Informatiebeveiliging: “Het is niet meer de vraag óf, maar wanneer je getroffen wordt!”

riskforum.nl is in gesprek met Marc Hullegie, directeur van Vest Informatiebeveiliging B.V. Aan de hand van twee concrete voorbeelden illustreert hij dat informatiebeveiliging al lang niet meer het ‘speeltje van de ICT techneut’ alleen is. Het (be)treft ons allemaal!

Informatiebeveiliging beslaat een breed terrein, toch heeft het nog onvoldoende breed de aandacht, hoe komt dat? “In de praktijk ervaar ik dat mensen bij informatiebeveiliging zich hoofdzakelijk richten op de apparaten en systemen waarop informatie beschikbaar moet zijn, terwijl in veel gevallen vooral de informatie waarde voor de organisatie vertegenwoordigt ”, geeft Hullegie aan.

“Informatiebeveiliging wordt bovendien al snel geparkeerd bij de techniek (en de mensen die daarvoor verantwoordelijk zijn), terwijl informatiebeveiliging veel verder gaat. Informatiebeveiliging heeft namelijk ook alles te maken met gedrag: je bewust zijn van risico’s, verantwoordelijkheid nemen en discipline tonen. De directie of Raad van Bestuur is altijd eindverantwoordelijk, maar de aandacht en actie die naar informatiebeveiliging uit moet gaan hoort vooral ook op het bord van iedere gebruiker: iedere medewerker, zakenpartner en/of klant die met de informatie van waarde omgaat.”

“Oh dat is gelukkig niet mijn pakkie an!”, “dat regelt het datacenter of de provider wel”, “we hebben overal een back-up van”, of “dat kan wel gebeuren, maar niet bij ons” zij herkenbare uitingen van het (onbewust) onderschatten en wegduwen van informatie en cyberrisico’s en/of het weglopen van de verantwoordelijkheid ervoor.

Waar ligt dat toch aan? “Misschien wel omdat we massaal last hebben van het “het-raakt-mij-niet-gevoel” geeft Hullegie aan. “Pas als de impact van deze risico’s echt binnenkomt, komen mensen in actie om er iets aan te gaan doen. Het gegeven dat het bedrijf gehackt is, maakt soms nog niet eens voldoende indruk, pas als je hoort ‘We zijn met gehackt met JOUW user ID en JIJ bent dus verantwoordelijk voor de (vervolg)schade’  heeft het effect.”

Moeten we het dan eerst zelf een keer meemaken? “Liever niet natuurlijk, en toch heeft het wel een grote impact. Ik had zelf recent ook een leermoment” geeft Hullegie aan. “Informatiebeveiliging is mijn vak en binnen ons bedrijf is alles dan ook helemaal voor elkaar. Hier zijn we 24/7 met veiligheid (en privacy) van informatie van ons en van onze klanten bezig. Naast mijn werkzaamheden voor Vest heb ik met een aantal companen een radio station ‘Pinguïn Radio’. Met inmiddels 250.000 luisteraars en een uitverkocht evenement in Paradiso op 4 april jl. kun je dat gerust een uit de hand gelopen hobby noemen. Mijn focus lag hier op radio en muziek maken en onze luisteraars en minder op informatiebeveiliging, en dat heb ik gemerkt…”

Op 27 maart 2015 had Noord Nederland last van een stroomstoring van ongeveer 1,5 uur. “Op zich was de uitval van stroom voor ‘Pinguïn Radio’ geen probleem, dit hadden we goed geregeld. Wat wel een probleem gaf was een kleine piek in de stroomtoevoer vlak erna, waardoor twee harde schijven defect raakten. Het scheelde niet veel of we waren 3,5 jaar ervaring en daarmee erg veel tijd kwijt geraakt. In de overeenkomst met het datacenter hadden we wel het probleem van te weinig stroom geregeld, maar niet dat van teveel! De aansprakelijkheid verleggen heeft dan geen enkele zin, want we hadden immers stroom.”

Had je dan geen back-up? “Ja, die vraag is mij de afgelopen weken vaak gesteld, zegt Hullegie. We hadden natuurlijk een back-up, maar die bleek onbruikbaar.”

“Ik zal uitleggen wat er gebeurde. Voor ons radiostation hebben we circa 3 terabyte aan geheugen met audiobestanden en meta data. In deze laatste categorie lag ons grootste risico en potentiële waardeverlies van informatie. In de meta data staat bijvoorbeeld informatie over het tijdvak, het genre, de artiest en in de technische meta-informatie is vastgelegd op welk moment je in de uitloop van een nummer het beste een volgend nummer kunt starten. Deze meta data neemt niet eens zoveel ruimte in, maar vertegenwoordigt wel essentiële waarde omdat juist hier veel arbeid in zit.

Al deze data hebben we in een server met 10 aparte harde schijven. Het idee van 10 aparte harde schijven is dat ze samen voor veel geheugen zorgen en dat als er bijvoorbeeld een schijf uitvalt het systeem toch door kan gaan. Eén harde schijf diende als reserve. Met andere woorden 10% van het totale geheugen kon je zien als mijn ‘verzekering’ voor als er iets fout zou gaan. Waar ik geen melding van had gekregen is dat op een eerder moment al 1 van de 10 schijven defect was geraakt. Ik dacht dat ik was verzekerd, maar dat bleek niet het geval.

De kans dat door een relatief klein incident in één keer twee harde schijven kapot gaan is echt heel klein, maar niet onmogelijk, dat bleek na de stroompiek. Achteraf heb ik onze risicoanalyse bijgesteld en inmiddels heeft Pinguïn Radio een ‘ruimere verzekering’ voor de bescherming van haar informatie en daarmee de continuïteit van haar activiteiten.”

Hoe zat het dan met die back-up? “Los van de overspanning op het stroomnet had ik een jaar geleden al eens een configuratieprobleem gehad, waardoor ik de aparte schijfruimte, waar de back-up en het archief op staan, anders had ingedeeld. De back-up was wel gemaakt, maar net niet helemaal af doordat er feitelijk te weinig ruimte was. Hierdoor bleek de back-up onbruikbaar. Ik had mijn eigen adviezen moeten volgen en de back-up tussentijds moeten controleren. De maatregel was er dus ook hier wel, maar niet adequaat toegepast en geactualiseerd naar de nieuwe situatie.

De effecten waren erg goed voelbaar. We hadden een acuut continuïteitsprobleem, de radiozender was immers uit de lucht en we hadden een groot probleem op wat langere termijn, namelijk het verlies van onze waardevolle meta data en dat alles ongeveer 1 week voor ons grote evenement in Paradiso!”

Kon je niet delen van informatie van de andere 7 harde schijven gebruiken? “Nee, je kunt die schijven vergelijken met 9 notitieblocks, die je naast elkaar legt waardoor de breedte van je papier veel groter is en waarop je dan doorschrijft. Omdat een deel van je extra brede notitieblock dan defect is heb je niet zoveel aan de rest van de informatie. Gelukkig hebben wij zelf[1. Vest legt zich sinds 2002 volledig toe op informatiebeveiliging voor organisaties. Haar gecertificeerde adviseurs werken onafhankelijk, effectief en uiterst pragmatisch. Vest weet sneller tot betere oplossingen te komen, doordat zij beschikt over een team waarbinnen alle benodigde disciplines verenigd zijn. Vest onderscheidt binnen haar organisatie een viertal vakgebieden waarbinnen de kennis en ervaring wordt gebundeld, ontwikkeld en voor hergebruik aangewend: Audit & Forensics (legal hacking, compliance autditing, forensich onderzoek), Security Management (awareness, beleid, compliance), Security Architectuur (enterprise securit, SASBA) en Continuity (project implementatie, project programma’s, training)]  zeer deskundige medewerkers die zich bezig houden met forensisch onderzoek. Zij hebben de twee defecte harde schijven weten te herstellen, waardoor alles op tijd weer hersteld was! Maar al met al heeft die kleine stroompiek van een paar seconden mij 6,5 dag gekost en een hoop stress. Het heeft me wel weer helemaal op scherp gezet.”

Dit was een risicovoorbeeld van een zeer kleine kans met een mogelijk zeer grote impact. De les die je hieruit kunt halen is dat je standaard voor de kernactiviteiten je uitwijkmogelijkheden in een business continuity scenario moet uitwerken om continuïteit van deze activiteiten te kunnen garanderen. Bovendien hoeft het niet eens om wereldschokkende gebeurtenissen te gaan, maar is het juist de samenloop van een aantal voorvallen die kunnen uitmonden in een calamiteit.

Heb je ook nog een voorbeeld met een met een veel hogere kans op voorkomen en waar mensen desondanks toch de gevolgen onderschatten?

“Een heel ander voorbeeld waar veel mensen mee te maken hebben is het hacken van user ID gegevens. Op internet wordt er vaak gevraagd om een account aan te maken. Veel bezoekers van sites en/of klanten van internetwinkels gebruiken vaak hetzelfde wachtwoord zonder dat regelmatig te verversen. Als gegevens eenmaal op straat komen te liggen is het voor de criminele hacker erg eenvoudig om over te gaan tot identiteitsfraude [2. Riskforum gaat hier een apart item aan wijden, want je schrikt ervan hoe eenvoudig je het slachtoffer wordt van dergelijke fraudepraktijken. Via user ID’s kunnen hackers niet alleen bij je bankrekeningen komen, ze kunnen met de gestolen identiteit ook criminele organisaties opzetten en allerlei aankopen doen op jouw naam. Met user ID’s kom je ook eenvoudig bij bedrijfsinformatie met alle gevolgen van dien. Actieve internetgebruikers (en wie is dat bijna niet tegenwoordig) realiseren zich niet hoe vaak ze op verkeerde linkjes drukken en daarmee kwade software naar binnen halen.] 

“We moeten ons meer bewust zijn van een nieuwe tendens van hacking”, geeft Hullegie aan. Hackers gebruiken meerdere kanalen (via computers, tablets en telefoons) en ze nemen de tijd. Soms wordt er een beetje informatie gevraagd, wat absoluut niet alarmerend overkomt en pas na een half jaar wordt deze informatie aangevuld en gebruikt voor een hack. Ook de software die ongemerkt op je computer terecht komt kan maanden inactief blijven en dan ineens worden gebruikt om je gegevens en informatie afhandig te maken. Hierdoor is het bijzonder lastig om te signaleren dat er iets is.”

De moraal van het verhaal? Het beveiligen van de informatie van waarde gaat ons allemaal aan! Juist omdat digitale informatie en het uitwisselen ervan een cruciaal deel van ons persoonlijke en zakelijke leven is geworden ben je als gebruiker van de informatie en de informatiesystemen verplicht om je er meer in te verdiepen en dan ook in actie te komen. Afwachten is er niet meer bij, want de wereld om ons heen verandert snel en wij kunnen niet anders dan mee veranderen.

Lizanne Vroom

20 jaar zelfstandig risicomanagement adviseur voor profit en non-profit organisaties. Kerndocent en programma manager voor diverse risicomanagementopleidingen. Auteur van "Risicomanagement vanuit het Dynamisch Business Model', 'Ik durf het risico wel aan', 'Liefde komt niet van één k(l)ant'. Oprichter en eindredactie van Riskforum.nl