India Rigoureus onderzoek voor staatsveiligheid
India Rigoureus onderzoek voor staatsveiligheid
India Rigoureus onderzoek voor staatsveiligheid
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
nr 1 maart 2013<br />
<strong>India</strong> <strong>Rigoureus</strong> <strong>onderzoek</strong><br />
<strong>voor</strong> <strong>staatsveiligheid</strong><br />
for a more secure society
colofon<br />
Redactieadres<br />
fox-it Afdeling Marketing<br />
Postbus 638<br />
2600 AP Delft<br />
+31 (0)15 284 79 99<br />
marketing@fox-it.com<br />
www.fox-it.com<br />
Vormgeving<br />
viervier strategisch ontwerp<br />
Interviews en teksten<br />
Sabel Communicatie<br />
Full Circle Communications<br />
fox-it<br />
Gratis abonnement<br />
Meld je aan op fox-it.com<br />
column<br />
De hypocrisie van ethisch hacken<br />
Het lijkt zo’n mooie gedachte: ‘ethische’ hackers die ons behoeden<br />
<strong>voor</strong> kwetsbare databases met privacygevoelige gegevens.<br />
Daar kun je toch niet tegen zijn?<br />
Lektober in 2011 openbaarde vele incidenten en toonde aan dat de<br />
gegevensbeveiliging in ons land beter moet. Het was een wake-upcall.<br />
Daarna maakten Robin Hood-verhalen over hacks de stap uit<br />
het tech-nieuws naar de <strong>voor</strong>pagina’s.<br />
De waardering <strong>voor</strong> ethische hackers is gelukkig gegroeid. Ze lopen<br />
echter nog hetzelfde risico <strong>voor</strong> vervolging. Ook al vindt een hacker<br />
zelf dat hij ethisch bezig is, de geraakte bedrijven en de wet zien dit<br />
vaak anders.<br />
Twee zaken haalden onlangs het nieuws. Zowel bij het ‘Groene<br />
Hart Ziekenhuis’ als ‘Diagnostiek <strong>voor</strong> U’ waren patiëntengegevens<br />
toegankelijk <strong>voor</strong> hackers, die via media de publiciteit zochten. In<br />
beide gevallen ging het Openbaar Ministerie over tot vervolging. In<br />
eerste instantie leek het de wereld op zijn kop: als iemand hier iets<br />
fout heeft gedaan, dan zijn dat toch de organisaties die onzorgvuldig<br />
met de gegevens van hun cliënten omgaan?<br />
Daar is zeker iets <strong>voor</strong> te zeggen. Maar bij nadere bestudering<br />
blijken de hackers minder ethisch dan gedacht. In het geval van<br />
het GHZ stapte de hacker direct naar de media in plaats van het<br />
ziekenhuis. Ethische hackers plaatsten op social media veel vraagtekens<br />
bij de tijd tussen ontdekking en melding, de gebruikte middelen<br />
en de hoeveelheid data die was ontvreemd. Bij ‘Diagnostiek<br />
<strong>voor</strong> U’ brak de hacker – Henk Krol – met een gestolen password in<br />
op een Elektronisch Patientendossier (EPD). Hij zocht vervolgens<br />
in de database naar vrienden en stapte kort na de melding bij de<br />
organisatie naar de media. Belangrijke details <strong>voor</strong> de vervolging<br />
hoorde ik vanaf de publieke tribune van de rechtbank, niet uit de<br />
anders zo goed geïnformeerde media.<br />
Een mediale schandpaalcultuur tegenover bedrijven die de sjaak<br />
zijn geworden, zonder redelijke discussie over de ethiek van de<br />
hacker, mist het doel. Het is tijd om met z’n allen eens goed in de<br />
spiegel te kijken. En daar hoort naast de ethiek van hackers en<br />
bedrijven ook die van de media bij.<br />
Ronald Prins, directeur fox-it<br />
10<br />
17<br />
25<br />
04<br />
22<br />
actueel<br />
04 <strong>India</strong> accepteert DataDiode<br />
De Fox DataDiode heeft voldaan aan de strengste<br />
veiligheidseisen in <strong>India</strong>. Veel <strong>India</strong>se overheidsorganisaties<br />
kunnen nu hun high-security netwerken en vitale<br />
infrastructuren beter beschermen.<br />
praktijk<br />
10 Mobiel digitaal<br />
sporen<strong>onderzoek</strong><br />
De politie in Twente heeft een bus met Tracks Inspector,<br />
en kan op een plaats delict direct digitaal sporen<strong>onderzoek</strong><br />
doen.<br />
opinie<br />
12 CCO naast de CEO<br />
Topman Ad Scheepbouwer pleit <strong>voor</strong> een nieuwe<br />
specialist in de directies van grote organisaties:<br />
de Chief Cybersecurity Officer.<br />
praktijk<br />
15 Jong geleerd is oud gedaan<br />
Regelmatig verzorgen Foxers gastcolleges, trainingen en<br />
begeleiden ze stage- en afstudeeropdrachten.<br />
interview<br />
17 Cyberwar<br />
Kolonel Hans Folmer en Ronald Prins in gesprek over de<br />
cyberstrategie van Defensie.<br />
praktijk<br />
22 Rouwverwerking<br />
De emotionele achtbaan van gehackte organisaties heeft<br />
veel parallellen met de vijf fasen van rouwverwerking.<br />
opinie<br />
25 Responsible disclosure<br />
Een hacker staat <strong>voor</strong> dilemma’s: aan wie en wanneer<br />
meldt hij een lek, en wordt hij vervolgd?<br />
nieuws en trainingen<br />
28 Bits<br />
Kort nieuws en de trainingskalender.
actueel actueel<br />
<strong>Rigoureus</strong> <strong>onderzoek</strong> <strong>voor</strong><br />
<strong>staatsveiligheid</strong><br />
In deze tijd van cybercriminaliteit, spionage en<br />
conflicten kunnen overheden niet <strong>voor</strong>zichtig<br />
genoeg zijn met de bescherming van hun IT-infra-<br />
structuren. Overheidsinstellingen in <strong>India</strong> waren<br />
zich bewust van de toegevoegde waarde van de<br />
Fox DataDiode in de beveiliging van high-security<br />
netwerken en de betekenis van een product-<br />
certificering op het hoogste Common Criteria<br />
level. Toch moest de Fox DataDiode in <strong>India</strong> eerst<br />
een eigen nationale certificering ondergaan.<br />
republic of india - bharatiya ganarajya / government type: federal republic / 28 states and 7 union territories / legal system: common law system based on the english model / chief of state: president pranab mukherjee (since 22 july 2012) / vice<br />
president mohammad hamid ansari (since 11 august 2007) / head of government: prime minister manmohan singh (since 22 may 2004) / bicameral parliament (sansad) consists of the council of states (rajya sabha) and the people’s assembly (lok sabha)<br />
4 | fox files #1 2013 fox files #1 2013 | 5
actueel actueel<br />
De Fox DataDiode is een hardware oplossing <strong>voor</strong> gebruik<br />
op de grens tussen twee computernetwerken. Het<br />
laat data in slechts één richting passeren. Om vertrouwelijke<br />
gegevens te beschermen stroomt informatie van<br />
een netwerk met een lager veiligheidsniveau door naar<br />
een geheim netwerk met een hoger veiligheidsniveau,<br />
maar niet andersom.<br />
Om vitale infrastructuur te beschermen, zoals energiecentrales<br />
of waterzuiveringsinstallaties, stroomt<br />
informatie vanuit het Industrial Control System (ICS)<br />
naar een extern netwerk, terwijl de faciliteit van buitenaf<br />
digitaal ontoegankelijk blijft. Veel belangrijke overheidsorganisaties<br />
in <strong>India</strong> zijn geïnteresseerd in het gebruik<br />
van de Fox DataDiode om vertrouwelijke gegevens en<br />
vitale infrastructuren te beschermen. De Fox DataDiode<br />
zou de veiligheid en productiviteit bij het uitwisselen<br />
van gegevens in een high-security omgeving enorm verbeteren<br />
ten opzichte van bidirectionele firewalls en ‘air<br />
gaps’. Maar eerst moest er goedkeuring komen van de<br />
certificeringsinstantie van de <strong>India</strong>se overheid, het directoraat<br />
Standardization Testing and Quality Certification<br />
(STQC).<br />
strenge certificatieprocedure<br />
Certificatie lijkt een relatief eenvoudig proces. De Fox<br />
DataDiode is al internationaal erkend volgens het hoogste<br />
Common Criteria Evaluation Assurance Level dat<br />
certificeerbaar is in <strong>India</strong> (CC EAL4+). In Europa heeft<br />
de Fox DataDiode al de CC EAL7+-certificering bereikt.<br />
Er zijn nog meer goedkeuringen, zoals <strong>voor</strong> netwerkverbindingen<br />
tot en met het niveau NATO Secret. En de<br />
hardware wordt al ingezet in veel landen over de hele<br />
wereld. Toch was er een maar. Dr. Dinesh Mhatre, CEO<br />
van fox-it-partner High-Tech Technologies (HTT) in<br />
Mumbai, <strong>India</strong>, verwoordt het als volgt: ‘De potentiële<br />
opdrachtgevers zijn erg enthousiast over het product,<br />
maar de <strong>India</strong>se regering moet het bewijs hebben dat het<br />
product presteert zoals is gespecificeerd en dat de claims<br />
op papier ook in de praktijk waargemaakt kunnen worden.’<br />
<strong>India</strong> is immers een van de oprichters van ISO, de internationale<br />
organisatie <strong>voor</strong> normalisatie, en verantwoordelijk<br />
<strong>voor</strong> de ontwikkeling van vele ISO-normen.<br />
Valideren en documenteren van producten en processen<br />
<strong>voor</strong> de uitwisseling van goederen en diensten zijn ingebakken<br />
in de bedrijfscultuur van het land. Aanvullend op<br />
zijn leidende rol in ISO publiceerde het Bureau of <strong>India</strong>n<br />
Standards meer dan 18.000 normen <strong>voor</strong> huishoudelijk<br />
gebruik. Jaarlijks worden meer dan 300 nieuwe <strong>India</strong>se<br />
standaarden en 300 wijzigingen op bestaande standaarden<br />
gepubliceerd.<br />
uitgebreide testen<br />
Vanuit <strong>India</strong>as perspectief is de Fox DataDiode met zijn<br />
Common Criteria-certificering niet per se veilig totdat<br />
het product is geëvalueerd door het eigen <strong>India</strong>se Common<br />
Criteria Certification Scheme (IC3S). Dit betekende<br />
een review van alle procedures en documentatie die<br />
fox-it meegaf van eerdere testen en certificeringen,<br />
dupliceren van testen in de eigen Common Criteria-testlaboratoria,<br />
en het uitvoeren van aanvullend <strong>onderzoek</strong><br />
op de functionaliteit en veiligheid van de Fox DataDiode,<br />
waaronder de evaluatie van de kwetsbaarheid en<br />
hypothetische aanvalscenario’s. Alle testen zoals<br />
gepland en uitgevoerd door de onafhankelijke beoordelaars<br />
moesten worden gedocumenteerd op een detailniveau,<br />
zodat testprocedures en resultaten herhaalbaar<br />
waren en gereproduceerd konden worden.<br />
De <strong>India</strong>se STQC-certificering ging verder. Het proces<br />
omvatte ook een audit bij fox-it als onderdeel van een<br />
productie- en leveranciersketen<strong>onderzoek</strong> van de Fox<br />
DataDiode. Door de staat gesponsorde spionage kent<br />
immers geen grenzen. Elke kans dat de Fox DataDiode<br />
kan worden geleverd met third-party spyware zou het<br />
product diskwalificeren <strong>voor</strong> gebruik door de overheid<br />
of vitale infrastructuren. De beoordelaars inspecteerden<br />
de beveiliging van de productieomgeving <strong>voor</strong> de Fox<br />
DataDiode, productie- en testprocedures, de veiligheid<br />
van het leveringsproces en de integriteit van het product<br />
gedurende zijn hele levenscyclus. De hele STQC-certificering<br />
nam meer dan een jaar in beslag, <strong>voor</strong>dat de Fox<br />
DataDiode op 18 december 2012 werd goedgekeurd<br />
<strong>voor</strong> gebruik in <strong>India</strong>.<br />
waardering <strong>voor</strong> hoge normen<br />
Met hun unieke focus op een veiligere samenleving zijn<br />
Foxers gewend te werken binnen het brede spectrum<br />
van overheid, rechtshandhavers, veiligheids- en inlichtingendiensten.<br />
Met ervaring bij inlichtingendiensten in het<br />
binnen- en buitenland en de NAVO, was de STQC-certificering<br />
verwacht, maar niettemin indrukwekkend.<br />
‘We hebben uit eerste hand de zeer hoge normen ervaren<br />
die <strong>India</strong> hanteert <strong>voor</strong> het aantonen van de veiligheid<br />
van IT-producten die bedoeld zijn <strong>voor</strong> gebruik door<br />
de overheid en in vitale infrastructuurnetwerken’, vertelt<br />
Wouter Teepe, businesslinemanager van de Fox Data-<br />
Diode bij fox-it. ‘De onafhankelijke beoordelaars hebben<br />
diep gegraven om elk aspect van de functionaliteit van<br />
de Fox DataDiode en ons veiligheidsbeleid te valideren,<br />
<strong>voor</strong>dat de certificering werd toegekend. Certificeringen<br />
zijn niet altijd even makkelijk, en deze certificering<br />
was zeker geen uitzondering, maar het hoort bij onze<br />
business. Uiteindelijk geeft het veel voldoening iets<br />
goeds te presteren en het bewijst eens te meer dat de<br />
Fox DataDiode het beste product in zijn soort is <strong>voor</strong><br />
het veilig koppelen van high-security netwerken. Het<br />
bewijst ook het vertrouwen dat andere gebruikers hebben<br />
in onze DataDiode en in ons bedrijf. Het feit dat we<br />
de DataDiode over de hele wereld bij de meest kritische<br />
organisaties weten te verkopen, laat zien dat we met ons<br />
team in Delft tot de top van de wereld behoren.’<br />
opgespaarde vraag<br />
Door de STQC-certificering is <strong>voor</strong> HTT de tijd aangebroken<br />
om de vruchten te plukken van het vele <strong>voor</strong>werk<br />
dat is gedaan om de Fox DataDiode te kunnen introduceren<br />
aan potentiële opdrachtgevers in <strong>India</strong>. Dr. Mhatre<br />
gelooft dat 2013 een druk jaar zal worden om te voldoen<br />
aan de opgespaarde vragen van klanten die hebben<br />
gewacht op de certificering, <strong>voor</strong>dat ze over wilden gaan<br />
tot de aankoop.<br />
de STQC-certificering<br />
nam meer dan een<br />
jaar in beslag<br />
national symbol: bengal tiger / national anthem: “jana-gana-mana” / currency: indian rupees (inr) / gdp: $4.735 trillion (4th in the world); gdp (comparison per sector): agriculture: 17%, industry: 18%, services: 65% / telephones – mobile cellular: 893.862<br />
million (2011) – ranking 2nd in the world / internet users: 61.338 million (2009) – ranking 6th in the world / airports: 352 (2012) / population: 1,220,200,000 (2012 est.) – 2nd largest population worldwide / population below poverty line: 29.8%<br />
6 | fox files #1 2013 fox files #1 2013 | 7
actueel actueel<br />
Tijdens de overleggen die HTT met diverse overheidsorganisaties<br />
voerde, is een breed scala van toepassingen<br />
<strong>voor</strong> de Fox DataDiode besproken, zoals:<br />
- het automatisch verzenden van e-mails naar een high-security<br />
netwerk en het efficiënter uploaden van bestanden;<br />
- het automatisch distribueren van antivirus-, antispyware-<br />
en software-updates <strong>voor</strong> geïsoleerde geheime<br />
netwerken, wat het updaten versnelt en het netwerkbeheer<br />
sterk vereenvoudigt;<br />
- het realiseren van realtime-communicatie tussen<br />
afdelingen in een high-security organisatie, waarbij<br />
informatie alleen beschikbaar komt op een need-toknow-basis;<br />
- het veilig centraliseren van datastromen uit logbestanden<br />
en SIEM (Security Information and Event Management),<br />
zodat meerdere netwerken kunnen worden<br />
bewaakt vanuit één locatie;<br />
For protecting secrets<br />
Internet or lower security level<br />
For ICS<br />
SCADA / Proccess Control System<br />
UPSTREAM<br />
NETWORK<br />
UPSTREAM<br />
PROXY SERVER<br />
DATADIODE<br />
- <strong>voor</strong>tzetting van een ‘air gap’-proces met usb-drives,<br />
maar met inzet van de Fox DataDiode tussen de<br />
computer waarop de drives zijn geplaatst en de rest<br />
van het high-security netwerk, zodat het netwerk geen<br />
informatie kan teruglekken naar de usb-drives.<br />
‘Organisaties kunnen de Fox DataDiode gebruiken op<br />
vele innovatieve manieren om de veiligheid en efficientie<br />
te verbeteren van processen en netwerken met<br />
gevoelige informatie en toezichthoudende controles’,<br />
zegt dr. Mhatre. ‘We verwachten dat dit deel van ons<br />
bedrijf flink zal toenemen, nu de STQC-certificering binnen<br />
is.’<br />
Wereldwijd<br />
vertrouwen de meest<br />
kritische organisaties<br />
op de Fox DataDiode<br />
For protecting secrets<br />
Secret network or higher security level<br />
For ICS<br />
corporate network, possibly internet<br />
DOWNSTREAM<br />
PROXY SERVER<br />
DOWNSTREAM<br />
NETWORK<br />
staatsgeheimen geheim houden<br />
High-security netwerken isoleren van<br />
de buitenwereld is moeilijk, omdat deze<br />
netwerken er zijn om gegevens en controleprocessen<br />
te beheren, hoe gevoelig de<br />
informatie ook is. Terwijl netwerken kunnen<br />
worden beveiligd met een range aan<br />
cybersecurity-tools om indringers buiten<br />
te houden – van firewalls tot SIEM (Security<br />
Information and Event Management)<br />
– bestaan er kwetsbaarheden. Firewalls<br />
en toegangsrechten kunnen verkeerd<br />
worden geconfigureerd (menselijke<br />
fouten) of een aanvaller kan een slimme<br />
nieuwe exploit ontwikkelen om de cyberdefences<br />
te ontwijken en op slinkse wijze<br />
met kwade bedoelingen het netwerk<br />
binnendringen. Firewalls en SIEM zijn<br />
reactieve verdedigingsmaatregelen die<br />
altijd zullen achterlopen op de nieuwste<br />
vormen van malware. Zelfs wanneer de<br />
zo werkt de fox datadiode<br />
De Fox DataDiode is een apparaat<br />
waarmee data maar in één richting kan<br />
stromen. Het bevat geen beslislogica,<br />
software of firmware en kan niet verkeerd<br />
worden geconfigureerd. Daardoor zijn<br />
softwarestoringen, malware, sabotage,<br />
online aanvallen of menselijke fouten<br />
uitgesloten. De fysieke eenrichtingsverbinding<br />
transporteert data optisch<br />
met een lichtbron en bijbehorende<br />
fotocel om te waarborgen dat de gegevens<br />
echt maar in één richting kunnen<br />
integriteit van cyberdefence nog volledig<br />
intact is, kunnen de gegevens van een<br />
high-security netwerk tijdens de gegevensoverdracht<br />
naar een lager beveiligingsniveau<br />
lekken.<br />
Beveiligingsexperts kunnen deze<br />
problemen omzeilen met ‘air gap’-technieken<br />
waarbij een high-security netwerk<br />
nooit wordt aangesloten op een ander<br />
netwerk. In plaats daarvan gebeurt de<br />
gegevensoverdracht met draagbare<br />
media zoals usb-drives. Maar ook hier<br />
bestaan kwetsbaarheden. Draagbare<br />
media kunnen verloren gaan of geïnfecteerd<br />
raken met malware. De welbekende<br />
Stuxnet-computerworm verspreidde zich<br />
oorspronkelijk op deze manier. ‘Air gap’technieken<br />
hebben ook gevolgen <strong>voor</strong><br />
een tijdige toegang tot de informatie.<br />
De gegevens moeten worden gekopieerd<br />
passeren. Glasvezelkabels minimaliseren<br />
elektromagnetische straling wanneer het<br />
apparaat is aangesloten tussen low- en<br />
high-security servers.<br />
IT-protocollen berusten typisch op tweerichtingsverkeer<br />
en kunnen daardoor niet<br />
door een diode heen werken. Daarom zijn<br />
er proxy servers nodig aan beide zijden<br />
van de Fox DataDiode. In het verzendende,<br />
‘upstream’ netwerk ontvangt een<br />
proxy server alle informatie met reguliere<br />
tweerichtingsverkeerprotocollen. Deze<br />
naar draagbare media en de media<br />
moeten worden gescand op malware,<br />
<strong>voor</strong>dat de informatie kan overgaan naar<br />
een high-security netwerk.<br />
De Fox DataDiode maakt niet alleen<br />
een einde aan deze veiligheidsrisico’s,<br />
maar beschermt ook de realtime-informatieoverdracht.<br />
Het maakt een veilige<br />
verbinding mogelijk tussen high-security<br />
netwerken en netwerken of apparaten<br />
op lagere beveiligingsniveaus, door toe<br />
te staan dat informatie zich maar in één<br />
richting kan verplaatsen. Het <strong>voor</strong>komt<br />
ook het lekken van gegevens uit een<br />
high-security netwerk tijdens de gegevensoverdracht.<br />
informatie wordt met een eenrichtingsprotocol<br />
door de Fox DataDiode<br />
gestuurd. Aan de ontvangende, ‘downstream’<br />
zijde staat een proxy server die<br />
het eenrichtingsprotocol weer omzet in<br />
reguliere protocollen die berusten op<br />
tweerichtingsverkeer. Elke proxy heeft<br />
een eenvoudig te gebruiken webinterface<br />
waarmee geautoriseerde gebruikers kunnen<br />
configureren welke informatie mag<br />
worden overgebracht. Een overdracht kan<br />
onder meer bestanden, streaming video<br />
of inkomende e-mail bevatten.<br />
median age: 26.5 years / 0-14 years: 31.1%; 15-64 years: 63.6%; 65-over: 5.3% / urban population: 30% of total population / total area: 3,287,263 sq km – the world’s 7th largest nation / land: 2,973,193 sq km / water: 314,070 sq km / land boundaries:<br />
total: 14,103 km / coastline: 7,000 km / electricity production: 880 billion kwh (2010 est.) – 7th in the world / electricity (installed generating capacity): 189.3 million kw (2009 est.) – 6th in the world / electricity from nuclear fuels: 2.2%<br />
Bron: CIA World Factbook<br />
8 | fox files #1 2013 fox files #1 2013 | 9
praktijk praktijk<br />
Politie Oost-Nederland zet speciale bus in<br />
Digitaal<br />
forensisch<br />
<strong>onderzoek</strong><br />
op de<br />
plaats delict<br />
Het is als een scene in een politiefilm: bij een<br />
plaats delict staat een bus geparkeerd waarin<br />
de politie forensisch digitaal <strong>onderzoek</strong> doet.<br />
In Twente is dit geen fictie maar realiteit.<br />
Op initiatief van een aantal digitaal rechercheurs<br />
rijdt daar sinds februari 2012 het zogeheten<br />
Specialistisch RechercheVoertuig (SRV) rond.<br />
Tekst Nina van der Knaap en Brendan van der Maarel, fox-it<br />
vpn site-to-site<br />
internet connectiviteit in geheel europa<br />
De politie in Enschede had behoefte aan snel en goed <strong>onderzoek</strong><br />
op locatie en een middel dat dergelijk <strong>onderzoek</strong> faciliteerde. Al in<br />
2010 onderzocht de digitale recherche van de politie Oost-Nederland<br />
district Twente <strong>voor</strong>beelden van mobiele digitale oplossingen.<br />
Digitaal rechercheurs namen een kijkje bij de politie van Miami-<br />
Dade. De ideeën die zij daar opdeden op technisch gebied namen<br />
zij mee in de ontwikkeling van het SRV, het Specialistisch RechercheVoertuig.<br />
Een mobiele oplossing als het SRV biedt uitkomst, omdat de digitale<br />
rechercheurs niet met de digitale gegevensdragers naar het lab<br />
hoeven te rijden. Ze kunnen nu direct op de plaats delict forensisch<br />
digitaal <strong>onderzoek</strong> doen. Daarbij is triage (het door analyse prioriteren<br />
van de belangrijkste stukken) mogelijk waardoor de digitale<br />
rechercheurs niet snel te veel bewijsmateriaal meenemen. Voordeel<br />
van het SRV is dat de digitale recherche in een grote regio als<br />
Oost-Nederland veel tijd kan besparen door op locatie te werken.<br />
soorten <strong>onderzoek</strong><br />
Het voertuig voldoet aan een aantal belangrijke vereisten: het is<br />
niet te groot, is met een rijbewijs B te besturen en is onder meer<br />
<strong>voor</strong>zien van stroom<strong>voor</strong>ziening en internetverbinding. In het SRV<br />
ondersteunen forensisch digitaal rechercheurs het tactisch <strong>onderzoek</strong>steam<br />
met digitaal <strong>onderzoek</strong>, bij<strong>voor</strong>beeld met <strong>onderzoek</strong><br />
naar gegevensdragers, internetgebruik, social media etc. Dus al het<br />
<strong>onderzoek</strong> waarbij digitaal sporenmateriaal aanwezig is, kunnen zij<br />
in deze bus uitvoeren. De tactisch rechercheur bepaalt wanneer dat<br />
nodig is. In de afgelopen twaalf maanden is het SRV wekelijks ingezet<br />
bij veel verschillende zaken, van moord tot verkeerscontroles en<br />
van milieudelicten tot vermissingen.<br />
perfect samenspel<br />
De politie zet het SRV dus al regelmatig in en de digitale rechercheurs<br />
blijven de mogelijkheden verder uitbreiden en verbeteren.<br />
Zo kan het voertuig ook ingezet worden als deel van een incidentresponseteam.<br />
Digitaal experts in het lab staan dan via een<br />
internetverbinding in contact met het incident-responseteam op de<br />
plaats delict en <strong>onderzoek</strong>en op afstand de data.<br />
Een van de <strong>voor</strong>delen aan de speciale politiebus is dat de tactisch<br />
rechercheurs zien wat de toegevoegde waarde is van hun digitale<br />
collega’s. Dankzij kortere communicatielijnen kunnen ze efficiënter<br />
samenwerken. Andersom is het ook <strong>voor</strong> de digitale experts prettig<br />
om direct met de tactische collega’s te kunnen schakelen. Een<br />
perfect samenspel dus.<br />
mogelijkheid to opzetten eigen wifi<br />
10 | fox files #1 2013 fox files #1 2013 | 11<br />
12tb storage<br />
onsite-lab<br />
live stream video camera<br />
Het RechercheVoertuig<br />
wordt wekelijks ingezet,<br />
van moord tot milieudelicten<br />
samenwerking met tracks inspector<br />
In het Specialistisch RechercheVoertuig (SRV) is ook<br />
Tracks Inspector van fox-it ingebouwd, software waarmee<br />
tactisch rechercheurs relatief eenvoudig digitaal bewijsmateriaal<br />
kunnen uitlezen. De tactisch rechercheur heeft<br />
met Tracks Inspector direct toegang tot de digitale informatie<br />
en kan relevante bevindingen meteen toepassen<br />
in het <strong>onderzoek</strong> op de plaats delict. Samenwerking met<br />
het SRV in Twente bleek dan ook een goede combinatie.<br />
Tracks Inspector is gebruiksvriendelijk, intuïtief en draait<br />
in een webbrowser. Dit is precies wat de tactisch rechercheur<br />
nodig heeft om eenvoudig zelf digitaal <strong>onderzoek</strong> te<br />
kunnen doen.
opinie opinie<br />
Vacant: de functie van CCO<br />
Ad Scheepbouwer versterkt sinds oktober Fox-IT als directielid en aandeelhouder. Ronald Prins geopperde mogelijkheid <strong>voor</strong><br />
inkoopbeleid<br />
gecoördineerd en impulsief inkoopgedrag sing die iedereen verreweg als de beste<br />
Met zijn ervaring in de bestuurskamers van grote beursgenoteerde ondernemingen een ‘digitale brandweer’ aan de orde geko-<br />
Een beleidsterrein dat al evenmin aan zijn wordt IT-security een gatenkaas. Daarom is beschouwt, zonder de veiligheid uit het oog<br />
weet hij als geen ander hoe daar de hazen lopen. Het is tijd dat in de boardrooms<br />
men. Minister Opstelten laat echter geen<br />
aandacht mag ontsnappen, is het inkoop- het aan de CCO om al deze belanghebben- te verliezen.<br />
sluwe vossen komen, met oog en hart <strong>voor</strong> cybersecurity, bepleit hij. Waar zijn die<br />
Chief Cybersecurity Officers?<br />
Vroeger werd wel over generaals gezegd <strong>voor</strong>bereiden, virussen die zichzelf razend-<br />
dat ze altijd bezig zijn met de vorige oorlog. snel verspreiden en harde schijven die in<br />
gelegenheid <strong>voor</strong>bij gaan om erop te wijzen<br />
dat cyberveiligheid toch <strong>voor</strong>al de eigen<br />
verantwoordelijkheid is van organisaties en<br />
bedrijven. ‘De overheid neemt die niet van<br />
hen over.’ Bedrijven ontkomen er dus niet<br />
beleid. Hier zijn veel partijen bij betrokken,<br />
zowel intern (IT-afdeling, inkoop, marketing/communicatie,<br />
enzo<strong>voor</strong>t) als extern<br />
(onder meer aanbieders, onafhankelijke<br />
consultants en deskundigen). Bij een onden<br />
op één lijn te brengen en de discussie<br />
aan te jagen. Hij zal de omstandigheden<br />
moeten creëren waarin de inbreng van<br />
al deze partijen tot zijn recht kan komen.<br />
Om vervolgens uit te komen bij de oplos-<br />
Heb vertrouwen<br />
in wantrouwen<br />
Over de cybersoldaten die onze computer- China besmet zijn geraakt, ben je in eerste aan: zij moeten zelf die verantwoordelijknetwerken<br />
beschermen, kun je dat zeker instantie geneigd die met een korrel zout heid nemen.<br />
niet beweren. Het is juist hun ambitie om te nemen.<br />
hackers steeds een slag <strong>voor</strong> te zijn; hoe<br />
tijd <strong>voor</strong> een cco<br />
zouden zij eventueel onze systemen kun- fatalistische gedachte<br />
Op dit moment hebben veel onderneminnen<br />
binnendringen? Dat is de vraag waar Inmiddels realiseren veel bestuurders zich gen het veiligheidsissue wel ergens in<br />
crimefighters constant mee bezig zijn en wel dat een hack dramatische gevolgen de organisatie belegd. Bij<strong>voor</strong>beeld bij<br />
daarom ruiken zij al onraad als anderen nog kan hebben. Zij kunnen zich echter nog functionarissen met jarenlange ervaring in<br />
denken dat er geen vuiltje aan de lucht is. niet <strong>voor</strong>stellen dat zij zelf ook doelwit zijn. het politiewezen of het justitiële apparaat.<br />
Wantrouwen wordt hun tweede natuur. ‘Dat zal ons niet overkomen - what are the Het lijkt mij van belang om deze afdelingen<br />
odds?’, is wellicht een hele normale of zelfs op de kortst mogelijke termijn te verster-<br />
vertrouwen op wantrouwen<br />
natuurlijke reflex, maar het is niet de juiste ken met specialisten in (de bestrijding van)<br />
Dat is natuurlijk niet de instelling waarmee reactie. Een op zichzelf wel juiste maar cybercrime. Dat brengt ook de noodzaak<br />
de meesten van ons naar hun werk gaan. tegelijk fatalistische gedachte hobbelt daar van een meer gerichte aansturing met zich<br />
Enig wantrouwen is mij ook niet vreemd en mogelijk nog achteraan. ‘Honderd procent mee. Moet cybersecurity niet bovenaan op<br />
op gezette tijden geef ik de <strong>voor</strong>keur aan veiligheid is toch niet haalbaar, is het wel? de agenda van de CIO staan? Is het zelfs<br />
zeker weten boven vertrouwen. Maar toch: En dus…’<br />
niet raadzaam om de directie of raad van<br />
in mijn loopbaan heb ik het <strong>voor</strong>al van dat En dus krijgt cybersecurity niet de aandacht bestuur met één lid uit te breiden? Moet<br />
laatste moeten hebben. Als leidinggevende die het verdient, terwijl door de aanhou- er naast de CEO, CFO en CTO een plaats<br />
moet je nu eenmaal kunnen rekenen op de dende groei van het internetverkeer en het zijn <strong>voor</strong> een CCO, de Chief Cybersecurity<br />
mensen om je heen, de medewerkers, de steeds intensievere gebruik van mobiele Officer? Hij of zij kan er dan <strong>voor</strong> zorgen<br />
partners, enzo<strong>voor</strong>t. Ik zou me wel heel erg apparaten, zoals tablets en smartphones, dat veiligheid hoog op de agenda van de<br />
vergissen als mijn collega-bestuursleden de risico’s groter en talrijker worden. We directie komt te staan, en daar tot nader<br />
niet op dezelfde manier in het (bedrijfs-) kunnen steeds meer met internet, we doen order blijft staan!<br />
leven staan. Voor zover ik de sfeer in de steeds meer met internet, maar we worden Van deze CCO mag verwacht worden dat<br />
directiekamers van Corporate Nederland daardoor ook steeds kwetsbaarder. En hij om te beginnen slimme keuzes maakt<br />
heb mogen proeven, is dat er een van dus lijkt er <strong>voor</strong>lopig ook nog geen einde over de opslag van data: de persoonsge-<br />
vertrouwen.<br />
te komen aan de reeks incidenten die pal gevens (van medewerkers en klanten) en<br />
Je moet er ook vanuit kunnen gaan dat veel achter ons ligt: het malware op nu.nl, het de vitale bedrijfsgegevens (zoals gevoelige<br />
dingen gewoon goed geregeld zijn. Als dan diginotar-lek, de KPN-hack, de DDoS-aan- documenten of AutoCAD-tekeningen van<br />
mensen <strong>voor</strong>bijkomen met wilde verhalen vallen op de websites van Mastercard en innovatieve producten). Hij of zij stuurt<br />
over cybercriminaliteit, over maffiose het Openbaar Ministerie, het Dorifel-virus, de IT-afdeling aan, maar dat is slechts een<br />
leiders die vanuit de Oekraïne aanvallen enzo<strong>voor</strong>t.<br />
onderdeel van zijn takenpakket.<br />
Het cybersecuritybeleid omvat namelijk<br />
verantwoordelijkheid van bedrijven veel meer. Zo draagt de CCO eveneens<br />
De overheid stelt zich niet afzijdig op. Eind de verantwoordelijkheid <strong>voor</strong> de bewust-<br />
vorig jaar heeft de Tweede Kamer nog uitwording van medewerkers, want als die<br />
gebreid en met kennis van zaken gesproken laatsten argeloos internet gebruiken en<br />
over het Nationale Cyber Security Beleid. geen acht slaan op risico’s als phishing, dan<br />
Bij die gelegenheid is ook de door collega is het dweilen met de kraan open.<br />
Wie vrede wil,<br />
moet zich op oorlog<br />
<strong>voor</strong>bereiden<br />
12 | fox files #1 2013 fox files #1 2013 | 13
opinie praktijk actueel<br />
crisispreventie<br />
Zoals andere directieleden letten op de koersontwikkeling en<br />
de salesperformance van de businessunits, zo kan het nieuwe<br />
bestuurslid alle informatie over IT-security binnen en buiten het<br />
bedrijf bijhouden. Zo krijgt hij de kans om het veiligheidsbeleid – of<br />
beter gezegd: het crisispreventiebeleid – op een steeds hoger plan<br />
te brengen.<br />
Wie niets doet, komt zeker aan de beurt. Een aloud beginsel is dan<br />
ook actueler dan ooit: wie vrede wil, moet zich op oorlog <strong>voor</strong>bereiden.<br />
Bedrijven die dat motto omarmen en daar een eigentijdse<br />
invulling aan geven, zullen zichzelf en hun omgeving veel onheil<br />
besparen. En inderdaad: zij zullen bijtijds de assistentie inschakelen<br />
van de cybercrimefighters die door hun werk wantrouwend zijn<br />
ingesteld, maar die juist daarom hun vertrouwen verdienen.<br />
Ad Scheepbouwer, directeur Fox-IT<br />
wie is ad scheepbouwer?<br />
Ad Scheepbouwer (1944) is een selfmade topmanager.<br />
Hij ging <strong>voor</strong>tijdig van school, pakte alle kansen en schuwde<br />
geen uitdaging. Snel maakte hij carrière bij diverse logistieke<br />
bedrijven. Bekendheid kreeg hij vanaf 1989, als directeur en<br />
CEO van PTT Post, later TNT. Vanaf 2001 leidde hij het telecombedrijf<br />
KPN weg van een dreigende UMTS-ondergang<br />
naar een internationaal gerespecteerd bedrijf. Al in 2002<br />
werd hij verkozen tot Topman van het Jaar. In mei 2011<br />
nam hij afscheid bij KPN. Sindsdien deed hij verschillende<br />
investeringen in bedrijven, waaronder fox-it waar hij tevens<br />
een van de drie directeuren werd.<br />
waarom ben je in fox-it gestapt?<br />
‘Zoekende naar investeringen kwam ik in gesprek met<br />
Ronald Prins en Menno van der Marel. Helaas is cybercrime<br />
een markt die sterk groeit, en fox-it is nationaal de koploper<br />
in de bestrijding hiervan. Het bedrijf groeit al sterk en<br />
heeft veel mogelijkheden <strong>voor</strong> verdere expansie. Dat is een<br />
gunstige basis <strong>voor</strong> een investering. Daarnaast is het een<br />
leuk bedrijf om <strong>voor</strong> te werken, met veel jonge mensen.’<br />
hoe is het om tussen die jonge honden van fox-it<br />
te werken?<br />
‘Ik werk altijd graag met jonge mensen. Ze hebben veel<br />
energie, tonen een groot enthousiasme en zitten vol ambities.<br />
Dat trekt me. Zelf kan ik er dan een andere kijk aan<br />
toevoegen.’<br />
wat ga je toevoegen aan fox-it?<br />
‘Mijn uitdaging is te helpen bij de verdere uitbouw van het<br />
bedrijf. Snelle groei creëert nu eenmaal problemen: hoe<br />
kom je aan mensen, hoe bewaak je de kwaliteit, hoe richt<br />
je de organisatie in, hoe financier je het? Ik ga helpen dat<br />
te managen, met aandacht <strong>voor</strong> <strong>voor</strong>al het financiële deel.<br />
We gaan ook een strategie opzetten: welke producten en<br />
diensten, in welke landen? Welke stappen willen we de komende<br />
jaren zetten? Duidelijke keuzes maken, niet zomaar<br />
groeien. Dat geeft je ook een helder verhaal naar klanten en<br />
medewerkers.’<br />
Security<br />
leer je niet<br />
uit een<br />
boekje<br />
Regelmatig verzorgen Foxers<br />
gastcolleges en trainingen om<br />
cyberexperts op te leiden of<br />
om basale securitykennis over<br />
te dragen. En omdat zij vinden<br />
dat je niet vroeg genoeg kunt<br />
beginnen, geven ze zelfs trainin-<br />
gen aan kinderen.<br />
De meeste incidenten<br />
zijn eigenlijk heel<br />
simpele hacks<br />
‘De meeste cyberincidenten die wij tegenkomen,<br />
zijn eigenlijk heel simpele hacks’,<br />
vertelt Hans Hoogstraaten, Security Expert<br />
van fox-it. ‘Door makkelijk te <strong>voor</strong>komen<br />
foutjes krijgen hackers toegang tot systemen,<br />
met alle gevolgen van dien. Al met<br />
een basis securitykennis had men kunnen<br />
zien dat de beveiliging niet toereikend was.’<br />
Hoe kan dat anders? Hans: ‘Het antwoord<br />
is simpel: kennis op het gebied van beveiliging<br />
moet gemeengoed worden.’<br />
iedereen opleiden<br />
Iedereen kennis van beveiliging; het lijkt<br />
een onbegonnen zaak. Hoe ziet Hans dit?<br />
‘Cybersecurity is een onderwerp waar<br />
we vroeg of laat allemaal mee te maken<br />
krijgen. Een goed uitgangspunt is het groeiende<br />
bewustzijn over risico’s die wij lopen<br />
met ‘moderne’ technologie. Een basisniveau<br />
van securitykennis is dan al toereikend<br />
en het is mogelijk iedereen op dat<br />
niveau te krijgen. Vergelijk het met voetbal:<br />
de KNVB heeft een brede basis voetbalspelers<br />
met 800 duizend amateurleden.<br />
Daaruit ontstaat een top, het Nederlands<br />
elftal. Dus als meer mensen begrijpen wat<br />
cybersecurity inhoudt en dat leuk vinden,<br />
komen er vanzelf ook meer experts.’<br />
gastlessen<br />
fox-it wil zo veel mogelijk mensen vertellen<br />
hoe security werkt. Als commercieel<br />
bedrijf deelt het informatie en advies met<br />
klanten, biedt trainingen aan, en sponsort<br />
bij<strong>voor</strong>beeld een leslokaal in hackerspace<br />
Hack42 en programmeerwedstrijden.<br />
Daarnaast vinden Foxers dat zij een bredere<br />
maatschappelijke taak hebben. Hans: ‘We<br />
geven presentaties, gastcolleges of werken<br />
mee aan items in de media. Onze slogan<br />
For a more secure society leeft écht bij<br />
Foxers.’<br />
Medewerkers van fox-it geven gastcolleges<br />
aan zo’n twintig verschillende mbo’s,<br />
hbo’s en universiteiten. Ook geven ze graag<br />
uitleg aan mensen die wel met security<br />
te maken hebben maar zich niet bezighouden<br />
met de techniek, zoals juristen,<br />
webredacteuren en informatiespecialisten.<br />
Cybersecurity wordt vaak meer als een<br />
belemmering dan noodzaak gezien. ‘Maar<br />
cybersecurity gaat iedereen aan die een<br />
computer of smartphone heeft’, zegt Hans.<br />
‘Daarom geven we zelfs les aan kinderen.<br />
Wij vinden dat je niet vroeg genoeg<br />
kunt beginnen dat duidelijk te maken.’<br />
14 | fox files #1 2013 fox files #1 2013 | 15
praktijk<br />
actueel interview<br />
jong geleerd<br />
In samenwerking met pedagogisch centrum<br />
‘Basis in Perspectief’ verzorgde fox-it<br />
bij centrum KidzTower in Nieuwegein<br />
een thema-week <strong>voor</strong> kinderen met een<br />
hoge intelligentie. Onderwerp: forensisch<br />
<strong>onderzoek</strong>. Een Foxer gaf les aan een groep<br />
zes- tot negenjarigen. Spelenderwijs legde<br />
hij uit welke soorten forensisch <strong>onderzoek</strong><br />
zij op hun computer kunnen doen en<br />
waarom het belangrijk is dat ze dat op de<br />
juiste manier doen. De kinderen gingen<br />
enthousiast aan de slag, haalden computers<br />
uit elkaar en maakten forensische images<br />
van harddisks.<br />
opleiden <strong>voor</strong> een veiligere<br />
samenleving<br />
‘Met meer cyberopgeleide mensen wordt<br />
de samenleving veiliger’, legt Hans uit. ‘Dat<br />
is nodig want cybercrime groeit en zal dat<br />
de komende tijd blijven doen. Niet alleen<br />
is kennis de sleutel om je zelf te beschermen,<br />
ook zal de vraag naar securityexperts<br />
blijven toenemen.’ Helaas laten trend<strong>onderzoek</strong>en<br />
zien dat ook het tekort aan<br />
IT-personeel de komende tijd alleen maar<br />
toeneemt. Des te meer reden om kennis<br />
over cybersecurity <strong>voor</strong> iedereen toegankelijk<br />
te maken.<br />
stage en promotie<br />
Een aspect dat bijdraagt aan een veiliger<br />
digitale samenleving is academisch <strong>onderzoek</strong>.<br />
Cybersecurity is een relatief nieuw<br />
<strong>onderzoek</strong>sveld in de wetenschap. Daarnaast<br />
ontwikkelt de ICT zich razendsnel<br />
met nieuwe technieken en diensten. Het is<br />
daarom moeilijk <strong>voor</strong> wetenschappers om<br />
goed en bruikbaar <strong>onderzoek</strong> te doen. Hoe<br />
meer kennis zij opdoen in de praktijk, hoe<br />
meer dat bijdraagt aan wetenschappelijk<br />
cyber<strong>onderzoek</strong>. Hans: ‘Daarom werkt<br />
fox-it samen met hogescholen, universitei-<br />
ten en andere <strong>onderzoek</strong>sinstellingen en<br />
stellen we continu meerdere promotie- en<br />
stageplaatsen beschikbaar.’<br />
Frank Uijtewaal, derdejaars hbo’er Security<br />
Technology aan de Hogeschool van<br />
Utrecht, is net klaar met zijn stage bij<br />
fox-it: ‘Door mijn stage weet ik nu beter<br />
wat ik na mijn huidige studie wil doen, namelijk<br />
een master Computer Science. Mijn<br />
interesse in de ICT Security is absoluut<br />
gegroeid.’<br />
Heb je een leuk idee om kennis over cybersecurity<br />
onder de aandacht te brengen en<br />
kan fox-it hierbij helpen?<br />
Neem gerust contact met ons op via<br />
fox@fox-it.com<br />
Op internet staan talloze security tutorials<br />
en challenges. Een selectie vind je bij de<br />
online versie van dit artikel onder Nieuws<br />
op fox-it.com<br />
Cybersecurity gaat<br />
iedereen aan met een<br />
computer of smartphone<br />
Kolonel Hans Folmer,<br />
commandant Taskforce Cyber:<br />
Met cyber win je geen oorlog,<br />
wel een slag<br />
Het is niet de massa<br />
die de kwaliteit maakt<br />
Er is nog geen echte cyberwar<br />
De activiteiten van Defensie in de cyberwereld kennen veel parallellen met die<br />
in de conventionele wereld. Net als wapens of inlichtingen is ‘cyber’ een van de<br />
instrumenten <strong>voor</strong> een commandant, zegt kolonel Hans Folmer van de Taskforce Cyber.<br />
Ronald Prins spreekt met hem over de cyberstrategie van Defensie.<br />
Defensie komt alleen in<br />
actie met een mandaat<br />
van onze regering<br />
16 | fox files #1 2013<br />
fox files #1 2013 | 17
interview interview<br />
Ronald: Defensie schreef een cyberstrategie (zie kader, red). Aan<br />
jou en jouw Taskforce de taak om die in te vullen. Met welke activiteiten<br />
ben je bezig?<br />
Hans: Onze activiteiten richten zich grofweg op drie dingen.<br />
Allereerst een defensieve capaciteit tegen cyberaanvallen. Dat<br />
doen we door het inrichten van het DefCERT (Defensie Computer<br />
Emergency Response Team). Ten tweede op het verzamelen van<br />
inlichtingen. Dat is het terrein van de MIVD (Militaire Inlichtingen-<br />
en Veiligheidsdienst). Cyber is een van de bronnen die we<br />
gebruiken om informatie te verzamelen. Ten derde richten onze<br />
activiteiten zich op operationele slagkracht. Daarin onderscheidt<br />
Nederland zich. Want wij vinden dat cyber ook een offensief<br />
instrument moet zijn in de gereedschapskist van een commandant.<br />
Net zoals wapens, inlichtingen en verdediging. Per keer kijk je welk<br />
effect je wilt bereiken en welke instrumenten je daar<strong>voor</strong> inzet.<br />
Verandert cyber<br />
de systematiek<br />
van oorlogvoering?<br />
Een commandant moet in zijn planning om een doel te bereiken<br />
ook cyber kunnen meenemen. Hij moet daarover adviezen krijgen<br />
van een specialist en vervolgens zijn instrumenten kiezen. Zet hij<br />
special forces in, F16’s of cyber?<br />
Ronald: Cyber is altijd ondersteunend aan andere activiteiten?<br />
Hans: Ja, het is een instrument <strong>voor</strong> de commandant. Met cyber<br />
win je geen oorlog, wel een slag.<br />
systemen manipuleren of uitschakelen<br />
Ronald: Je deed in het verleden mee aan Nederlandse missies.<br />
Heb je een <strong>voor</strong>beeld van een situatie waarin cyber een goed<br />
instrument had kunnen zijn?<br />
Hans: In Afghanistan vochten we tegen tegenstanders die technologisch<br />
minder krachtig waren. Wel gebruikten zij gsm, e-mail<br />
en zaten ze in internetcafés. Die communicatie hadden we kunnen<br />
monitoren, misschien wel kunnen omleiden. Bij meer technologische<br />
tegenstanders kun je overwegen om hun informatiesystemen<br />
te verstoren, de toegang tot hun technische systemen te blokkeren<br />
of ze zelfs te vernietigen. Een ander <strong>voor</strong>beeld is de antipiraterij.<br />
Daar wordt onderhandeld over losgeld. Met cyber kun je meer<br />
over die communicatie ontdekken en wellicht manipuleren. Je kunt<br />
bij<strong>voor</strong>beeld een gemanipuleerde boodschap overbrengen dat het<br />
losgeld is betaald, terwijl dat in het echt niet is gebeurd.<br />
Ronald: Voorzie je scenario’s waar cyber wordt ingezet tegen<br />
civiele doelen?<br />
Hans: Bij de Operation Allied Force tegen Servië en bij de invasie<br />
van de VS in Irak zijn energiecentrales uitgeschakeld door er netten<br />
van koolstofvezels over te gooien. Dat betekende wel een kostbare<br />
herbouw. Stel dat je nu die centrales kunt uitschakelen via cyber,<br />
dan scheelt dat enorm in de wederopbouw van een land. Dan<br />
bereik je écht wat. Dat geldt ook <strong>voor</strong> het uitschakelen van bij<strong>voor</strong>beeld<br />
radarsystemen of luchtverdedigingssystemen. Je kunt al heel<br />
veel bereiken als bij<strong>voor</strong>beeld de metertjes bij een tegenstander<br />
wat anders aangeven dan de werkelijkheid.<br />
Ronald: Betekent dit dat gevechten schoner worden?<br />
Hans: Dat is altijd het doel. Met cyber kun je dat in theorie nog<br />
beter bereiken. Ik zeg bewust ‘in theorie’, want bij<strong>voor</strong>beeld het verspreiden<br />
van virussen is iets dat nog vrij ongecontroleerd gebeurt.<br />
Dan heb je dus ook geen goede controle over de effecten.<br />
Nee, niet echt. In cyber zijn<br />
er wel grenzen, maar we<br />
zijn allemaal elkaars buren<br />
18 | fox files #1 2013 fox files #1 2013 | 19
interview interview<br />
Ronald: Is dat je angst? Stuxnet is ook<br />
gevonden bij een Japanse kerncentrale en<br />
zelfs in Nederland.<br />
Hans: Het is mooi als je via cyber de<br />
radarsystemen van je opponent weet uit te<br />
schakelen, maar wat als je tegelijkertijd die<br />
van je partners uitschakelt?<br />
Ronald: Zijn dat niet nog de kinderziektes<br />
van een cyberwar?<br />
Hans: Jazeker. We staan nog erg aan het begin.<br />
We kruipen nog, moeten leren opstaan,<br />
lopen en rennen. En zullen nog vaak vallen.<br />
Het zal organisch moeten groeien.<br />
oorlog verklaren via twitter<br />
Ronald: Er zijn dus veel parallellen te trekken<br />
tussen een klassieke Defensie en cyber.<br />
Maar op de klassieke manier kun je leren<br />
van de acties van je tegenstander, kun je<br />
zelf oefeningen opzetten. In cyber niet. Hoe<br />
bereid je je <strong>voor</strong> op een tegenstander die<br />
je nog niet kent? Stel, je hebt een missie,<br />
en ergens op een zolderkamer zit iemand<br />
die de missie wil verstoren, of juist helpen.<br />
Dat verandert toch de hele systematiek van<br />
oorlogvoering?<br />
Hans: Nee, niet echt. Ook nu al kan elke<br />
idioot zich mengen in een conflict. We<br />
kunnen nu ook al terroristen in Nederland<br />
hebben? Datzelfde gebeurt in cyber. In<br />
cyber zijn er wel grenzen, maar we zijn<br />
allemaal elkaars buren: je weet niet waar<br />
ter wereld de persoon zit die zich ermee<br />
gaat bemoeien, maar in cyber is het altijd je<br />
buurman. En hij kan binnen een milliseconde<br />
een actie uitvoeren. Onze tegenstanders<br />
kunnen staten zijn, of groepen, of<br />
individuen. Zoals Anonymus tegen Israël.<br />
Ronald: Hoe ver reikt je operationele<br />
terrein? Komt Defensie in actie als er een<br />
vreemd bericht op nu.nl verschijnt?<br />
Hans: Dat is een goede vraag. Defensie<br />
zal niet in actie komen bij een berichtje op<br />
nu.nl of als er een website gehackt wordt.<br />
Wel als er een statelijke actor schade aanricht<br />
die vergelijkbaar is met een conventionele<br />
aanval. En dan nog alleen met een<br />
mandaat van onze regering. Maar wat is<br />
cyber? Het over en weer beïnvloeden van<br />
je omgeving? Bij het Gaza-conflict heeft de<br />
IDF (Israeli Defense Forces, red.) Twitteren<br />
webberichten de wereld in gestuurd,<br />
bij<strong>voor</strong>beeld dat een Hamasleider dood<br />
was. Zelfs de oorlogsverklaring is via Twitter<br />
gegaan. Dat was een informatieoperatie,<br />
geen cyberoperatie. Daarna waren er<br />
DDoS-aanvallen over en weer, dat was wel<br />
cyber. En als Hamas dat had gedaan, dan<br />
was het een cyberwar geworden. Nu was<br />
niet bekend wie de aanvallen deed. Toch,<br />
er is nog geen echte cyberwar aan de gang.<br />
Het is nu <strong>voor</strong>al intelligence en spionage.<br />
En dat is van alle tijden. Maar het kan wel<br />
zomaar gebeuren. Ook nu we met onze<br />
Patriots weer naar Turkije gaan. Stel dat<br />
Syrië een DDoS-aanval op Nederland richt,<br />
dan is het cyberwar, want dan is er een<br />
statelijke actor in het spel.<br />
offensieve wapens<br />
Ronald: Hoe maak je als Defensie plannen<br />
rond offensieve cyberinstrumenten als je<br />
nog niet weet hoe die eruit zien, wat ze<br />
moeten kunnen doen?<br />
Hans: Heel rudimentair: neem het op in je<br />
operationele planning. Zoek uit wat de wapens<br />
van je tegenstander zijn. Hoe gebruikt<br />
die cyber, welke capaciteit kan die tegen<br />
mij inzetten?<br />
Ronald: Hoe oefen je daarin?<br />
Hans: We kunnen wel <strong>voor</strong>bereidingen<br />
treffen en oefenen, net zoals met conventionele<br />
defensie-eenheden. Het is alleen<br />
lastig in te schatten of je een cyberwapen<br />
slechts eenmalig kunt inzetten of vaker.<br />
En hoe effectief is een cyberwapen?<br />
Wil je zoiets als Stuxnet effectief maken,<br />
dan moet je eerst thuis het hele systeem<br />
nabouwen en oefenen. Dat kost tijd en<br />
geld. Daarom focussen we ons momenteel<br />
<strong>voor</strong>al op de defensieve aspecten van cyber<br />
en op inlichtingen. Vervolgens gaan we<br />
daarvan leren, en met die kennis kunnen<br />
we gaan bouwen.<br />
Ronald: De Nederlandse politie is begonnen<br />
te opereren in cyber. Pas later is er<br />
een huis omheen gezet, en is de wetgeving<br />
aangepast. Hoe kan Defensie dat doen?<br />
De politie oefende en leerde dus in het echt.<br />
defensie cyber strategie<br />
Defensie presenteerde in<br />
2012 haar Defensie Cyber<br />
Strategie. Deze visie geeft aan<br />
hoe Nederland haar digitale<br />
weerbaarheid versterkt en het<br />
militaire vermogen ontwikkelt om<br />
cyberoperaties uit te voeren. De<br />
Defensie Cyber Strategie heeft zes<br />
speerpunten:<br />
1. Totstandkoming van een<br />
integrale aanpak.<br />
2. Versterken van de digitale<br />
weerbaarheid.<br />
3. Ontwikkeling van het militaire<br />
vermogen om cyberoperaties<br />
uit te voeren.<br />
4. Versterken van de inlichtingenpositie<br />
in het digitale domein.<br />
5. Versterken van de kennispositie<br />
en van het innovatieve<br />
vermogen van Defensie in het<br />
digitale domein.<br />
6. Intensivering van nationale en<br />
internationale samenwerking.<br />
Hans: Tja, dat kunnen wij niet. Wij moeten<br />
een lab bouwen, daar slimme mensen in<br />
zetten en tegen hen zeggen: ga maar aan<br />
de slag! Verder maken we <strong>voor</strong>al gebruik<br />
van de kennis en capaciteit van de MIVD.<br />
We nemen cyber mee in het commandoproces,<br />
we adviseren commandanten wat<br />
ze in cyber kunnen doen en bereiken.<br />
cybersoldaten<br />
Ronald: Defensie moet zwaar bezuinigen.<br />
Kun je artilleristen inzetten als cybersoldaten?<br />
Hans: Ik vis in de vijver van mensen die bij<br />
Defensie werken en waarvan een gedeelte<br />
de organisatie moet verlaten. Daar zitten<br />
mensen tussen die we zeker kunnen gebruiken.<br />
Van hoogopgeleiden tot uitvoerders<br />
en adviseurs. Geschikte Defensiemensen<br />
moeten we opleiden, wellicht bij<br />
private partijen detacheren en ze later<br />
terughalen. Ook moeten we mensen in de<br />
vrije markt zien te vinden. In totaal willen<br />
we er bij Defensie ongeveer tweehonderd<br />
cyberspecialisten bij hebben. Het is dus<br />
niet de massa die de kwaliteit maakt. In elk<br />
geval zullen we geen eigen legereenheid<br />
oprichten. Nee, iedereen in de organisatie<br />
heeft al een verantwoordelijkheid en krijgt<br />
er het stukje cyber bij. De coördinatie ligt<br />
dan bij een cybercommandant.<br />
Ronald: Mijn angst is dat de oude structuren<br />
en denkwijzen te conventioneel zijn.<br />
Cyber vraagt toch meer om een incidentorganisatie?<br />
Hans: De eerste stap is awareness creëren<br />
bij iedereen binnen Defensie. 95% van de<br />
incidenten ontstaat door onwetendheid.<br />
We geven trainingen en gebruiken een<br />
simulatietool. Die opent vaak echt de ogen.<br />
Zo trainen we onze toekomstige militaire<br />
leiders en maken we ze cyberbewust.<br />
Dat is wel pionieren, en dat kost moeite.<br />
Zeker bij Defensie, zeker in tijden van<br />
krimp. Zonder de support van minister Hillen<br />
waren we nog niet zo ver geweest. En<br />
het is fijn dat de nieuwe minister Hennis-<br />
Plasschaert veel affiniteit met cyber heeft.<br />
Ze heeft ook de aftrap <strong>voor</strong> de awarenesscampagne<br />
gedaan. Het is essentieel dat<br />
onze topmensen ervaring hebben met de<br />
digitale wereld.<br />
klein maar slim land<br />
Ronald: Wat doen de landen om ons heen,<br />
waar staan we als Nederland?<br />
Hans: Ik schat in dat Nederland iets<br />
achterloopt op de grote landen zoals de VS,<br />
Rusland, Duitsland en Engeland. We lopen<br />
gelijk op met onze buurlanden en <strong>voor</strong>op<br />
ten opzichte van het merendeel van de<br />
Westerse landen. Andere landen investeren<br />
ook in cyber, maar niet iedereen is er open<br />
over. Cyber is nog nieuw, onbekend en<br />
eng. Het zit dicht tegen inlichtingen aan,<br />
daarom ligt het erg gevoelig. Wil je bij<strong>voor</strong>beeld<br />
je cybercapaciteiten aan anderen<br />
laten zien? Of juist niet?<br />
Ronald: Vroeger liet de USSR met een<br />
militaire parade op het Rode Plein haar<br />
spierballen zien. Van die raketten wist je<br />
niet of ze echt waren. Stuxnet was knap<br />
gemaakt, maar de verspreiding was knullig.<br />
Je vraagt je af of dat wellicht met opzet is<br />
gedaan.<br />
Hans: Dat is een interessante vraag. Op<br />
conventioneel gebied hebben we afspraken<br />
over bewapeningen en controleren we elkaar.<br />
Gaan we nu ook zerodays tellen? Dat<br />
zal niet zo snel gebeuren, verwacht ik.<br />
Ronald: We werken als Nederland internationaal<br />
samen aan missies, bij<strong>voor</strong>beeld<br />
met de inzet van onze Patriots. Kunnen we<br />
als klein maar slim land in cyber <strong>voor</strong>op<br />
lopen? Kan dat onze niche in Defensie zijn?<br />
Hans: In onze cyberstrategie hebben we<br />
meegewogen dat cyber een specialiteit kan<br />
zijn waarin Nederland zich kan onderscheiden.<br />
Binnen de NATO zijn wij ook <strong>voor</strong>trekker<br />
om cyber geaccepteerd te krijgen als<br />
operationele capaciteit. NATO richt zich<br />
<strong>voor</strong>alsnog <strong>voor</strong>al op de defensieve kanten.<br />
Onze visie is anders, dat proberen we over<br />
te dragen.<br />
cyberkolonel hans folmer<br />
Hans Folmer is commandant<br />
Taskforce Cyber bij de Defensiestaf.<br />
Hij is belast met de implementatie<br />
van het cyberprogramma binnen de<br />
krijgsmacht. Sinds zijn benoeming<br />
tot officier in 1986 vervulde hij<br />
zowel operationele als technische<br />
functies in binnen- en buitenland.<br />
Als hoofd afdeling Gemeenschappelijke<br />
Behoeften was hij belast met<br />
de (operationele) behoeftestelling<br />
van commandovoerings-, communicatie-,<br />
informatie-, inlichtingen- en<br />
verkenningssystemen (C4I). Als<br />
hoofd van het EU operatiecentrum<br />
in Brussel monitorde hij alle EU missies<br />
en leidde hij de gemeenschappelijke<br />
EU missies in Darfur. Van<br />
2004 tot 2007 was hij commandant<br />
van het binationale CIS Battalion 1<br />
(GE/NL) Corps, dat het hoofdkwartier<br />
en alle eenheden <strong>voor</strong>ziet van<br />
mobiele (satelliet)verbindingen,<br />
netwerken en ICT-middelen. Ook<br />
was hij senior projectmanager bij de<br />
Directie Materieel en hoofd logistiek<br />
bij 1 Divisie.<br />
Hans Folmer is afgestudeerd aan<br />
het US Army War College (2010,<br />
Master in Strategic Studies) en de<br />
Technische Universiteit Delft (1995,<br />
Electrotechniek).<br />
20 | fox files #1 2013 fox files #1 2013 | 21
actueel praktijk praktijk actueel<br />
Na een cyberaanval<br />
de 5 fasen<br />
van rouw<br />
Het is een ramp waarvan je hoopt<br />
dat die je nooit overkomt en waar je<br />
in het openbaar liever niet over praat:<br />
slachtoffer zijn van cybercrime als fraude,<br />
bedrijfsspionage, phishing of hacking.<br />
Wat blijkt? De reactie van getroffen<br />
organisaties past prima in het bekende<br />
model van ‘vijf fasen van rouw’.<br />
1. ontkenning<br />
Dit moet een fout zijn.<br />
Dit kan ons toch niet overkomen?<br />
Het is makkelijk om de feiten te ontkennen, of deze te bagatelliseren.<br />
Voor de meeste mensen is de eerste fase, die van ontkenning,<br />
gelukkig van <strong>voor</strong>bijgaande aard. Het is dan ook een natuurlijke<br />
reactie om een onwenselijke situatie eerst te negeren. Echter,<br />
bij cybercrime kan deze vertraging aardig kostbaar worden. Uit<br />
<strong>onderzoek</strong> van het Ponemon Instituut (USA) blijkt dat Amerikaanse<br />
bedrijven in 2012 gemiddeld 24 dagen nodig hadden om een geval<br />
van cybercrime op te lossen. Gemiddeld liep de financiële schade<br />
daarbij op tot 436.865 euro per incident. In Duitsland kwamen<br />
deze gemiddelden uit op 22 dagen respectievelijk 294.829 euro;<br />
Engeland deed het iets beter met 24 dagen en gemiddelde kosten<br />
van 157.403 euro.<br />
Om de financiële schade te beperken, is het cruciaal dat de fase<br />
van ontkenning snel <strong>voor</strong>bij gaat. Maar blijf ook niet hangen in de<br />
tweede fase…<br />
2. boosheid<br />
Hoe heeft dit kunnen gebeuren?<br />
Wiens fout is dit?<br />
Als organisaties zich realiseren dat ontkennen geen zin heeft,<br />
begint de tweede fase. Iemand moet verantwoordelijk zijn,<br />
de schuld krijgen. En het probleem moet snel worden opgelost.<br />
Is eenmaal de veiligheid in het geding, dan kunnen de emoties hoog<br />
oplopen. Mensen kunnen hun boosheid op verschillende manieren<br />
uiten – door boos te zijn op zichzelf, op hun naaste collega’s, of op<br />
degene die bij<strong>voor</strong>beeld een phishing-mailtje opende. Onterecht,<br />
want cybercriminelen kunnen behoorlijk vasthoudend zijn. Een<br />
publicatie van Cisco Systems ‘Email Attacks: This Time It’s Personal’<br />
meldt dat zogeheten ‘spear phishing’, als onderdeel van een grote<br />
aanval, kan rekenen op een open-ratio van zeventig procent.<br />
Omdat de mails lijken te komen van een betrouwbare bron, zijn<br />
ontvangers tien keer vaker geneigd op een link te klikken.<br />
Bovendien lost het beantwoorden van de schuldvraag een crisis<br />
niet op. Natuurlijk is het belangrijk om te weten welke fouten er<br />
zijn gemaakt, maar maatregelen om een toekomstige cyberaanval<br />
te <strong>voor</strong>komen, moeten prioriteit krijgen. Een IT-manager doet er<br />
dan ook verstandig aan om zich niet te laten leiden door zijn<br />
emoties, zeker in de volgende fase…<br />
3. onderhandelen<br />
Ik heb er alles <strong>voor</strong> over om herhaling te <strong>voor</strong>komen.<br />
In de derde fase is er binnen de organisatie nog hoop dat de situatie<br />
wel overwaait door te onderhandelen. Meestal ontstaan er onderhandelingen<br />
met een grotere macht, zoals een leidinggevende,<br />
om de situatie aan te pakken in ruil <strong>voor</strong> veranderingen.<br />
Er zijn nogal wat organisaties die na een incident het risico willen<br />
verlagen door zowel <strong>voor</strong> gebruikers als <strong>voor</strong> systemen een streng<br />
veiligheidsbeleid in te voeren. Zo’n oplossing is in de praktijk<br />
meestal niet bevorderlijk <strong>voor</strong> de bedrijfsvoering. Hoewel het altijd<br />
goed is om kritisch na te denken over een onderwerp als veiligheid,<br />
is het belangrijk om geen overhaaste beslissingen te nemen.<br />
Wie de tijd neemt om hier rustig over na te denken, belandt al snel<br />
in de vierde fase…<br />
22 | fox files #1 2013 fox files #1 2013 | 23
actueel opinie<br />
4. depressie<br />
Ik kan er niet meer tegen!<br />
Overleeft onze organisatie dit wel?<br />
Veel is er niet <strong>voor</strong> nodig om gedurende het rouwproces wanhopig<br />
te worden, of het gevoel te krijgen dat een probleem onoplosbaar<br />
is en nooit meer verdwijnt. Erger is nog dat deze gevoelens leiden<br />
tot lethargie. Zit niet bij de pakken neer! Er moet actie worden<br />
ondernomen, en er is altijd een oplossing.<br />
Te midden van de chaos die een beveiligingslek met zich meebrengt,<br />
is het belangrijk de rust en het overzicht te bewaren. Dan<br />
verdwijnt snel het gevoel van machteloosheid dat je kunt krijgen<br />
van onzichtbare en anonieme indringers. Raadpleeg deskundigen<br />
en ervaren professionals, bij<strong>voor</strong>beeld de FoxCERT-experts van<br />
fox-it. Zij zijn altijd telefonisch bereikbaar, 24/7 beschikbaar en<br />
ze staan je met raad en daad terzijde. Na een eerste beoordeling<br />
van het probleem krijg je snel een advies om het een en ander op<br />
te lossen. Vervolgens kun je samen met een multidisciplinair team<br />
werken aan een definitieve oplossing. Dat gebeurt bij <strong>voor</strong>keur op<br />
locatie, maar er zijn ook uitstekende remote oplossingen.<br />
In de eerste analyse is het goed om de feiten van de aannames te<br />
scheiden en de prioriteiten van de organisatie <strong>voor</strong>op te stellen.<br />
De adviezen van fox-it zijn daarop afgestemd, evenals de middelen<br />
om een crisis aan te pakken. Een nauwe samenwerking en directe<br />
communicatielijnen met de belangrijkste beslissers zorgen er<strong>voor</strong><br />
dat iedereen zo goed mogelijk opereert. Stel het management én<br />
het team <strong>voor</strong>tdurend op de hoogte van de <strong>voor</strong>tgang en mogelijkheden<br />
om het incident op te lossen.<br />
Hiermee maak je de stap naar de vijfde en laatste fase.<br />
Te midden van de chaos die een beveiligings-<br />
lek met zich meebrengt, is het belangrijk de<br />
5. acceptatie<br />
Het komt allemaal goed.<br />
Het vertrouwen is terug, en daarmee ook de daadkracht om de situatie<br />
onder controle te krijgen en de juiste beslissingen te nemen<br />
<strong>voor</strong> de toekomst.<br />
Natuurlijk is dit artikel met een knipoog geschreven. Toch zijn de<br />
beschreven reacties op een cybersecurity incident zeer menselijk<br />
en zeker niet ongewoon. Na van de eerste schrik te zijn bekomen,<br />
heeft FoxCERT de kennis en ervaring om organisaties snel en<br />
soepel te begeleiden van de fase van ontkenning naar acceptatie.<br />
Vertraging van bedrijfsactiviteiten en financiële schades blijven<br />
daarmee tot een minimum beperkt.<br />
wat kan foxcert doen bij een cybercrisis?<br />
enkele <strong>voor</strong>beelden:<br />
Complex business recovery. Bij sommige incidenten, zoals<br />
een DDoS-aanval of een gecoördineerde aanval op servers,<br />
is het belangrijk dat zo snel mogelijk vervangende communicatie<br />
in de lucht komt. Samen met FoxCERT-experts herstel<br />
je de bedrijfsactiviteiten zo snel en verantwoord mogelijk.<br />
Emergency security monitoring. Is het incident <strong>voor</strong>bij?<br />
Was dit het enige, of waren er nog andere incidenten?<br />
Door de specialisten van FoxCERT intelligente sensoren in<br />
een netwerk te laten plaatsen en deze ook te laten monitoren,<br />
kan het veiligheidsteam een organisatie behoeden <strong>voor</strong><br />
een herhaling van de aanvallen.<br />
Veiligstellen van digitale bewijsvoering. De forensisch<br />
experts van FoxCERT <strong>onderzoek</strong>en systemen op sporen van<br />
digitaal bewijs, om deze vervolgens op een juridisch juiste<br />
manier te rapporteren en veilig te stellen. Ook in een eventuele<br />
rechtszaak kunnen zij optreden als forensisch expert.<br />
Andere diensten van FoxCERT zijn digitaal forensisch <strong>onderzoek</strong>,<br />
security monitoring, een grondige penetratietest,<br />
PR-advies, crisismanagement en contact met politie en justitie.<br />
Op die manier kom je exact te weten wat het incident<br />
is en hoe je het oplost, hoe het is ontstaan en <strong>voor</strong>al wat je<br />
kunt doen om herhaling te <strong>voor</strong>komen.<br />
de dilemma’s van<br />
responsible disclosure<br />
Zolang er complexe IT-systemen zijn,<br />
zijn er kwetsbaarheden. En zolang er<br />
hackers zijn, zullen zij kwetsbaarheden<br />
vinden. Wat doet een hacker dan?<br />
Publiekelijk waarschuwen? Of beter<br />
eerst de verantwoordelijke informeren<br />
zodat die het probleem kan oplossen?<br />
Responsible disclosure kent vele<br />
dilemma’s.<br />
In de hackergemeenschap bestaat sinds<br />
jaar en dag een mooie cultuur: zie je<br />
een veiligheidsprobleem, dan wijs je de<br />
systeemeigenaar erop zodat die het kan<br />
verhelpen. Een aardigheidje, dat stuk<br />
<strong>voor</strong> stuk het veiligheidsniveau verbetert.<br />
Echter, bij hackers en verantwoordelijke<br />
personen in bedrijven heb je verschillende<br />
karakters - the good, the bad and the<br />
indifferent. Aan beide kanten gaat niet<br />
iedereen even fatsoenlijk met een melding<br />
om, vaak ook omdat eigen belangen<br />
zwaarder wegen dan het oplossen van het<br />
veiligheidsprobleem. Voor de hacker is de<br />
wet de grootste bedreiging - ben je in een<br />
systeem waar je niet hoort te zijn, dan<br />
ben je strafbaar - en <strong>voor</strong> een bedrijf is<br />
het een ‘veroordeling’ in de media.<br />
Hoe gedragen goedwillende hackers en<br />
het gehackte bedrijf zich verantwoord in<br />
deze ingewikkelde situatie? Responsible<br />
(of: coordinated) disclosure gaat om de<br />
keuze tussen een lek openbaar aan de<br />
kaak stellen - door het aan de media te<br />
melden of gegevens op internet te zetten<br />
- of eerst de verantwoordelijke organisatie<br />
op de hoogte te brengen, en die zo de<br />
mogelijkheid te geven het probleem op<br />
te lossen nog <strong>voor</strong>dat er schade is. Het is<br />
een balans die veel vragen oproept.<br />
zelfbescherming<br />
Wat zijn realistische tijdslijnen <strong>voor</strong><br />
disclosure? Hoe moet een hacker omgaan<br />
met zeer ernstige kwetsbaarheden<br />
waarbij het publiek zo snel mogelijk<br />
geïnformeerd moet worden om zichzelf te<br />
beschermen? Enerzijds zijn de belangen<br />
groot bij relatief eenvoudig toegankelijke<br />
patiëntendossiers of controlesystemen.<br />
Responsible disclosure kan dan de beveiliging<br />
van deze systemen verbeteren.<br />
Anderzijds betekent een volledige scan<br />
van de omgeving of het exploiteren van<br />
kwetsbaarheden in veel gevallen dat je de<br />
wet overtreedt.<br />
maatschappelijk hacken<br />
Hackers die vinden dat hun meldingen te<br />
vaak onbeantwoord blijven of bang zijn<br />
dat er aangifte tegen hen wordt gedaan,<br />
kiezen er sneller <strong>voor</strong> om direct naar de<br />
media te stappen met hun ontdekking. Zo<br />
wordt de oorspronkelijk ‘ethische hacker’<br />
die met goede intenties ging hacken,<br />
onethisch doordat hij een organisatie<br />
geen kans geeft het gevonden probleem<br />
op te lossen. Hackers doen dit <strong>voor</strong>al<br />
bij gebrek aan vertrouwen in een bedrijf<br />
of de overheid. Of als ze ideologisch<br />
gemotiveerd zijn, waarbij gehackte<br />
bedrijven als bewijs worden opgevoerd<br />
dat er structureel iets mis is – een soort<br />
bewuste collateral damage ten behoeve<br />
van een hoger doel.<br />
Met het lukraak scannen van organisaties<br />
om IT-lekken te vinden en die vervolgens<br />
publiek te maken, helpen hackers de<br />
maatschappij niet, vindt Steffen Morrees,<br />
manager Forensic R&D bij fox-it. Dat veel<br />
organisaties lek zijn, is geen nieuws. Beter<br />
is het dat we samen onze energie steken<br />
in dialoog.<br />
rust en het overzicht te bewaren Het vertrouwen tussen bedrijven en<br />
hackers verbetert alleen als beide<br />
partijen weten waar ze aan toe zijn<br />
24 | fox files #1 2013<br />
fox files #1 2013 | 25
actueel actueel<br />
Responsible disclosure doelt er <strong>voor</strong>al op<br />
dat het vertrouwen tussen de hacker en<br />
het bedrijf groter wordt. Dit gebeurt door<br />
afspraken te maken over welk gedrag van<br />
een hacker verwacht wordt en welk gedrag<br />
het bedrijf aan de melder garandeert. Een<br />
eigen responsible disclosure-beleid op de<br />
website publiceren, vereist bedrijfsintern<br />
zorgvuldige overwegingen. Kan een bedrijf<br />
daadwerkelijk beloven geen aangifte te<br />
doen bij een melding? Indien soortgelijke<br />
Voor een organisatie is de<br />
impact van een lek dat via de<br />
media bekend wordt, enorm<br />
beloftes achteraf verbroken worden, is het<br />
idee van een responsible disclosure-beleid<br />
niets meer waard: het vertrouwen verbetert<br />
alleen als beide kanten zich écht aan de<br />
afspraken houden.<br />
Voor een organisatie is de impact van een<br />
lek dat via de media bekend wordt, enorm.<br />
De digitale firefighters van het FoxCERTteam<br />
maken dit van dichtbij mee, zij hebben<br />
er mensen letterlijk ziek van zien worden.<br />
Plotseling heeft een organisatie niet<br />
alleen een beveiligingsincident, maar ook<br />
een crisis. fox-it raadt dan altijd aan om<br />
het probleem te erkennen, het op te lossen<br />
en open te communiceren met belanghebbenden.<br />
Een organisatie die via de media<br />
geconfronteerd wordt met een lek in haar<br />
systeem, moet heel snel inzicht krijgen in<br />
haar zwakke plekken. Want media-aandacht<br />
betekent ook aandacht <strong>voor</strong> de infrastructuur.<br />
Zo’n crisis kost een organisatie al snel<br />
tienduizenden euro’s. Steffen: ‘Het is zeker<br />
onacceptabel dat (gevoelige) informatie<br />
niet goed wordt beschermd. Maar een<br />
directe stap naar de media staat niet<br />
altijd in verhouding tot de schade <strong>voor</strong> de<br />
eigenaar van het systeem. Een hacker kan<br />
ook anoniem een lek melden bij angst <strong>voor</strong><br />
aangifte. Als de betreffende organisatie de<br />
melding niet serieus neemt, kan hij altijd<br />
nog naar de media stappen.’<br />
geen wet, wel richtlijnen<br />
Als een hacker een kwetsbaarheid vindt bij<br />
een online dienst of infrastructuur, heeft hij<br />
mogelijk een probleem. Hij weet niet hoe<br />
de organisatie gaat reageren, ongeacht of<br />
hij actief zocht, of dat hij toevallig op een<br />
probleem stuitte. Daarom zou het handig<br />
zijn als een ethische hacker <strong>voor</strong>af weet<br />
hoe een organisatie reageert bij een hack.<br />
Het Nationaal Cyber Security Centrum<br />
(NCSC) dacht over die mogelijkheid na<br />
en gaf een leidraad uit <strong>voor</strong> bedrijven en<br />
hackers. Dit zijn richtlijnen die bepalen wat<br />
een verantwoorde manier is om kwetsbaarheden<br />
te vinden, te melden en op te<br />
lossen. Deze ‘Leidraad om te komen tot een<br />
praktijk van Responsible Disclosure’ betreft<br />
zowel disclosure op het vlak van software<br />
en hardware, als de in dit artikel besproken<br />
online diensten en infrastructuur.<br />
De richtlijnen zijn overigens niet meer dan<br />
suggesties hoe hackers en bedrijven dit<br />
samen kunnen oplossen. Het is geen wet<br />
of algemeen beleid. Het is ‘slechts’ een<br />
document waarin staat hoe bedrijven zouden<br />
kunnen omgaan met meldingen, zodat<br />
hackers weten waar ze aan toe zijn.<br />
toeval of gerichte actie?<br />
De huidige situatie <strong>voor</strong> het melden van<br />
kwetsbaarheden in online diensten en<br />
infrastructuren ziet er als volgt uit. Als een<br />
hacker een kwetsbaarheid meldt bij een<br />
organisatie, maakt het uit of hij er toevallig<br />
tegenaan liep of actief op zoek ging. Bovendien<br />
hangt het ervan af of de betreffende<br />
organisatie een beleid heeft gepubliceerd of<br />
niet. Een organisatie met een beleid heeft in<br />
ieder geval actief over beveiliging nagedacht<br />
en zal de melding van de hacker dan<br />
ook waarschijnlijk serieus nemen. Bij geen<br />
reactie (of ontkenning) kan de hacker een<br />
Responsible disclosure gaat om de keuze<br />
tussen een lek openbaar aan de kaak<br />
stellen of eerst de verantwoordelijke<br />
organisatie op de hoogte brengen<br />
bewijs meesturen. Gebeurt er dan nog niks?<br />
Dan zou hij het NCSC kunnen berichten (al<br />
dan niet anoniem), naar een onafhankelijk<br />
hackmeldpunt (zonder garantie op een veilig<br />
systeem) kunnen stappen of naar de media<br />
kunnen gaan. Hoe dan ook blijft hij aansprakelijk<br />
<strong>voor</strong> zijn actie en kan aangifte tegen<br />
hem worden gedaan.<br />
ongevraagde scans<br />
‘Zelfs als elke organisatie in Nederland een<br />
beleid publiceert over disclosure, dan nog<br />
zijn we er niet’, aldus Morrees. ‘Ongevraagd<br />
scans uitvoeren blijft problematisch. En<br />
laten we eerlijk zijn: ook zonder die scans<br />
weten we dat het gemiddelde niveau van<br />
informatiebeveiliging in Nederland veel<br />
te laag is. We zien nog te vaak Clear Text<br />
wachtwoorden, SQL-injection en ongepatchte<br />
systemen. Dat is <strong>voor</strong> ons allemaal<br />
een probleem, ook als burger, omdat de<br />
maatschappelijke kosten van cybercrime de<br />
komende jaren alleen maar verder stijgen.’<br />
boetes en prikkels<br />
Feit is dat informatiebeveiliging <strong>voor</strong> individuele<br />
organisaties een dure aangelegenheid<br />
is en vaak maar weinig (op korte termijn)<br />
oplevert. Extra externe prikkels zijn dan<br />
nodig, bij<strong>voor</strong>beeld boetes of sancties <strong>voor</strong><br />
bedrijven die persoonsgegevens onvoldoende<br />
beveiligen. ‘Bedrijven kunnen natuurlijk<br />
ook het goede <strong>voor</strong>beeld geven en een<br />
laagdrempelig responsible disclosure beleid<br />
opstellen’, stelt jurist Jan Jaap Oerlemans.<br />
Beide aansporingen kunnen bijdragen aan<br />
een betere informatiebeveiliging. Hoe meer<br />
gepubliceerde disclosure policies, hoe meer<br />
bedrijven zich van security bewust zijn en<br />
hoe meer duidelijkheid <strong>voor</strong> hackers met<br />
goede bedoelingen. En in 2015 is de EU<br />
van plan een extra stok achter de deur te<br />
zetten van alle gegevensverwerkers, om het<br />
belang van beveiliging in te zien.<br />
Tekst Erik de Jong,<br />
Lead Expert Cybercrime bij fox-it<br />
26 | fox files #1 2013 fox files #1 2013 | 27
Bits<br />
red october op mobieltjes<br />
Kaspersky Lab publiceerde in januari de ontdekking<br />
van het spionagevirus Red October (Rocra). Dit virus<br />
richtte zich op ambassades en wetenschappelijke<br />
<strong>onderzoek</strong>sorganisaties. Vijf jaar lang is informatie<br />
gestolen en zijn netwerken verkend. Via besmette<br />
computers heeft Red October ook smartphones<br />
geïnfecteerd, zoals Blackberry en Android. Onderzoek<br />
van Fox InTELL wees uit dat de geïnfecteerde<br />
mobiele smartphones zich in Amerika, Afrika, Azië en<br />
Europa bevonden.<br />
training: digitaal materiaal<br />
in de opsporing<br />
Gegevensdragers zoals laptops of smartphones<br />
spelen een steeds belangrijkere rol in de opsporing.<br />
fox-it verzorgt op 22 en 23 april een speciale training<br />
<strong>voor</strong> tactisch rechercheurs over de juiste aanpak om<br />
het maximale uit digitaal <strong>onderzoek</strong> te halen.<br />
fox-it ontdekt nbc.com hack<br />
Op 21 februari ontdekte het Fox-IT Security Ope-<br />
rations Centre (SOC) dat bezoekers van de website<br />
NBC.com met Citadel malware besmet raakten.<br />
Meteen werd NBC gewaarschuwd en kon de aanval<br />
stopgezet worden. Een kwaadaardige iframe<br />
verwees naar een exploit kit genaamd ‘RedKit’, dat<br />
zwakheden in Java en Adobe misbruikte om vervolgens<br />
Citadel op de computer van de gebruiker te<br />
laden. De Trojan was geconfigureerd om online banking<br />
transacties met tal van Amerikaanse banken te<br />
onderscheppen en geld van de gebruikers te stelen.<br />
crypto klantendag 2013<br />
Op 14 mei organiseert de afdeling Crypto van fox-<br />
it <strong>voor</strong> haar klanten een informatieve themadag<br />
over ‘Crypto en gegevensbescherming: praktijk en<br />
visie’ in de Caballero Fabriek, Den Haag.<br />
Meer info en aanmelden fox-it.com<br />
trainingskalender<br />
11 maart DFO<br />
06 maart ROI basis<br />
27 maart iRN deel 1<br />
03 april ROI – Onderzoek in social media<br />
08 april Online Feiten<strong>onderzoek</strong> <strong>voor</strong> juristen<br />
22 april Digitaal materiaal in de opsporing<br />
29 mei iRN deel 2<br />
03 juni ROI basis<br />
06 juni ROI – Zoekstrategieën<br />
25 juni ROI – Onderzoek in social media<br />
15-19 juli Summer School 2013<br />
26-30 aug<br />
afkortingen<br />
Summer School 2013<br />
iRN Internet Recherche Netwerk<br />
ROI Rechercheren op Internet<br />
DFO Digitaal Forensisch Onderzoek<br />
Meer info fox-it.com/training<br />
evenementen<br />
Ben je aanwezig op een van de volgende<br />
evenementen, kom dan gezellig bij onze stand langs.<br />
21 maart E-discovery en bewijsbeslag, Amsterdam<br />
21 maart NextGEN SCADA, Amsterdam<br />
23 april InfoSecurity Europe 2013, Londen<br />
14 mei fox-it Crypto Klantendag, Den Haag<br />
15-19 juli Summer School 2013<br />
31 juli OHM2013, Geestmerambacht bij<br />
Alkmaar (31 juli - 4 aug)<br />
26-30 aug Summer School 2013<br />
Meer info fox-it.com/events<br />
wegens succes geprolongeerd<br />
Na het succes in 2012 organiseert fox-it ook dit jaar weer<br />
een Summer School, deze keer in het teken van cybersecurity<br />
en incident response. Met een strippenkaart kies je<br />
workshops uit - één, meer of allemaal - om je kennis van<br />
tal van onderwerpen bij te spijkeren. Houd onze website<br />
fox-it.com in de gaten <strong>voor</strong> meer informatie.