Directiekamers af te luisteren via videoconferencingsysteem

In een onderzoek, uitgevoerd door Chief security officer H.D. Moore van het Amerikaanse Rapid7 vond hij 5000 vergaderzalen met videoconferencingsysteem die voor ongenode gasten eenvoudig toegankelijk waren. Daarbij ging het onder meer om vergaderzalen bij grote namen uit de juridische wereld en uit de wereld van verstrekkers van risicokapitaal, bij farmaceutische bedrijven en bedrijven uit de olie-industrie. De videoconferencingsystemen waren geleverd door markleiders Polycom en Cisco, en door Sony, LifeSize en anderen(bron).

Zo zien we maar weer dat de beveiligingslekken niet altijd zitten waar onze focus op gericht is. Laten we eerlijk zijn, op veel risico-lijstjes zullen de videoconferencingsystemen nog niet voorkomen. En misschien “sweepen” we de directiekamers regelmatig op afluisterapparatuur (hoewel dat al een unicum lijkt), maar de “vijand” hebben we zelf in huis gehaald.

De soep wordt, als het goed is, echter niet zo heet gegeten als hij wordt opgediend. Ergens in ons beleid zal best staan dat vertrouwelijke gegevens niet via de telefoon gedeeld mogen worden (omdat we al jaren weten dat die afgeluisterd kunnen worden). Nu kun je natuurlijk hele discussies voeren of de videoconferencingsystemen wel of niet onder dit beleid vallen, maar dat is niet zo spannend. Valt het er namelijk nog niet onder dan passen we ons beleid toch even aan?

Maar gisteren haalden we het ook al aan. We moeten kijken naar de behoefte van de gebruikers. Leuk dat we het op papier verbieden, maar als de directie zich er al niet aan houdt dan moeten we ons wat dingen af gaan vragen.

We kunnen natuurlijk heel hard roepen dat beveiligingsbeleid ook voor de directie geldt en dat het management het goede voorbeeld moet geven. Daar heb je theoretisch best gelijk in, maar als ons beleid niet toereikend is dan moeten we toch echt eerst in de spiegel kijken.

Blijkbaar is er een behoefte om via videoconferencingsystemen te communiceren, ook over vertrouwelijke zaken. Dan zullen we dus op zoek moeten naar een manier waarop dat zo veilig mogelijk kan. Wat die manier exact is, weet ik ook nog niet, dus de zoektocht kan beginnen.

Zolang we de pot met goud aan het einde van de regenboog nog niet gevonden hebben, is het wel verstandig om de directie er van bewust te maken dat er wellicht een risico zit in het videoconferencingsysteem. Daarbij geven we natuurlijk richtlijnen over hoe ze zo veilig mogelijk kunnen communiceren en we geven ook aan dat we op zoek zijn naar een oplossing waar zij geen last van zullen hebben. Een uitdaging staat je daarbij wel te wachten, maar die gaan we natuurlijk niet uit de weg.

En om alles weer even te nuanceren en naar normale proporties terug te brengen: 9 van de 10 videoconferencing gesprekken zullen wellicht enigszins vertrouwelijk zijn, maar echte geheimen zullen ze nu ook weer niet bevatten. Dus voordat we ze maar direct verbieden wel eerst even bekijken wat er zoal besproken zal worden.

Om je alvast wat kaders mee te geven: Moore concentreerde zich op twee configuratiefouten: het plaatsen van het videoconferencingsysteem buiten de firewall en het gebruik van het automatisch accepteren van inkomende oproepen. Laten we ons daarop dan als eerste richten en voor die tijden dat de videoconferencing mogelijkheid niet nodig is kunnen we nog altijd gewoon de stekker uit het stopcontact trekken.

Nou, ik ga nu even een viedoconference in en zal het niet over geheime zaken hebben.

Betrokken directie is beste beveiliging

De effectiefste en bovendien eenvoudigste manier om de informatiebeveiliging van organisaties te verhogen, is het verhogen van de betrokkenheid van de directie bij het informatiebeveiligingsbeleid. De directie of raad van bestuur bevindt zich als informatie-eigenaar namelijk in de beste positie om beveiligingsinvesteringen te kiezen die zijn afgestemd op het bedrijfsbeleid (bron).

Zo te lezen heb ik wederom een medestrijder gevonden om beveiliging beter op de kaart te zetten. Hij maakt een punt waar ik het volmondig mee eens ben. Ik predik dit zelf ook al jaren maar met hoe meer mensen we dit roepen hoe beter het is.

Vaak zien we onbegrip bij het management, er wordt niet de steun gegeven die we nodig hebben. Te vaak geven we het management hiervan de schuld, terwijl we ook eens in de spiegel moeten kijken. Beveiliging wordt vaak exotisch gehouden, we roepen allerlei technische risico’s en maatregelen en vinden het raar dat het management ons wat glazig aankijkt. Let op: zij spreken onze taal niet en dat moet ook niet van hen verwacht worden (ze hebben wel wat anders te doen). Nee wij moeten leren om hun taal te spreken. Wij moeten leren om te praten in business risks.

Een manager is niet geïnteresseerd in het nieuwste virus, hij is wel geïnteresseerd in de impact die het kan hebben op de bedrijfsprocessen of beter nog op de omzet.

Een manager is niet geïnteresseerd in de laatste algoritmes van de encryptie software, hij is wel geïnteresseerd in de impact die gestolen informatie kan hebben op het imago van de onderneming.

Een manager is niet geïnteresseerd in de sloten die we op de deur hebben gezet, hij is wel geïnteresseerd in de waarde van de goederen die gestolen kunnen worden bij een inbraak, en dan het liefst gewoon uitgedrukt in Euro’s.

Veel organisaties doen aan de verhoging van het beveiligingsbewustzijn van de medewerkers. Soms zie je goede programma’s, meestal zie je een postertje aan de wand die iedereen maar moet begrijpen. Niet alleen is er nog een wereld te winnen op het gebied van beveiligingsbewustzijn bij de medewerkers. Nee we moeten specifieke bewustzijnscampagnes richten op het management, in hun taal, kijkend naar hun scope waarbij we in gaan op de business risks.

Doen we dat op de juiste manier dan ontstaat er vanzelf een mate van bewustzijn bij dat topmanagement. We moeten stoppen met hen de schuld geven van het onbegrip en het ontbreken van steun. Het is onze taak om ze op de juiste wijze te bedienen, ze met de juiste woorden aan te spreken en het liefst de juiste management informatie systemen in te richten.

Het is niet makkelijk, dat heeft ook nooit iemand beweerd. Er is veel meer onder de zon dan de technische maatregelen op beveiligingsgebied. We hebben te maken met politiek en communicatie en dat zijn ingewikkelde aspecten.