Eind september 2024 ging er een schokgolf door het land. Er was groot nieuws in de (internationale) media. Na een inbraak in het Nederlandse politienetwerk waren de persoonsgegevens (namen, emailadressen, telefoonnummers en in enkele gevallen ook de privégegevens) van alle politiemedewerk(st)ers gestolen.
Persoonsgegevens van 65.000 politiemedewerk(st)ers zijn dus toegankelijk geworden voor onbevoegden. Dat is verontrustend nieuws voor alle politiemedewerk(st)ers en hun familie. Iedereen begrijpt wel dat dergelijke informatie over het politieapparaat erg gewild is en grote waarde heeft voor criminele organisaties. De gestolen informatie kan immers gebruikt worden om invloed te krijgen of druk uit te oefenen op individuen binnen de politie.
De media stonden er bol van. Hoe kon het gebeuren? Is er nog meer informatie gestolen? Wat zijn de gevolgen? Hoe zit het met de beveiliging van onze overheid?
Volgens de inlichtingendiensten is de inbraak waarschijnlijk uitgevoerd door een ander land of in opdracht van een ander land. In een krantenartikel werd (op basis van een aantal anonieme bronnen) gesteld dat de inbraak mogelijk is geworden doordat een vrijwilliger op een link in een phishing e-mail had geklikt. En zo begon het “vingerwijzen” waar ik later in dit artikel nog op terugkom.
En tegelijk met dat vingerwijzen ontstonden ook weer discussies over het nut van Security Awareness training en het uitvoeren van phishingtesten binnen het bedrijfsleven. Tijdens Security Awareness training worden medewerk(st)ers bewust gemaakt van de cyber-gevaren en -risico’s waaraan ze op het werk (en thuis!) blootstaan. Met phishingtesten leren medewerk(st)ers in de praktijk door middel van onschuldige phishing e-mails hoe ze een phishingbericht kunnen herkennen.
Momenteel worden er over de “politie-hack” geen mededelingen meer gedaan. Dat is natuurlijk logisch, het onderzoek gebeurt verder achter gesloten deuren. Maar de eerder genoemde discussies gaan nog steeds door. En dat precies in de “Maand van de Security”.
Vingerwijzen
Het is misschien een menselijke eigenschap om na een incident een “schuldige” te gaan zoeken. Echter, in veel gevallen is het incident niet altijd toe te schrijven aan een enkele “schuldige”. Als er bijvoorbeeld in een school wordt ingebroken kun je niet automatisch de conciërge de schuld geven omdat er een raam openstond. De school was kwetsbaar omdat er maar geen budget werd vrijgemaakt om de verouderde sloten op de ramen te vervangen door goedgekeurde sloten. En daarbij vergaten de leraren ook nog regelmatig om na het laatste lesuur de ramen goed dicht te doen voordat ze naar huis gingen. De conciërge had er wel eens iets over gezegd tijdens een overleg, maar ja … “wat zeurt die man toch, hé”?
Vingerwijzen is vaak niet terecht. Je kunt niet zomaar de schuld van een incident (brand, lekkage, kortsluiting, inbraak, etc.) op de schouders van één persoon neerleggen of één hoofdoorzaak aanwijzen. In de meeste gevallen zijn er veel meer factoren in het spel die een rol spelen bij het ontstaan van het incident. En het is nou juist de kunst om die factoren te ontdekken, te benoemen en op risico’s te valideren. Vervolgens neem je maatregelen om die risico’s te elimineren of op z’n minst te minimaliseren.
Cybersecurity: Mens én Proces én Techniek
Bij het verlagen van risico’s op het gebied van de cybersecurity zijn er drie belangrijke factoren die een rol spelen. Deze drie factoren zijn allemaal belangrijk. Als je één van de drie factoren niet meeneemt in het beleid en de maatregelen blijft je organisatie kwetsbaar. Het gaat om de volgende factoren:
- Mens: Het creëren van een gezonde en open cultuur op het gebied van informatiebescherming. Bewust en verantwoordelijk gedrag van mensen met de informatie die in de organisatie wordt verwerkt en de daarvoor beschikbaar gestelde ICT middelen (computers, laptops, tablets, telefoons, netwerken, printers, servers, etc.), open communicatie over incidenten
- Proces: Het beleid wat wordt opgesteld door het management van de organisatie. Securitybeleid, privacybeleid, gedragscodes, procedures.
- Techniek: Het implementeren van adequate technische maatregelen om het netwerk te beschermen tegen aanvallen en ervoor te zorgen dat het netwerk en de systemen van buitenaf niet door onbevoegden toegankelijk zijn en om het netwerkverkeer te monitoren.
Hieronder wat voorbeelden van maatregelen die je zou kunnen nemen binnen de categorieën Mens, Proces en Techniek:
- Mens
Awareness training, Phishingtesten, E-learning, Password Manager, 2-factor Authenticatie, Posters, Nieuwsbrieven
- Proces
Management commitment, Security/Privacy beleid, Role based access, Procedures, Gedragscode, Security op agenda, Security/Privacy audits, compliance,
Communicatie/transparantie
- Techniek
Asset management, monitoring van het dataverkeer, firewalls, Intrusion detection/prevention, Identity Access Management, Netwerk segmentatie, Data Leakage
Protection, Backups
Niet alle maatregelen zijn natuurlijk bij ieder bedrijf van toepassing. Als je bovenstaande lijst van maatregelen eens goed bekijkt realiseer je je hoe breed het security vakgebied is! Security is géén exclusief technisch feestje. Het vergt management commitment én goed beleid én de juiste technische maatregelen én veilig gedrag van de mensen die bewust zijn van de gevaren en de cyber-risico's.
Waar zouden we het nu over moeten hebben?
De discussie waar ik het eerder in dit artikel over had zou dus niet moeten gaan over het nut van Security Awareness training of hoe dom die vrijwilliger was om op dat valse linkje te klikken. Met alleen een Security Awareness training kun je niet 100% voorkomen dat er iemand op een valse link klikt. Je verlaagt daarmee wel het risico dat het gebeurt. En zéker hoort daar geen vingerwijzen bij naar die vrijwilliger. De discussie zou meer moeten gaan over welke maatregelen uit de categorieën Mens, Proces en Techniek meer aandacht verdienen?
Management: Kom in aktie!
Het is dus een typisch vraagstuk voor het management. Het management is eindverantwoordelijk en zou dit (samen met hun CISO) op moeten pakken. Hoe kan het zijn dat een simpele klik op een linkje toegang geeft tot onze systemen? En wat kunnen we doen om dat in de toekomst te voorkomen? Moeten we iets doen aan het bewustzijn van medewerk(st)ers zodat ze phishing beter begrijpen en herkennen? (Mens) Waarom heeft een vrijwilliger via Outlook toegang tot alle politiemedewerkers? (Beleid) Moeten we iets veranderen aan de toegangsrechten van vrijwilligers? (Beleid) Hoe zit het met de mail security? (Techniek) Hoe kunnen we phishing beter afvangen zodat de phishing niet bij de gebruikers in de inbox komt? (Techniek)
Maatregelen kunnen elkaar versterken
Maatregelen binnen Mens, Proces en Techniek kunnen elkaar helpen en versterken. Als er minder phishing in de inbox van de gebruiker terecht komt door een technische filtering hoe beter het is natuurlijk. Met een strak beleid op het gebied van gebruikersrechten heeft een gebruiker geen toegang tot “alles”. En tot slot zijn bewuste mensen alert op phishing en rapporteren direct als er onverhoopt toch een phishingbericht door de technische filters heen floept en in de inbox van een gebruiker terecht komt.