>>

19-oktober-2018, min leestijd

Krijg grip op cybersecurity met informatiemanagement en Coordinated Vulnerability Disclosure

De bijeenkomst van CYSSEC (Cyber Security Schiphol Ecosysteem) vond plaats halverwege de officiële Europese cybersecurity-maand. Maar volgens Wilma van Dijk, Directeur Safety, Security & Environment bij de Schiphol Group zou er dagelijks focus moeten zijn op security. De bedreigingen die het Nationaal Cyber Security Centrum schetste voor de aanwezigen onderschrijven dit belang. Computest gaf tijdens de bijeenkomst een uniek inkijkje in hoe ethisch hackers van het bedrijf auto’s van Volkswagen hackten en vertelde hoe een Coordinated Vulnerability Disclosure kan helpen om met de hulp van ethische hackers de informatiebeveiliging te verbeteren.

In een verbonden samenleving als de onze ben je pas veilig als je partners dat ook zijn. Geen enkele organisatie kan zich daarom alleen wapenen tegen hackers en cyberbedreigingen

Wilma van Dijk, Directeur Safety, Security & Environment bij Schiphol Group

“In een verbonden samenleving als de onze ben je pas veilig als je partners dat ook zijn. Geen enkele organisatie kan zich daarom alleen wapenen tegen hackers en cyberbedreigingen”, aldus Van Dijk. Daarom wordt op Schiphol actief samengewerkt aan cybersecurity door onder meer partners in de vliegoperatie en organisaties die zich bezighouden met de vitale infrastructuur van de luchthaven. De partners in het ecosysteem van CYSSEC zijn heel divers. Zo zijn niet alleen KLM en Microsoft hier onderdeel van, maar ook de bloemenwinkel “Dit zorgt voor hele uiteenlopende vragen en volwassenheidsniveaus.”

Volwassen worden in cybersecurity betekent ook snel kunnen inspelen op de bedreigingen die er zijn. Hugo Leisink, senior adviseur bij Nationaal Cyber Security Centrum (NCSC), vertelde wat de belangrijkste bedreigingen zijn op het gebied van cybersecurity in ons land. Zo blijkt dat sabotage en verstoring het grootste gevaar vormen voor onze nationale veiligheid. Denk alleen al aan de Russische geheim agenten die ons land binnenkwamen om in te breken in het WiFi-netwerk van de OPCW, de organisatie die toeziet op het wereldwijde verbod op chemische wapens. Dan weet je dat de dreiging reëel is.

Risicoanalyse eerste stap

Een andere bedreiging is dat dat veel organisaties de basismaatregelen voor cybersecurity niet op orde hebben. Onveilige producten en diensten maken het de aanvaller nog makkelijker. Bovendien hebben organisaties gemiddeld 3 maanden nodig om te ontdekken dat ze gehackt zijn. Cybercriminelen kunnen al die tijd dus ongehinderd hun gang gaan. Leisink geeft aan dat niet alleen het treffen van de juiste maatregelen van belang is, maar dat een risicoanalyse de eerste stap is die gezet zou moeten worden. Je moet namelijk weten waarvoor je de maatregelen neemt. Welke risico’s probeer je te elimineren en waarvoor?

Informatiemanagement speelt hierbij een belangrijke rol. “Organisaties moeten in kaart brengen welke informatie ze willen beschermen, welke risico’s er zijn en hoe ze daar grip op kunnen krijgen. Dan krijg je ook een heel ander gesprek met het management: je praat niet over security, maar over informatie als belangrijke productiefactor en hoe je daar binnen de organisatie mee omgaat”, zegt Leisink.

Geen grip op informatiebeveiliging
Een fout die veel organisaties maken is dat IT bepaalt hoe er met informatie wordt omgegaan en wie waar toegang tot heeft. “De vraag wordt daarbij niet goed afgestemd op het aanbod. Dit betekent dat de mensen uit de business hieromheen gaan werken en aan de slag gaan met oplossingen buiten de bedrijfsinfrastructuur om. Dit is een belangrijke reden waarom we geen grip krijgen op informatie en de beveiliging daarvan.”

Security awareness trainingen onder medewerkers kunnen helpen de grip te vergroten zodat men zich meer bewust wordt van de mogelijke gevolgen Verder moet security een speerpunt zijn bij het ontwikkelen van nieuwe producten en diensten.

cvd_beleid.png

Privacy in gevaar door autohack

Dat onveilige producten een belangrijke zwakke plek zijn voor cybercriminelen, onderschrijft het onderzoek van Computest. Christiaan Ottow, CTO van Computest vertelde hoe ethische hackers van het bedrijf toegang kregen tot het infotainmentsysteem van auto’s van de Volkswagen Group. Hij gaf een inkijkje in hoe de hackers zowel in de auto via onder meer een USB-stick, als op afstand toegang konden krijgen tot de administratieve rechten van het systeem. Daardoor kregen zij de controle over de speakers, de microfoon en het navigatiesysteem. Zaken waarmee de de privacy van de bestuurder ernstig kan worden geschaad. Daarnaast bood het onderzoek aanknopingspunten om ook de besturing over de auto over te nemen, maar was verder hacken juridisch onverstandig.

Het onderzoek toonde aan dat veel auto’s uitgerust worden met internetconnectiviteit, maar dat zowel fabrikanten als consumenten zich niet altijd bewust zijn van de risico’s die zich met zich meebrengt. Ottow: “Het grootste probleem zit hem daarbij vooral in de systemen van auto’s die al een aantal jaar op de markt zijn. Deze software wordt zelden geüpdatet en het is sowieso niet mogelijk dit op afstand te doen. Daarmee zijn de systemen vrijwel altijd onvoldoende beveiligd. Als je ervan uitgaat dat een auto gemiddeld 18 jaar is als deze naar de sloop wordt gebracht, dan zijn er nog heel wat jaren waarin kwaadwillenden hier misbruik van kunnen maken.”

De zwakheid in het systeem van de Volkswagen Group staat niet op zichzelf: “Bij veel IoT-producten is security geen prioriteit geweest in het ontwerp”, zegt Ottow. “Men wil het product zo snel mogelijk op de markt brengen. Daarnaast is security voor consumenten geen driver om een product wel of niet te kopen. Ook is er sprake van informatie-asymmetrie: consumenten hebben simpelweg niet voldoende kennis om in te kunnen schatten wat veilig is en wat niet.”

Bij veel IoT-producten is security geen prioriteit geweest in het ontwerp.

Christiaan Ottow, CTO bij Computest

Security-niveau verhogen met ethisch hackers
“Daarom moet security ook niet de verantwoordelijkheid zijn van de eindgebruiker”, vindt Ottow. “Security moet geïntegreerd worden in de softwareontwikkeling zodat producten die op de markt komen veilig zijn. Daarnaast kunnen fabrikanten en organisaties hun voordeel doen met de kennis van ethische hackers. Een makkelijke en effectieve stap hierbij is het opstellen en implementeren van een beleid voor Coordinated Vulnerability Disclosure (CVD of ook wel Responsible Disclosure genoemd). Hiermee richt je een proces in waarbij je duidelijk maakt wat een hacker kan doen en verwachten als deze een kwetsbaarheid vindt en dit bij het bedrijf meldt. Daar kun je als bedrijf groot voordeel uit halen en het helpt je bovendien om het security-niveau op een relatief eenvoudige manier te verhogen.”

Meer weten over hoe je Coordinated Vulnerability Disclosure implementeert? Download hier het stappenplan van Cyberveilig Nederland.