Organisaties moeten daarom beter leren waar het in de praktijk misgaat.
Hoe makkelijk het kan zijn om het slachtoffer te worden van datadiefstal werd onlangs duidelijk door het datalek bij Bureau Jeugdzorg Utrecht. De organisatie had een aantal jaar geleden haar naam veranderd en een nieuwe domeinnaam in gebruik genomen. Maar in plaats van de oude aan te houden en op inactief te zetten, zegde de organisatie de domeinnaam volledig op. Het afvangen van verdwaalde e-mails die door medewerkers en partners nog naar een oud e-mailadres werden gestuurd, was dus zo eenvoudig als het kapen van de vrijgekomen domeinnaam.
Het draait niet alleen om techniek
Gelukkig ging het in bovenstaande voorbeeld om twee klokkenluiders die alleen het probleem aan de kaak wilden stellen. Dat neemt niet weg dat dit iedere organisatie had kunnen gebeuren die alléén op het ISO31000-framework vertrouwt.
Traditionele kwetsbaarhedenanalyses zijn namelijk vaak gebaseerd op brainstormmethodes of lijsten met mogelijke en bekende dreigingen. Dat komt erop neer dat ze uitgaan van de kennis en ervaring van de opstellers en dat de lijsten vaak gedateerd zijn. Bij Jeugdzorg hadden die maatregelen niets uitgehaald, aangezien in geen enkele lijst opgenomen is dat het opzeggen van een domeinnaam zou kunnen leiden tot misbruik.
Had ons dit kunnen gebeuren?
Organisaties moeten mogelijke dreigingen daarom meer benaderen vanuit het perspectief van risicomanagement. En bij het bepalen van de maatregelen niet alleen kijken naar de techniek, maar ook naar andere factoren zoals de eigen mensen en de interne processen. Zijn medewerkers bijvoorbeeld wel digitaal vaardig genoeg om phishing mails te herkennen? En is er ook een crisiscommunicatieplan aanwezig voor het geval een datalek optreedt?
Natuurlijk is het wel oppassen dat ook deze aanpak niet teveel gebaseerd is op puur theoretische risico’s. Het is daarom belangrijk om naar praktijkgevallen als die van Jeugdzorg te kijken met de eigen organisatie in het achterhoofd: had ons dit ook kunnen gebeuren? Een goede methode om daarbij te hanteren is het BREACH-methode, wat staat voor Breach Reverse Engineering And Cyber Healing.
Breach
De eerste stap van het BREACH-model draait om de aanval zelf en de gevolgen daarvan. Wat voor incident is er voorgevallen? Om wat voor soort aanval ging het en wat was de schade? En wat zouden de gevolgen van een dergelijke aanval zijn voor onze organisatie? Welke gegevens kan iemand die toegang heeft tot onze oude domeinnamen bijvoorbeeld buitmaken?
Reverse engineering
Na het definiëren van het incident zelf en het in kaart brengen van de gevolgen, is het zaak om na te gaan hoe de aanval precies heeft plaatsgevonden. Reverse engineering is een methode om in kaart te brengen wat er precies is misgegaan en hoe de aanvallers in hun opzet geslaagd zijn. Een goed model om daarbij te hanteren is de Cyber Kill Chain, die de verschillende fases van een aanval beschrijft:
- het identificeren van het doel en het voorbereiden van de operatie;
- de opstart van de aanval en het daadwerkelijk toegang krijgen tot de systemen van het slachtoffer;
- het vinden en onttrekken van de juiste informatie;
- het terugtrekken zodat de aanvaller niet meer opgemerkt kan worden.
Door bij een aanval de stappen van de aanvallers na te lopen, is het mogelijk om na te gaan bij welke stap een bedrijf had kunnen ingrijpen om het incident te voorkomen. En welke stappen er dus nodig zijn om zo’n incident te voorkomen. Als Jeugdzorg haar oude domeinnaam niet had opgezegd, had de organisatie bijvoorbeeld kunnen voorkomen dat ze werd geïdentificeerd door een aanvaller. De organisatie had bovendien kunnen opmerken dat haar oude domeinnaam door derden werd geregistreerd, en onmiddellijk medewerkers en partners kunnen waarschuwen om de schade te beperken.
Cyber Healing
Bij de laatste fase van het BREACH-model gaat het om het vergelijken van de praktijklessen met de eigen situatie en het daadwerkelijk dichten van de gaten. Bedrijven die het model op de Jeugdzorg-case loslaten, kunnen bijvoorbeeld een beleid instellen om oude domeinnamen niet meer op te zeggen maar gewoon aan te houden. Of om op z’n minst medewerkers en partners te waarschuwen de oude adressen niet meer te gebruiken.
Overigens is het belangrijk om bij het toepassen van de BREACH-methode te blijven realiseren dat risicomanagement niet alleen de verantwoordelijkheid is van IT-security. Andere afdelingen zoals HR en communicatie spelen een net zo belangrijke rol. Bijvoorbeeld met betrekking tot het opleiden van werknemers. Of het informeren van betrokkenen op het moment dat een incident zich voordoet. Risicomanagement is kortom een proces waar het hele bedrijf verantwoordelijk voor is.
Dit artikel is geschreven door Johan van Middelkoop, senior securityconsultant bij Traxion en verscheen eerder op https://www.infosecuritymagazine.nl/2019/06/11/hackers-volgen-geen-standaardprocedures-waarom-organisaties-dan-wel