Vijf tips en inzichten uit de Cyber Security Week

Gepubliceerd op

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over onze activiteiten en meld je aan voor de nieuwsbrief.

Aanmelden

Belofte maakt schuld. Aan het begin van de week heb ik u beloofd met een aantal inzichten en tips te komen op het gebied van cyber security. Dat viel nog niet mee. Nu was het niet zozeer dat ik moeite had met het opdoen van nieuwe inzichten, maar vooral om te kiezen uit al die nieuwe inzichten. Want wat was het veel! Alleen al het deelnemen aan de One-Conference 2018 bracht een schat aan informatie en tips. Dus hierbij mijn capita selecta uit een razend interessante week.

1. Hulp gezocht bij aanpak dreiging IoT 

Het Internet of Things was een term die afgelopen dagen veel voorbij is gekomen. Wat is IoT? IoT is de verzamelnaam van producten die een verbinding hebben met het internet, anders dan de bekende apparaten zoals je computer, laptop of smartphone. Denk bijvoorbeeld aan je gloednieuwe TV met WiFi, of een webcam met een WiFi-vebinding, de babyphone die je vanaf je smartphone kunt beluisteren en bekijken of je energiemeter die is gekoppeld aan het internet zodat je energieleverancier data kan uitlezen over je energieverbruik (en je daar dan weer over kan adviseren). Dat dus.

IoT-devices gaan langer mee

Maar goed, dit soort apparaten heeft vaak een lange levensduur. Langer dan een smartphone (maximaal 2 jaar) of laptop (ook zoiets). Dat is handig, maar tegelijkertijd ook een risico. De software verandert namelijk niet altijd mee, wordt niet automatisch gepatcht zodat nieuw geconstateerde veiligheidsrisico’s blijven bestaan. Bovendien is de gemiddelde consument (want daarin zit een groot risico: 80% van de gecompromitteerde IoT-devices betreft consumentenproducten) niet bewust of handig genoeg om zelf de beveiliging van zijn/ haar IoT-device goed in te stellen.  

Kwetsbaarheid IoT 

En dát onbeveiligde IoT ook tot serieuze problemen leidt blijkt uit het Mirai-botnet. Dit is een netwerk van gecompromitteerde IoT-devices die door kwaadwillenden is ingezet voor kwade doeleinden. Daarnaast zet je als consument met een onbeveiligde IoT je digitale achterdeur open terwijl je je veilig waande omdat je je computer en laptop en telefoon zo goed had beveiligd. 

Neem de Hacker bij de (beren-)neus 

Maar goed, er is hoop. Want de slimme mensen van Hatching en Cybersprint werken aan middelen om die kwaadwillenden bij de neus te nemen. Zij werken aan een heuse IoT-honeypot. Dat is zoveel als een digitaal lokmiddel voor die kwaadwillenden. Het werkt zo: de kwaadwillende denkt een IoT-device te kunnen hacken, maar dat is dus geen device, maar een nagebootste. Vervolgens kunnen ze wel de methoden van de kwaadwillende hacker analyseren en op basis daarvan weer met goeie producten komen. Ok, eerlijk is eerlijk. Ik vond het verhaal erg technisch en het was voor mij lastig te volgen, maar ik was dan ook een van de weinigen die nog nooit van de ‘Cuckoo Sandbox’ had gehoord. (Ik heb volgens mij nog een sticker te goed.)  

Hulp is nodig 

Maar wat ik wél heb begrepen is dat deze ‘good guys’ wel hulp nodig hebben. Namelijk voor het goed kunnen nabootsen van de IoT-device hebben ze de firmware nodig. (dit is de standaardsoftware die bij uw IoT-device meekomt.) En die hebben ze nodig van de leveranciers. Dus, bij deze, mijn tip aan u als leverancier: deel uw IoT-firmware met deze slimme mensen, voor uw eigen bestwil en die van ons allemaal. 

2. Help IoT veiliger te maken, maar dan bij de basis. 

Mijn eerste tip gaat over het veiliger maken van IoT-devices, maar eigenlijk wel op een heel indirecte manier. Mooier is natuurlijk als die devices zelf al veiliger worden. Daarover gaf professor Michel van Eeten een aansprekend betoog. Hij ziet vooral ruimte bij de fabrikanten van IoT-devices om deze minder kwetsbaar te maken. Echter, tot nu toe hebben die fabrikanten geen incentives om dat te doen. Er zijn ook geen consequenties voor de fabrikanten wanneer hun IoT-devices gecompromitteerd raken.  

Rol voor overheden 

Daarom is er voor IoT een rol weggelegd voor de overheid als het gaat om langetermijnmaatregelen: certificering en regulering. Dus een set aan wettelijke eisen waaraan een IoT-device moet voldoen, waaronder eisen ten aanzien van veilige aansluiting op het internet, maar ook een duidelijk keurmerk die voldoende informatief is voor consumenten. 

Aan de publieke schandpaal 

En verder een tip voor een gebruiker: naming en shaming schijnt ook nog wel eens te helpen om IoT-devices veiliger te krijgen, vooral wanneer je hiervoor een invloedrijke blogger of vlogger in stelling kunt brengen.  

3. Neem ‘digitale olifantenpaadjes’ als uitgangspunt maar verbied ze niet 

Je kent ze wel, ingelopen zandpaden dwars door grasvelden of tussen bomen, struiken en zelfs heggen door: de olifantenpaadjes, aangelegd door eigenwijze mensen die een praktischere en snellere afsnij-route vonden in plaats van de voorgeschreven aangelegde route. Je kunt bordjes plaatsen, hekjes neerzetten, hogere hekken neerzetten, maar tegen de inventiviteit van mensen valt niet op te werken. Ga daar nu maar gewoon vanuit.  

People awareness 

En dat geldt dus ook voor de ‘digitale olifantenpaadjes’. Dit zijn de slimmigheidjes (of dommigheidjes in de ogen van informatiebeveiligers wellicht) die gebruikers van informatievoorziening verzinnen om dat gebruik te vergemakkelijken. En dat kan dan een doorn in het oog zijn, maar ook hier geldt: bordjes plaatsen, hekjes plaatsen of hele omheiningen gaat hem niet worden, ook aldus Jelle Niemantsverdriet tijdens de One Conference. Kennelijk is er een sterke behoefte aan gebruikersgemak, en je kunt je energie beter richten op hoe je in die behoefte kunt voorzien. Of, om het in een mooie one-liner te zeggen: ‘People don’t need more security awareness, security needs more people awareness’.

4. Test back-up, recovery én uitwijk 

Een hele interessante sessie was de sessie waarin Ria Aiken, Director Emergency Preparedness, uit Atlanta, Verenigde Staten beschreef hoe de stad zich herstelde van een ransomware-aanval. De sessie ging vooral in op hoe de stad reageerde op de aanval en hoe ze langzaam maar zekere weer opkrabbelden. Vooral napratend over deze sessie kwam ik erachter dat de stad weliswaar back-ups had, maar dat die ook gegijzeld waren door de software. Op papier, dus in opzet, was dit allemaal prima geregeld. Maar de praktijk (de werking) toonde aan dat dit dus niet goed werkte. 

Vergelijkbare situatie in Nederland 

Zelf ben ik wel eens tegen vergelijkbare situaties aangelopen in Nederland, maar dat had dan betrekking op uitwijk. Dus, ben je in staat om je operationele proces door te laten lopen via een andere locatie op het moment dat je eigen digitale infrastructuur gecompromitteerd is? Zonder uitzondering kreeg ik de reactie dat ze dat niet met zekerheid konden zeggen. Dat was nog nooit integraal getest, enkel op losse onderdelen. Een integrale test was dan toch nét even te spannend. 

Wij zijn in Nederland dus niet uniek, zo blijkt uit de sessie over de digitale gijzeling van Atlanta, maar dat neemt niet weg dat er bij ons dus wel wat moet gebeuren.  

5. Cybersecuritybeeld Nederland 

Tenslotte, ik kan natuurlijk mijn hoofd gaan breken over een laatste inzicht dat ik zou willen meegeven, maar waarom dat doen terwijl een heel batterij aan slimme mensen hard heeft gewerkt aan zo’n inzicht? Ik heb het over het Cybersecuritybeeld Nederland. Dit is een overzicht met de belangrijkste ontwikkelingen op cyber securitygebied en de belangrijkste dreigingen voor Nederland. Zie hier het Cybersecuritybeeld Nederland. Ze hebben het zelfs in een mooi filmpje gezet! 

Blogreeks informatiebeveiliging en cybersecurity

Dit blog maakt onderdeel uit van een blogreeks in de aanloop naar de Cyber Security Week van 2 tot en met 5 oktober 2018.

Lees hier de overige blogs uit de reeks

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over onze activiteiten en meld je aan voor de nieuwsbrief.

Aanmelden