Datalek? Pas op voor boete!

Bijna iedere week komen tal van organisaties in het nieuws vanwege het lekken van gevoelige bedrijfsdata. De oorzaak zit meestal in kwaadaardige aanvallen door hackers. Het gevolg is dat de privé-gegevens van met name consumenten op straat komen te liggen. Voor staatssecretaris Teeven van Justitie en Veiligheid een reden tot een wetsvoorstel, waarbij bedrijven en instellingen kunnen worden beboet als zij hun beveiliging niet op orde hebben (bron).

Hoewel je er over kunt twisten of de meeste datalekken daadwerkelijk door kwaadaardige aanvallers veroorzaakt worden is de strekking van het verhaal dat je als organisatie ervoor moet zorgen dat je beveiliging op orde is omdat je anders een boete kunt krijgen.

Nu moet je als organisatie niet wakker liggen van die boete. Je moet je beveiliging niet op orde brengen om boetes te voorkomen. Nee, je moet je beveiliging op orde hebben omdat je gegevens van klanten in bezit hebt die ze je in vertrouwen hebben gegeven. Je moet zorgen dat je beveiliging op orde is om waardevolle data niet te verliezen. Je moet je beveiliging op orde hebben om te voorkomen dat je bedrijfsprocessen stil vallen. Nou ja, zo kunnen we nog wel even doorgaan met de redenen voor een goede beveiliging.

Die redenen zijn er trouwens al jaren maar die lijken binnen veel organisaties toch niet goed aan te slaan. Het is voor velen een ver van mijn bed show onder het mom van: dat gebeurt ons toch niet.

Misschien is het dan wel goed om boetes op te leggen en misschien is het wel goed als managers inderdaad meer aandacht aan beveiliging gaan besteden om die boete te voorkomen (en daarmee hun eigen bonus veilig te stellen).

Waarom je het ook doet, houd er rekening mee dat beveiliging alleen maar goed geregeld kan zijn als dat vooraf wordt gegaan door een goede manier van risico management, door de juiste combinatie van technische, procedurele, organisatorische, bouwkundige en elektronische maatregelen. En als we dan toch zo lekker bezig zijn, zullen we dan ook direct de business continuity op orde brengen? Gaat het dan toch fout dan kunnen we er in ieder geval voor zorgen dat de schade beperkt blijft.

Heb je als security manager nooit goed draagvlak kunnen krijgen bij het management dan kun je het nu misschien proberen door ze te wijzen op het risico van boetes. Wij weten dan wel dat we het eigenlijk over bijvoorbeeld het voorkomen van imagoschade hebben…maar dat hoeven zij niet te weten.

80% websites is lek

Tachtig procent van de websites heeft de beveiliging niet op orde, waardoor aanvallers toegang tot allerlei vertrouwelijke gegevens kunnen krijgen. Softwarebedrijf Veracode analyseerde een kleine 10.000 webapplicaties. Bij 68% werd cross-site scripting (XSS) aangetroffen, terwijl één op de drie met SQL Injection te maken had. “XSS en SQL Injection zijn twee van de meest gebruikte kwetsbaarheden, en bieden toegang tot klantgegevens en intellectueel eigendom”, aldus Veracode (bron).

Het mag dan een Amerikaans onderzoek zijn en met name wat zeggen over Amerikaanse website en over de onafhankelijkheid kun je natuurlijk ook twisten. Pessimisten leggen dit soort nieuwsberichten naast zich neer en blijven denken: “dat gebeurt ons niet”.

Toch vraag ik me af of dat zo is. Je kunt dit soort signalen natuurlijk ook gebruiken om de beveiliging van je website binnen je organisatie bespreekbaar te maken. Als blijkt dat het met name XSS en SQL Injection betreft dan zouden we dat natuurlijk als hoge prio kunnen bestempelen.

Waarschijnlijk is je manager niet blij als je een aanvraag doet voor een uitgebreide vulnerabilityscan, het brengt immers kosten met zich mee maar men is ook onzeker over de uitkomsten. Nu kan men zich nog verschuilen onder het mom van onwetendheid. Als de scan resultaten op papier staan dan zullen we toch minimaal iets moeten doen met die punten die slecht scoorden.

Aan de andere kant wordt gesteld dat: De ontwikkelaars van deze webapplicaties wisten in meer dan tachtig procent de ontdekte problemen binnen een week op te lossen. Het zijn dus redelijk eenvoudige gaten die gedicht moeten worden.

Vergelijk het maar weer eens: de voordeur en het raam staan open. Als we die vanaf nu dicht doen dan zijn we al een stuk verder. Misschien wat simplistisch, maar zo gek is dat nu toch ook weer niet? Als we dus met name focussen op XSS en SQL Injection dan zijn we alweer een stap verder.

Nou ja, of de deur en het raam nu wel of niet open staan…een rondje rond je gebouw kan nooit kwaad. Kwetsbaar voor XSS en SQL Injection of niet? Een scan van je website kan nooit kwaad en hoe meer we afhankelijk zijn van onze website, hoe belangrijker dat wordt. En zo’n scan? Nou, dat hoeft echt de wereld niet te kosten, met eenvoudige middelen is dat relatief betaalbaar op te lossen. Benieuwd? Dan hoor ik wel van je.

Doorsnee website 270 dagen per jaar lek

De gemiddelde website heeft 270 dagen per jaar met een ernstig beveiligingslek te maken, zo blijkt uit onderzoek onder meer dan drieduizend websites. 64% van de geteste websites had met “information leakage” te maken, net iets meer dan cross-site scripting dat voorheen altijd op de eerste plek stond (bron).

Op zich een opmerkelijk bericht, hoewel je bij statistieken natuurlijk altijd de eigenlijke bron moet onderzoeken. Nou, helaas, die bron ga ik in ieder geval niet onderzoeken en we nemen de gegevens maar even voor waar aan.

64% van de websites lekt informatie. Jammer genoeg staat er niet bij om wat voor soort informatie het gaat. Websites zijn juist bedoeld om informatie te verstrekken, maar over die informatie hebben ze het vast niet. Nee, ze zullen het meer hebben over gevoelige informatie. Wat dan gevoelige informatie is, wordt helaas niet duidelijk. Is het bijvoorbeeld mogelijk om het achterliggende besturingssysteem te zien of is het mogelijk om via de betreffende websites op de netwerken van de organisaties te komen. Nogal een verschil lijkt me.

Maar goed, laten we weer even realistisch worden. Stel nu dat we het hier inderdaad hebben over de besturingssystemen, wachtwoorden en andere gegevens van de website. Met andere woorden: de website is inderdaad uit de lucht te gooien of te compromitteren. Dan moeten we ons de vraag stellen hoe ernstig dat voor het merendeel van de bedrijven nu echt is. De website van de bakker om de hoek mag er best een aantal dagen uit liggen, niemand die daar een grote zaak van maakt. Voor bedrijven die veel online verkopen realiseren wordt dat al een heel ander verhaal.

Toch moeten we oppassen met dit soort (en andere soorten) berichten over allerlei lekken en mogelijke beveiligingsincidenten. We moeten wel de koppeling blijven leggen met de ernst van de zaak. Of in andere, meer concrete woorden, hoeveel omzet lopen we mis en hoeveel imagoschade lopen we op?

In veel gevallen zullen we dan zien dat de kosten/baten-analyse helemaal scheef is. Willen we de website inderdaad beter beveiligen dan moeten we kosten maken (want de kennis hebben we zelf vaak niet in huis). Deze kosten wegen niet op tegen het uit de lucht zijn van een website voor een dag.

Hoe leuk en leerzaam dit soort onderzoeken en berichten ook zijn: gebruik je gezond boeren verstand en wees realistisch in wat je als organisatie wilt bereiken. Wellicht (en ik weet het bijna wel zeker) heb je belangrijker zaken aan je hoofd op beveiligingsgebied.

Maar goed, wil je je website toch een beetje veilig houden? Test de website eens en kijk wat de resultaten zijn. Wijzig dan niet meer al teveel aan de structuur en zorg dat patches op tijd worden doorgevoerd. Met een goed en veilig ingericht CMS kun je de content dan gewoon aan blijven passen aan de laatste stand van zaken, zonder dat je echte risico’s loopt. En geloof me, wil een echte hacker je site doelbewust platleggen dan lukt dat toch wel, probeer eerst de scriptkiddies maar eens buiten de deur te houden.

De beveiliging van de Tweede Kamer is lek

“Het gebouw van de Tweede Kamer staat open voor iedereen die een pasje van iemand leent… Toch best vreemd dat de strengst beveiligde persoon van Nederland, Geert Wilders, zo een makkelijk doelwit kan worden in het hart van de democratie. De tweede Kamer is bij monde van GroenLinks-Kamerlid Ineke van Gent geschrokken van de beelden. Kijk op www.cqc.nl voor de eerste beelden.”

Wat natuurlijk wel heel vreemd en bijna niemand zal weten is: “De Beveiligingsdienst van de Tweede Kamer is dinsdagmiddag 25 november door een vakjury uitgeroepen tot beste Leerbedrijf van het jaar 2008.” Dan ga je je toch afvragen waarom ze daar ooit voor genomineerd en zelfs uitgeroepen zijn. Maar gelukkig staat het antwoord in hetzelfde bericht: De dienst wil dat ze echt alles leren van het beveiligingsvak, van het begin tot het eind. Dat zegt in ieder geval de vakjury van Ecabo.

Gekker wordt het nog als we nagaan dat Kamervoorzitter Gerdi Verbeek in 2008 opdracht heeft gekregen om onderzoek laat doen naar het beveiligingsniveau van de Tweede Kamer. Ben benieuwd naar de uitkomsten van dat onderzoek.

Gelukkig, ze zijn geschrokken van de beelden, zou toch wel een heel erg on-politiek correct antwoord geweest zijn als ze niet geschrokken waren. Of is dit nu wat ze openbaarheid van bestuur noemen?

Maar goed, ze hebben in ieder geval weer een onderwerp waar ze kamervragen over kunnen stellen, hoeven we ons even niet druk te maken over de minder belangrijke zaken als: de financiele crisis, de oorlog in Afghanistan, de pensioenleeftijd, de bonus van Gerrit of de klanten van DSB.

Tegen de Tweede Kamer-leden zeg ik: als jullie mijn hulp nodig hebben (voor de verbetering van de beveiliging of het formuleren van de kamervragen) dan hoor ik het wel.