt door <insert current lightningrod>!"? Nee, helemaal niets. Beveilig je je organisatie anders tegen een criminele organisatie dan tegen een Russische/Chinese/Amerikaanse aanvaller? Nee. Met het vingertje wijzen is politiek/media geneuzel.

En dit is precies weer geneuzel van de andere kant, overheden zijn overheden. Be it China, Rusland, Frankrijk, het Verenigd Koninkrijk of Nederland. Elk land heeft specifieke onderdelen die bezig zijn met dat soort ongein. Het ene land beter beoordelen of slechter beoordelen puur op die zaken is imho complete onzin. Dat we het niet eens zijn met de regels/ideologie in land xyz is een heel ander verhaal.