of 59045 LinkedIn

Overheidshacks: menselijke firewall is noodzakelijker dan ooit

Dave Maasland Reageer

Hackers hebben het lang niet alleen maar gemunt op burgers en bedrijven. Een van de belangrijkste doelen zijn overheden. Ook in Nederland is de overheid steeds vaker het slachtoffer van een hack, zo blijkt uit de cijfers. En die hacks nemen in aantallen toe: het Nationaal Cyber Security Centrum spreekt zelfs van 'dagelijkse aanvallen'. Een zorgelijke ontwikkeling die misschien wel valt te verklaren, maar niet is goed te praten.

Onlangs werd de Amerikaanse overheid het slachtoffer van de grootste aanval op de overheid uit de geschiedenis. Vermoedelijk Chinese hackers richtten zich op de Office of Personell Management, onderdeel van Homeland Security. Miljoenen dossiers vol privacygevoelige informatie over Amerikaanse burgers belandden op straat.

Deze grootscheepse overheidshack stond niet op zichzelf.Zo werd ook Duitsland wakker geschud door een  hack van het IT-systeem van De Bondsdag, het parlement van de republiek. Hackers slaagden er in langs de digitale verdedigingslinie te glippen en lieten een Trojaans paard achter. Het was niet de eerste Duitse overheidshack: ook de website van Angela Merkel moest er al eens aan geloven.

Onder vuur
Het is een waarheid als een koe: overheden liggen vaker onder vuur dan ooit. De bron daarvan ligt niet alleen bij onafhankelijke hackersgroeperingen, steeds vaker zetten naties digitale spionnen in voor het ontfutselen van informatie bij de buren. Overheden bespioneren elkaar vaker dan ooit. Ook zijn er allerlei nieuwe methodieken in omloop, zoals ransom-/cryptoware. Daarbij wordt data onleesbaar versleuteld en alleen weer bruikbaar gemaakt na het overmaken van losgeld. Digitale afpersing pur sang. Het is een nieuwe werkelijkheid waaraan ieder individueel overheidsapparaat niets kan veranderen. Op die nieuwe waarheid anticiperen kan wel.

Maar hoe moeten overheden dat doen? Allereerst is het natuurlijk van belang de digitale hang- en sluitwerk op orde te hebben. Verouderde defensieve hard- en software, niet-bijgewerkte patches en een slecht of zelfs ontbrekend veiligheidsbeleid zijn helaas eerder regel dan uitzondering. En tegelijkertijd nog nooit zo ongewenst als nu. Overheden zouden zich hard moeten maken voor een solide defensie. De omstandigheden waarin we met zijn allen verkeren vragen erom.

Onwetendheid
Toch is dat maar één kant van het verhaal. Overheidshacks zijn namelijk lang niet altijd het resultaat van geavanceerde aanvallen die met trucs de beste verdedigingslinies omzeilen. Soms is het onwetendheid dat de das omdoet. Zoals laatst in Amstelveen, waar een nietsvermoedende ambtenaar op een fout linkje in een phishing-mail klikte. Het gevolg: het netwerk werd voor een paar dagen platgelegd, en daarmee ook de dienstverlening richting de burger. Downtime die gemakkelijk voorkomen had kunnen worden.

Bewustzijn
Naast onwetendheid is het ook een bewustzijnsproces. We leven in een tijd waarin we er standaard vanuit moeten gaan dat informatie op een bepaald moment openbaar wordt. De diepste bedrijfs- en overheidsgeheimen liggen continu klaar om op straat te belanden. Daar is doorgaans maar een 'slimme' hacker met kwaadaardige bedoelingen of een onoplettende medewerker voor nodig. Met die mindset moeten we opnieuw leren met informatie om te gaan. Dat begint al met kleine dingen: door bijvoorbeeld nooit vertrouwelijke informatie in een e-mail te zetten. Door er altijd vanuit te gaan alle gedigitaliseerde kennis in principe ooit wordt geopenbaard. En door de 'geheimen' die overheden hebben goed in kaart te brengen: wie heeft er toegang toe? Hoe zijn die geheimen beveiligd? En wat gebeurt er wanneer het haast onvermijdelijke lek eenmaal plaatsvindt?

Iedereen een rol

In die nieuwe werkelijkheid heeft iedereen een nieuwe rol. With great knowledge comes great responsibility, zei Franklin Roosevelt ooit. Hij kon geen groter gelijk hebben. Iedereen heeft een rol in IT-security. Hoe waterdicht het patchbeleid ook is, hoe hoog de vlammen van de digitale verdedigingsvuren ook reiken. De verdedigingsketting is nooit sterker dan zijn zwakste schakel. En dat is in dit geval de mens.

Precies daar ligt een zware verantwoordelijkheid voor overheden. De Nederlandse overheid heeft de nieuwe meldplicht datalekken voor iedereen verplicht gesteld. Dan is het allerminst vreemd te verwachten dat het zijn eigen zaken hierin op orde heeft. Niet alleen moeten zij de IT-kant van de beveiliging serieus nemen, ook is investering in het menselijk kapitaal hard nodig. Via trainingen, via voorlichting, via een gezonde waakzaamheid en gezond verstand. Everyone can be a hacker, but everyone can be a firewall too.

Dave Maasland is Managing Director van ESET Nederland

Verstuur dit artikel naar Google+

Reageer op dit artikel
















Even geduld a.u.b.