'Alleen de voordeur is beveiligd'

Vanavond praat de Tweede Kamer over de veiligheid van overheid-ICT naar aanleiding van DigiNotar. Beveiligingsexperts constateren vooral nalatigheid: „Organisaties zijn gemakzuchtig.”

Bedrijven en overheden zetten de continuïteit van hun eigen diensten op het spel door het ontbreken van herstelplannen wanneer ze het slachtoffer worden van een aanval door hackers. Dat stellen hoofd informatiebeveiliging Patricia Titus en beveiligingsexpert Jan van der Sluis, van het Amerikaanse Unisys, gespecialiseerd in databescherming. Donderdag debatteert de Tweede Kamer naar aanleiding van het beveiligingslek bij DigiNotar over de manier waarop de overheid haar ICT-omgeving heeft geregeld. „Juist beveiligingsbedrijven zijn een populair doelwit voor hackers.”

Wat ging er eigenlijk mis bij Diginotar?

Titus: „Wat er bij DigiNotar is gebeurd, staat synoniem voor hoe er bij veel bedrijven wordt gedacht over informatiebeveiliging. Organisaties worden steeds gemakzuchtiger. Ze vergeten heel basale dingen. Wachten met het uitvoeren van beveiligingsupdates, installeren patches (programma’s die fouten repareren, red.) niet of te laat. DigiNotar had waarschijnlijk firewalls geïnstalleerd, evenals programma’s om indringers te lokaliseren. Ergens in de beveiliging zat echter een zwakke plek, waardoor de hacker zichzelf toegang kon verschaffen tot het bedrijf. De voordeur was beveiligd, maar iemand vond een achterdeur. Organisaties denken na over de manier waarop ze de voordeur beveiligen, maar vergeten alles wat daar achter gebeurt.”

Van Der Sluis: „Toen het beveiligingslek bij DigiNotar werd ontdekt, waren er bovendien noch bij het bedrijf, noch bij de overheid adequate herstelplannen. Het bedrijf zette het eigen bestaan op het spel, en daarmee ook de continuïteit van een groot aantal overheidsdiensten.”

DigiNotar had nog geen vijftig werknemers in dienst. Moet je de beveiliging van data die cruciaal zijn voor het functioneren van de overheid wel overlaten aan een bedrijf van een dusdanige omvang?

Titus: „De omvang van je personeelsbestand doet er niet zozeer toe. Belangrijker is de vraag of die werknemers wel waren getraind in het opsporen van indringers. Recente datalekken hebben uitgewezen dat de fout vaak bij werknemers zit. Het blijft natuurlijk mensenwerk: een typfout in een digitale code is zo gemaakt. Zorg er dus voor dat een werknemer weet hoe een hacker of beveiligingslek opgespoord moet worden wanneer het misgaat.”

Wat had DigiNotar zelf kunnen doen om te voorkomen dat ze het slachtoffer werd van een aanval door hackers?

Titus:„Organisaties moeten derde partijen inhuren die bedrijven op onverwachte momenten aanvallen. In Amerika noemen we dat de onafhankelijke penetratietest met blauwe en rode teams. Het blauwe team meent dat ze haar beveiliging op orde heeft. Maar dan sluipt het rode team in het holst van de nacht naar binnen, bij voorkeur in weekenden of vakanties, en vuurt een aanval af op het blauwe team. Dan pas blijkt of je de beveiliging echt goed op orde hebt. DigiNotar had ook zo’n test moeten laten uitvoeren.”

Gisteren bleek dat Sony, net als aan het begin van dit jaar, problemen had met de beveiliging van gebruikersgegevens. Is er sprake van een trend waarbij bedrijven minder belang hechten aan informatiebeveiliging?

Titus: „ Sony had geen Chief Information Security Officer (CISO). Een bedrijf van zo’n omvang dat niemand in dienst heeft die verantwoordelijk is voor de beveiliging van IT-systemen, beschikt naar mijn mening niet over een stabiel beveiligingsprogramma. Zoiets lijkt bij DigiNotar ook te zijn gebeurd. Beveiligingsbedrijven hebben de neiging te denken dat ze geen doelwit zullen worden van aanvallen door hackers. Echter: zij zijn juist regelmatig het slachtoffer, omdat het een uitdaging vormt voor de hackerscommunity om hen onder vuur te nemen.”

De Amerikaanse overheid heeft dit voorjaar ook geworsteld met beveiligingsproblemen. Hoe hebben zij voor een betrouwbaarder ICT-omgeving gezorgd?

„Als de overheid in de Verenigde Staten met een beveiligingsbedrijf in zee gaat, neemt ze in het contract de voorwaarden op waaronder een bedrijf haar diensten levert, de zogeheten Baselines Security Requirements: hoe ga je het beveiligingsprogramma uitvoeren, hoe lever je je service? Wat je nu ziet, is dat bedrijven de producten aanleveren om informatie te beveiligen en vervolgens zeggen: ‘Wij hebben ons werk gedaan’. Er wordt niemand langs gestuurd die controleert of de geleverde software nog wel voldoet. De vraag is dus wie in de gaten hield of DigiNotar nog wel de service leverde waarop de overheid contractueel recht had.”

Wat kan de Nederlandse overheid leren van de hele DigiNotarzaak?

Van Der Sluis: „Er moet een autoriteit komen die erop toeziet dat zaken als certificaatcontrole op reguliere basis plaatsvinden. Zorg dat je vervangende certificaten achter de hand hebt, wanneer je niet tevreden bent over je huidige leverancier.”

Titus: „Breng daarnaast onderscheid aan in de urgentie van je data. Welke gegevens zijn cruciaal voor de continuïteit van overheidsdiensten? Laat deze gegevens 24 uur per dag en zeven dagen per week, bewaken. En het belangrijkste van allemaal: zorg dat je een noodscenario klaar hebt liggen om de ICT-omgeving te beschermen wanneer een hacker je bedrijf aanvalt. Dat had de overheid een hoop narigheid kunnen besparen.”

    • Jorg Leijten