Inleiding
Je zou bijna denken dat het aantal beveiligingsproblemen in het afgelopen jaar enorm is toegenomen. Het lijkt er echter meer op dat de media-aandacht voor dergelijke problemen is gegroeid: de problemen komen vaker en sneller naar buiten, en vooral lekken waarbij persoonsgegevens in het geding zijn, doen het goed in de media.
Bedrijven en organisaties lijken zich er nu wel meer van bewust dat íedereen gehackt kan worden: het overkwam bedrijven als Google, RSA, Sony en Comodo, dus elke organisatie, groot of klein, kan de volgende zijn. Een goede voorbereiding kan echter een hoop ellende voorkomen. Tweakers.net zette oorzaken en gevolgen op een rijtje.

Voorkomen
Het gezegde luidt 'voorkomen is beter dan genezen', maar beveiligingsproblemen en datalekken zijn nooit helemaal te voorkomen. Kwaadwillenden zullen altijd nieuwe wegen vinden om binnen te komen: de enige manier om een computersysteem écht goed te beveiligen, is door de stekker er uit te trekken. Dat wil niet zeggen dat bedrijven en organisaties niet hun best kunnen doen om incidenten te voorkomen.
Een beveiliger kan zijn systemen vrijwel onmogelijk beschermen tegen een zero day-aanval: een exploit die gebruikmaakt van een tot dan toe onopgemerkte kwetsbaarheid in software. Hiermee kunnen systemen ongemerkt geïnfecteerd worden. Uit onderzoek van Microsoft blijkt echter dat slechts een miniem deel van de aanvallen zero-daykwetsbaarheden gebruikt.
Aanvalsmethode |
Interactie gebruiker |
**********
44,8% |
Autorun (usb) |
******
26% |
Autorun (netwerk) |
****
17,2% |
Infecteren bestanden |
*
4,4% |
Exploit (update geruime tijd beschikbaar) |
*
3,2% |
Exploit (update beschikbaar) |
*
2,4% |
Bruteforce-aanval op wachtwoord |
*
1,7% |
Macro in Office-document |
*
0,3% |
Zero day-exploit |
*
0,0% |
Bron: Microsoft
Bijna de helft van alle aanvallen wordt volgens Microsoft veroorzaakt door het handelen van de gebruiker - bijvoorbeeld via social engineering. Je hebt niets aan alle dure beveiligingssoftware als je gebruikers fouten maken die beveiligingsproblemen veroorzaken. Natuurlijk kunnen bedrijven data loss prevention-software inzetten, die controleert of er geen gegevens het bedrijfsnetwerk verlaten die intern hadden moeten blijven, maar het is zeker zo nuttig om personeel te trainen om rekening te houden met dergelijke scenario's.
Uit een beveiligingsrapport van Verizon Business, waarvoor onder andere de Nederlandse politie gegevens heeft aangeleverd, blijkt dat de helft van de beveiligingsincidenten het gevolg is van hacking. In 49 procent ging het om malware, terwijl in 29 procent van de gevallen een fysieke aanval de oorzaak was. Het aantal social-engineeringaanvallen is volgens Verizon veel lager: 'slechts' 11 procent. Belangrijk is dat 92 procent van de aanvallen 'niet erg ingewikkeld' is. Van de aanvallen zou 96 procent zelfs eenvoudig of relatief eenvoudig te voorkomen zijn.
Woordvoerder Barry van Vliet van Trend Micro vertelde Tweakers.net dat zijn bedrijf enige tijd geleden vreemde telefoontjes ontving van mensen die duidelijk meer over het bedrijf wilden weten. "Onze telefoniste is er echter voor opgeleid om daar rekening mee te houden", zegt Van Vliet.
Begin deze maand bleek nog uit onderzoek dat Amerikaanse bedrijven vatbaar waren voor social engineering. 'Aanvallers' konden aan werknemers allerhande informatie ontfutselen, en heel wat werknemers konden er zelfs toe worden verleid om een bepaalde link in te voeren. Dat laatste is natuurlijk een flink beveiligingsrisico; die link zou bijvoorbeeld naar een browser-exploit kunnen verwijzen.
Het is dus van belang om gebruikers van een systeem op te leiden, maar daarnaast is het uitrollen van software-updates ook wel handig. Dat lijkt een open deur, maar de hack op Sony's PlayStation Netwerk had waarschijnlijk voorkomen kunnen worden als alle software netjes up-to-date was gehouden. Ook het uitschakelen van auto-run-functionaliteit op usb-sticks en netwerkschijven lijkt een aanrader.
Sql-injecties
Niet alleen desktop-pc's van medewerkers zijn het slachtoffer: veel aanvallen richten zich op webservers. Ook daarbij geldt dat een aanval nooit voor de volle honderd procent te voorkomen is, maar dat slordige fouten een groot deel van de problemen veroorzaken.
Heel veel beveiligingsproblemen op websites zijn namelijk te wijten aan één redelijk eenvoudig te verhelpen probleem: sql injection. Dat houdt in dat sql-opdrachten in variabelen worden verstopt; als de software de invoer van gegevens niet goed controleert, kunnen die opdrachten worden uitgevoerd. Te veel ontwikkelaars lijken echter nog niet doordrongen van de noodzaak van input validation. Met het sanitizen van user-input kunnen overigens ook xss- oftewel cross site scripting-kwetsbaarheden worden voorkomen.
Beveiliging
Zoals gezegd kan een beveiligingsincident nooit helemaal voorkomen worden. Daarom is het belangrijk om, voor het geval dát er wat fout gaat, een emergency response plan op papier te hebben. "Vaak is zo'n plan er niet", zegt Jelle Niemantsverdriet van Verizon Business, die als consultant optreedt bij beveiligingsincidenten. In andere gevallen gaat het vaak om een standaardtemplate waar de bedrijfsnaam niet eens is ingevuld.
Volgens Niemantsverdriet zit er soms veel tijd tussen een hack en het daadwerkelijk ontvreemden van gegevens. In een derde van de gevallen gaat het daarbij om luttele minuten, maar in 44 procent van de gevallen zit er een aantal dagen tussen deze twee gebeurtenissen. In die dagen zou een aanval dus nog tegengehouden kunnen worden, zonder dat er gegevens verloren gaan. In 14 procent van de gevallen is het een kwestie van uren; bij één op de tien datalekken gaat het om weken of maanden.
De tijd tussen het uitlekken van data en het ontdekken ervan, is nog groter. Minder dan een procent van de databreaches wordt binnen een kwestie van minuten ontdekt. Het grootste deel van de datalekken, 38 procent, wordt zelfs pas na meerdere weken ontdekt, en 36 procent pas na enkele maanden. "Het ontdekken van een datalek gebeurt vaak ook niet door het slachtoffer", zegt Niemantsverdriet. "In veel gevallen wordt die ingelicht door een derde partij, bijvoorbeeld creditcardmaatschappijen, opsporingsdiensten of de pers."

Bron: Verizon
Het op tijd detecteren van beveiligingsproblemen kan veel schade voorkomen. Diverse partijen leveren software die beveiligingsdreigingen opmerkt: naast standaard beveiligingspakketten is er bijvoorbeeld de al genoemde data loss prevention-software. Ook snel actie ondernemen loont: er zitten in 49 procent van de gevallen enkele weken tussen het ontdekken en het dichten van een lek. In 15 procent van de gevallen is het zelfs een kwestie van maanden. Al die tijd kan onnodig schade worden veroorzaakt.
De eerste prioriteit is het vaststellen van een beveiligingsprobleem, waarna het 'bloeden' moet worden gestopt, zegt Niemantsverdriet. Het kan grote problemen opleveren wanneer dat niet gebeurt. Tweakers.net sprak hierover met een medewerker van beveiligingsbedrijf RSA. Bij een aanval op dat bedrijf werd informatie over de werking van SecurID-sleutelgenerators buitgemaakt. Deze generators worden gebruikt voor two-factor-authentication, waarbij naast een wachtwoord ook een willekeurig gegenereerde cryptografische sleutel moet worden ingevoerd, en zijn er zowel in software- als in hardwarevorm.
Volgens de medewerker had de ernst van het lek ingeperkt kunnen worden, wanneer er eerder was opgetreden. "Na de ontdekking van het lek, en dat was vrij snel, keken we eerst nog naar wat er precies gebeurde. Toen zagen we gegevens verdwijnen. Als we eerder alles hadden stilgezet, waren er minder gegevens verloren gegaan." RSA heeft nooit gezegd hoeveel of welke gegevens zijn buitgemaakt, maar uit voorzorg werden alle sleutelgenerators vervangen.
Het is dus zaak om na het ontdekken van een beveiligingsprobleem zo snel mogelijk te handelen. Het inhuren van externe expertise is duur, maar als een bedrijf zelf niet over de relevante expertise beschikt, kan dat toch veel geld besparen.
Externe partijen, zoals Verizon Business of Fox-IT, hebben vaak veel meer expertise dan een 'gewone' ict-afdeling. Zij kunnen bijvoorbeeld forensische kopieën van harde schijven maken om deze te analyseren. Zo'n onderzoek kan dagen of weken duren en dus veel geld kosten, maar het alternatief is vaak dat het beveiligingsprobleem niet wordt opgelost.
Juridisch
Op dit moment is er nog geen meldplicht voor beveiligingsproblemen. Voor telecomproviders komt er wel een meldplicht aan. Die moeten dan 'een inbreuk op de beveiliging' die 'nadelige gevolgen heeft voor de bescherming van persoonsgegevens' aan de OPTA melden. Het is echter nog onduidelijk wat 'nadelige gevolgen' zijn. Deze meldplicht is vastgelegd in de nieuwe Telecommunicatiewet.
Voor andere bedrijven en organisaties heeft deze meldplicht geen gevolgen, maar er wordt wel gewerkt aan een bredere meldplicht voor datalekken. Het is echter nog niet bekend wanneer het voornemen van het kabinet in een wetsvoorstel wordt omgezet.
Het is eveneens nog onduidelijk welke instanties onder die uitgebreidere meldplicht zullen vallen, maar volgens het kabinet krijgen in ieder geval banken en verzekeringsmaatschappijen een dergelijke meldplicht. Zowel het CBP als klanten moeten dan op de hoogte worden gesteld als door een hack of lek persoonsgegevens kunnen zijn ontfutseld.
Niet vrijuit
Dat er nu nog geen meldplicht is, wil overigens niet zeggen dat bedrijven altijd vrijuit gaan wanneer ze persoonsgegevens van klanten laten uitlekken. De Wet bescherming persoonsgegevens eist namelijk dat persoonsgegevens op 'passende wijze' worden beveiligd. Gebeurt dat niet, dan kunnen klanten een rechtszaak wegens een 'onrechtmatige daad' tegen een bedrijf aanspannen, schrijft jurist Mark Jansen van advocatenkantoor Dirkzwager. De vraag is dan hoe goed de gegevens beveiligd zijn, en hoe gevoelig de gegevens zijn. Het uitlekken van medische dossiers zal waarschijnlijk eerder als onrechtmatige daad worden aangemerkt dan naw-gegevens.
Uit onderzoek van Unisys zou blijken dat bijna een kwart van de Nederlanders bij een beveiligingslek juridische stappen zou ondernemen. Of dat echt zo is, is uiteraard de vraag. Volgens ict-jurist Arnoud Engelfriet is het moeilijk aan te tonen dat je schade lijdt door een beveiligingslek. "Bewijs dat maar eens", zegt hij. "De rechter wil graag dat je met bonnetjes komt om je schade te onderbouwen."
Volgens Engelfriet zou het goed zijn als er in de wet een standaardvergoeding voor datalekken zouden zijn. "Winkels mogen bijvoorbeeld standaard 151 euro van winkeldieven eisen, ongeacht hoeveel schade ze kunnen bewijzen. Als bedrijven zoiets moeten betalen aan een gebruiker wiens gegevens zijn ontvreemd, gaan ze bij 30 miljoen records wel wat investeren in beveiliging."
Ook het College bescherming persoonsgegevens kan actie ondernemen als een bedrijf onzorgvuldig met persoonsgegevens omgaat. Anders dan veel mensen denken, is het CBP allerminst een tandeloze tijger. Het CBP mag overtredingen van de privacyregels onderzoeken en informatie opeisen. Ook het opleggen van een dwangsom behoort tot de mogelijkheden. Bovendien kan een publieke terechtwijzing van het CBP voor imagoschade zorgen.
De privacywaakhond heeft tot dusverre echter nog maar weinig van zich laten horen. Er zijn wel enkele ziekenhuizen op de vingers getikt vanwege een matige beveiliging, maar het is voor zover bekend nog niet gebeurd dat het CBP na een beveiligingslek actief onderzoek verichtte. Naar verwachting zal een meldplicht daar wel verandering in brengen.
Het grote publiek
De grote vraag is: moet je je gebruikers - en daarmee ook het grote publiek - op de hoogte stellen van een beveiligingsprobleem waarbij persoonsgegevens zijn uitgelekt?
Als een bedrijf openheid van zaken aan zijn klanten geeft, bevestigt het dat persoonsgegevens zijn uitgelekt. Klanten kunnen dat als bewijs gebruiken om schade te claimen, zegt Jansen.
Het alternatief brengt echter ook bezwaren met zich mee: als persoonsgegevens uitlekken en klanten lopen als gevolg daarvan gevaar, bijvoorbeeld doordat hun creditcardgegevens worden misbruikt, kan het getroffen bedrijf aansprakelijk worden gesteld. Een bedrijf kan zijn klanten dan beter maar inlichten. Dat kan zelfs nuttig zijn als een klant een schadevergoeding claimt, stelt Jansen: "Als een klant weet dat zijn gegevens zijn gestolen, en hij doet niets om zichzelf te beschermen, dan kan de rechter zeggen: dat is je eigen schuld."
De media
Als je een groot aantal gebruikers op de hoogte brengt van een datalek, dan is de kans groot dat een van hen de media tipt. Het is dan wellicht beter om zelf naar de media te stappen, om zo eventuele imagoschade te beperken.
Volgens Aaron Barr, wiens beveiligingsbedrijf eerder dit jaar werd gehackt, is er bovendien een morele verplichting tegenover gebruikers. "Het is alleen wel moeilijk om te bepalen wat je vrij wil geven", zei hij op de RSA-beveiligingsconferentie in Londen.
Burgerrechtenbeweging Bits of Freedom vindt dat bedrijven hun klanten op de hoogte moeten stellen als ze gevaar lopen. "Je hebt daar ook zelf baat bij. Je laat zien dat je je klanten serieus neemt", zegt Daphne van der Kroft, juriste van Bits of Freedom. Volgens Van der Kroft gebeurt het dat mensen spookfacturen ontvangen voor zaken die ze nooit hebben besteld, omdat hun gegevens bij een datalek zijn buitgemaakt door kwaadwillenden.
Als klanten daar direct van op de hoogte worden gesteld, kunnen ze maatregelen nemen. Bits of Freedom wil dan ook dat datalekken waarbij persoonsgegevens in het spel zijn, in een soort openbaar register verschijnen. "Daardoor komt er druk op organisaties om hun beveiliging te verbeteren", zegt Van der Kroft.
Als bij een datalek geen persoonsgegevens worden gestolen, maar bijvoorbeeld alleen intellectueel eigendom, is er minder noodzaak om de media op de hoogte te stellen, al zijn er uitzonderingen. Een voorbeeld daarvan is de aanval op RSA. De hackers bemachtigden informatie die gebruikt kan worden bij een aanval op SecurID-sleutelgenerators, waardoor ook klanten risico liepen. RSA stapte daarom wel naar de media.
Tot slot
Een datalek is nooit volledig te voorkomen. Het scheelt echter een hoop als bedrijven en instanties zich bewust zijn van de risico's, en daar ook naar handelen. Het tijdig bijwerken van software en werknemers leren hoe met social engineering om te gaan is een goed begin. Het is echter ook belangrijk dat organisaties weten wat ze moeten doen als er onverhoopt toch een hacker door de beveiliging komt.