Recent werd door internationale media pijnlijk blootgelegd dat vertrouwelijke informatie goud waard is en kinderlijk eenvoudig te verkrijgen. De duur (vijf jaar), omvang van de informatie (150.000 nog niet gepubliceerde persberichten) en de buit (honderd miljoen dollar) maken de hack bij drie internationaal opererende persbureaus in de Verenigde Staten bijzonder.
Wat is er precies gebeurd? Twee hackers zijn vanuit Oekraïne binnen gedrongen bij drie Amerikaanse persbureaus. Daarbij zijn identiteiten (naam en wachtwoord) van de medewerkers van de bureaus buitgemaakt. Hierdoor hadden de hackers ongestoord toegang tot het it-landschap. ‘Legaal’, zij waren immers geregistreerde en geautoriseerde gebruikers. Zonder enige verdere vorm van kwaadaardige software (malware) hebben zij vervolgens toegang verkregen tot miljoenen persberichten van beursgenoteerde ondernemingen en een deel daarvan gekopieerd naar hun eigen it-omgeving.
De vraag of deze hack anders is, is natuurlijk een interessante vraag, waarbij het antwoord afhankelijk is van de invalshoek. De duur van de activiteiten is op z’n minst interessant. Hoe kan het dat hackers vijf jaar lang ongestoord vertrouwelijke data kunnen kopiëren? Daarnaast is de directe link tussen de gestolen informatie en het verdienmodel opmerkelijk. De echte vraag is hoe deze groep tegen de lamp is gelopen? Is dat omdat de financiële handel en wandel opviel van de verschillende leden en/of gebruikte routes opviel, of hebben it-controle systemen van één van de drie gehackte organisaties een signaal gegeven? Mijn vermoeden is het eerste.
In mijn ogen zijn hacks niet te voorkomen. De logica is dat organisaties steeds meer digitaal doen. Daarmee neemt het aantal ‘aanvalsvectoren’ toe. Alles wat ‘aan het internet hangt’ genereert aanvalsvectoren. Bedrijven moeten continue al deze vectoren ‘dicht houden’, een hacker heeft maar één opening nodig.
Detectie of betalen?
Met het actief worden van de Meldplicht datalekken (1 januari 2016) is het verplicht datalekken te melden aan het CBP en betrokkenen. Tevens kan het CBP boetes opleggen tot een maximum van 810.000 euro per gebeurtenis voor de onderneming. Daarnaast kunnen bestuurders hoofdelijk aansprakelijk gesteld worden door gedupeerden in het geval van verwijtbaarheid.
De nieuwe wet zegt dat er sprake is van verwijtbaarheid als de onderneming geen ‘passende technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft onbegrijpelijk of ontoegankelijk zijn voor een ieder die geen recht heeft op kennisname van de gegevens’. Daarmee zijn alle hacks waarbij vertrouwelijke informatie vrij komt, verwijtbaar.
Hoewel de wet vaag is, is er wel degelijk wat te doen. Concreet risico’s in kaart brengen en gerichte plannen ter afwending hebben (lees: beleid). Deze plannen omzetten in technische maatregelen. Daarbij horen zowel preventieve als detectieve en reactieve maatregelen. Vergelijk het met het risico op brand. De kans is reëel, de impact groot. Dus naast een verzekering zijn er brandmelders, is er een ontruimingsplan, eventueel brandblussers en uiteraard de ontruimingsoefeningen (altijd als het regent of sneeuwt).
Met name op het gebied van detectie en response is nog veel winst te behalen. Uit meerdere onderzoeken blijkt dat bij meer dan 66 procent van de bedrijven die gehackt worden, de hack door een derde partij wordt ontdekt. Daarnaast tonen deze onderzoeken dat het gemiddeld acht tot negen maanden duurt voordat de hack ontdekt wordt. Wellicht is het verstandig om morgen eens binnen te lopen bij de it-afdeling. Hoe is het bij jouw organisatie geregeld? Bekijk je de informatie uit jouw beveiligingsomgeving? Kijkt jouw beveiligingsomgeving ook of zaken die van binnen naar buiten gaan correct/legitiem zijn? Heb je een draaiboek klaar liggen met wat te doen bij een hack? Of loop je binnen bij Finance met het verzoek een jaarlijkse reserve aan te leggen van 810.000 euro?
Marco Janszen, manager professional services SecureLink
