In een onderzoek, uitgevoerd door Chief security officer H.D. Moore van het Amerikaanse Rapid7 vond hij 5000 vergaderzalen met videoconferencingsysteem die voor ongenode gasten eenvoudig toegankelijk waren. Daarbij ging het onder meer om vergaderzalen bij grote namen uit de juridische wereld en uit de wereld van verstrekkers van risicokapitaal, bij farmaceutische bedrijven en bedrijven uit de olie-industrie. De videoconferencingsystemen waren geleverd door markleiders Polycom en Cisco, en door Sony, LifeSize en anderen(bron).
Zo zien we maar weer dat de beveiligingslekken niet altijd zitten waar onze focus op gericht is. Laten we eerlijk zijn, op veel risico-lijstjes zullen de videoconferencingsystemen nog niet voorkomen. En misschien “sweepen” we de directiekamers regelmatig op afluisterapparatuur (hoewel dat al een unicum lijkt), maar de “vijand” hebben we zelf in huis gehaald.
De soep wordt, als het goed is, echter niet zo heet gegeten als hij wordt opgediend. Ergens in ons beleid zal best staan dat vertrouwelijke gegevens niet via de telefoon gedeeld mogen worden (omdat we al jaren weten dat die afgeluisterd kunnen worden). Nu kun je natuurlijk hele discussies voeren of de videoconferencingsystemen wel of niet onder dit beleid vallen, maar dat is niet zo spannend. Valt het er namelijk nog niet onder dan passen we ons beleid toch even aan?
Maar gisteren haalden we het ook al aan. We moeten kijken naar de behoefte van de gebruikers. Leuk dat we het op papier verbieden, maar als de directie zich er al niet aan houdt dan moeten we ons wat dingen af gaan vragen.
We kunnen natuurlijk heel hard roepen dat beveiligingsbeleid ook voor de directie geldt en dat het management het goede voorbeeld moet geven. Daar heb je theoretisch best gelijk in, maar als ons beleid niet toereikend is dan moeten we toch echt eerst in de spiegel kijken.
Blijkbaar is er een behoefte om via videoconferencingsystemen te communiceren, ook over vertrouwelijke zaken. Dan zullen we dus op zoek moeten naar een manier waarop dat zo veilig mogelijk kan. Wat die manier exact is, weet ik ook nog niet, dus de zoektocht kan beginnen.
Zolang we de pot met goud aan het einde van de regenboog nog niet gevonden hebben, is het wel verstandig om de directie er van bewust te maken dat er wellicht een risico zit in het videoconferencingsysteem. Daarbij geven we natuurlijk richtlijnen over hoe ze zo veilig mogelijk kunnen communiceren en we geven ook aan dat we op zoek zijn naar een oplossing waar zij geen last van zullen hebben. Een uitdaging staat je daarbij wel te wachten, maar die gaan we natuurlijk niet uit de weg.
En om alles weer even te nuanceren en naar normale proporties terug te brengen: 9 van de 10 videoconferencing gesprekken zullen wellicht enigszins vertrouwelijk zijn, maar echte geheimen zullen ze nu ook weer niet bevatten. Dus voordat we ze maar direct verbieden wel eerst even bekijken wat er zoal besproken zal worden.
Om je alvast wat kaders mee te geven: Moore concentreerde zich op twee configuratiefouten: het plaatsen van het videoconferencingsysteem buiten de firewall en het gebruik van het automatisch accepteren van inkomende oproepen. Laten we ons daarop dan als eerste richten en voor die tijden dat de videoconferencing mogelijkheid niet nodig is kunnen we nog altijd gewoon de stekker uit het stopcontact trekken.
Nou, ik ga nu even een viedoconference in en zal het niet over geheime zaken hebben.