Ingezonden: IT-managers doorgeschoten in geslotenheid
Zolang het niet ontaardt in "security by obscurity", kan geheimzinnigheid een nuttige bijdrage zijn aan ICT beveiligingsprocessen, maar in het geval van de Nederlandse IT-managers zijn die in hun geslotenheid te ver doorgeschoten. Dat is de mening van Jan-Hein van der Burg, hij stuurde ons het volgende relaas:
Een zekere geslotenheid van management processen die bij de beveiliging betrokken zijn is min of meer natuurlijk. Bij de Nederlandse overheid en bij bedrijven die van cruciaal belang zijn voor de Nederlandse economie is de geslotenheid echter zover doorgeschoten, dat er onnodig ernstige ongelukken gaan gebeuren. De betrokken managers weten dit, en laten het bewust gebeuren. Daarbij is geld voor de verandering nu eens niet de drijvende kracht.
Als je jezelf verantwoordelijk voelt voor de beveiliging van een ICT infrastructuur, dan is er wat voor te zeggen dat je terughoudend bent met het verstrekken van informatie over die beveiliging. Je kunt jezelf dan een abstracte aanvaller voorstellen waartegen jij jezelf wilt verdedigen. In dat spel bestaat je werk uit het vertragen van de aanvaller, in de hoop dat je op tijd bent met de volgende verbetering van je verdediging. Bij vertragen hoort eerder desinformatie dan volledige transparantie. Dus geheimzinnigheid en misleiding kunnen wel degelijk effectieve hulpmiddelen zijn in het beveiligingsproces.
Security by obscurity
Het grootste probleem van die hulpmiddelen is dat sommige managers ze op den duur gaan verwarren met de concrete verdedigingsmaatregelen, die door de aanvaller min of meer "fysiek" moeten worden overwonnen. Sommigen gaan daarbij zover, dat ze die maatregelen zelfs maar helemaal weglaten, in de hoop en verwachting dat de aanvaller dat toch nooit zal uitvinden.
Dit fenomeen heet "security by obscurity", dat mits het niet verward wordt met het tijdelijk een tactische voorsprong nemen door ieder zinnig mens zal worden verworpen. Het gevaar van obscurity ligt dus voornamelijk in de verkeerde toepassing ervan en dat is een symptoom van incompetentie.
In de praktijk wordt die fout nog verergerd, omdat managers die zo zwaar op beslotenheid leunen geneigd zijn om zich grondig te isoleren van de realiteit. Ze desoriënteren dan niet alleen hun omgeving, maar sluiten zich ook af voor cruciale informatie uit die omgeving.
De motivatie voor dit perverse gedrag is de hoop dat iemand niet afgerekend zal worden op iets dat je niet kon weten. Als we in die situatie terugdenken aan het mogelijke nut van geslotenheid, de vertraging van een aanvaller, dan wordt griezelig duidelijk dat het doorgeschoten is, en in werkelijkheid juist de verdediging vertraagt. Managers met dit type gedrag zijn struisvogels die mogelijk nog gevaarlijker zijn dan de erkende misdadigers die ze denken te bestrijden.
Empirische ondersteuning
Een voorbeeld van dergelijk mismanagement kan de geschetste situatie illustreren:
In de strijd tegen identiteitsfraude is een verdedigingsmethode ontwikkeld, die gebruikersvriendelijker, goedkoper, en veiliger is dan alle huidige alternatieven. De recente problemen bij ABN-Amro zouden er bijvoorbeeld niet mee zijn opgetreden. De oplossing is actief aan diverse organisaties aangeboden, en daarbij werd expliciet aangegeven dat er geen enkele tegenprestatie werd verlangd; de factor geld werd dus uitgesloten.
De reacties van de Nederlandse overheid waren lachwekkend, en die van een bekende Nederlandse bank ronduit schrikwekkend. De overheid zette een paar goed bedoelende mensen aan het werk om het juiste loket te vinden. Tevergeefs, want zelfs ingewijden kunnen letterlijk niemand vinden die dit soort informatie wil bekijken. De bank heeft een nog groter probleem: zijn hebben geen enkele zeggenschap meer over hun eigen beveiliging, want die is uitbesteed bij een partij die helaas anoniem moet blijven.
Zie de correspondentie in de bijlage voor een huiveringwekkende illustratie van de conclusie van dit betoog.
De Nederlandse overheid en cruciale delen van het Nederlandse bedrijfsleven laten ICT beveiliging over aan managers die ernstig zijn doorgeschoten in hun geslotenheid. Noodzakelijke verbeteringen worden daardoor zodanig vertraagd, dat ongelukken zijn gegarandeerd.
Hieronder de conversatie tussen "De bank" en "Piet". De e-mailwisseling heeft daadwerkelijk plaatsgevonden, de namen zijn gefingeerd.
30-05-2005; Piet > De bank:
Piet: Het blijkt mogelijk te zijn om een PC "over te nemen" zonder dat de rechtmatige eigenaar dat merkt. Dat wordt onder andere gebruikt om spam te versturen. Volgens mij is het dan ook mogelijk om alle beveiligingen te omzeilen bij elektronisch betalen. Kan ik daarover op een veilige manier (dus niet deze manier) een vraag aan een deskundige stellen?
30-05-2005; De bank > Piet:
Geachte heer Piet,
Het is begrijpelijk dat u, na de recente berichten, vragen heeft over de veiligheid van bankieren via het internet. We geven u graag de tekst en uitleg om duidelijk te maken dat u zich op zich desondanks geen zorgen hoeft te maken. De bank stelt hoge eisen aan de veiligheid. Daarom past de bank diverse beveiligingsmethodes en -technieken toe.
Wanneer u toch liever telefonisch te woord wordt gestaan over de werking en veiligheid van bank.nl kunt u contact opnemen met onze helpdesk. U kan hen bereiken op het telefoonnummer *** (0,10 euro per minuut) van maandag tot en met vrijdag van 08.00 tot 21.00 uur en op zaterdag van 09.00 tot 17.00 uur.
bank.nl is zonder codes van buitenaf niet te benaderen. Uw gegevens zijn beveiligd tegen ongewenst gebruik via een gebruikersnaam en een wachtwoord. Elke combinatie van gebruikersnaam en wachtwoord is uniek.
Op het moment dat u inlogt, wordt gecontroleerd of u bestaande codes heeft gebruikt. Bovendien is de internetomgeving zelf ook beveiligd. U kunt dit herkennen aan de letters ‘https' aan het begin van het webadres. Daarnaast ziet u onder in het venster van de browser een slotje. U kunt controleren of u veilig contact hebt met de bank. Wanneer u dubbelklikt op het slotje ziet u dat deze afkomstig is van www.bank.nl.
De bank laat de systemen regelmatig testen door onafhankelijke, professionele hackers. Eventuele veiligheidslekken worden onmiddellijk gedicht.
Zelf kunt u ook een aantal maatregelen nemen om de veiligheid van uw computer en de verzonden informatie te verhogen. De volgende stappen kunt u ondernemen:
- accepteer geen onveilige items in uw beveiligde omgeving. U kunt het bestand '***' wel accepteren. Deze wordt u aangeboden bij de eerste inlogsessie door de bank. Andere bestanden kunt u weigeren door op 'nee' of 'no' te klikken;
- controleer altijd of u zich in een beveiligde omgeving bevindt (u ziet een slotje onderin uw scherm);
- controleer 'HTTPS' in het webadres. Deze ziet u bijna boven in het scherm van uw browser. De S staat voor 'secure', dit betekent 'beveiligd';
- wijzig regelmatig uw wachtwoord en/of gebruikersnaam;
- maak nooit het wachtwoord en/of de gebruikersnaam aan anderen bekend;
- bewaar gebruikersnaam en wachtwoord altijd gescheiden ;
- noteer nooit uw gebruikersnaam en/of wachtwoord in bijvoorbeeld uw agenda;
- voorkom het gebruik van onveilige wachtwoorden, zoals een geboortedatum,
rekeningnummer, voor- of achternaam;
- maakt u gebruik van de TAN code via sms dan neemt de bank extra veiligheidsmaatregelen. Bij het versturen van een verzameling transacties boven een bepaald bedrag stuurt de bank een sms met het totaalbedrag van uw transacties.
Met vriendelijke groet,
De bank
Mw. drs. ****
Hoofd E-commerce en E-mail
01-07-2005; Piet > De bank:
Geachte mevrouw ***,
Dank U voor deze toelichting, maar ik heb een erg gespecialiseerde vraag. Ik wil langs deze weg niet veel informatie geven, maar ik vermoed dat de beveiligingen relatief eenvoudig door een aanvaller zijn te omzijlen. Ik heb daar een scenario voor in gedachten, dat ik niet zelf zal gebruiken (of zelfs maar testen) en ook niet wereldkundig wil maken. Eigenlijk hoop ik dat ik volstrekt ongelijk heb, maar dan zou ik van een deskundige graag willen weten welke van de beveiligingen afdoende bescherming tegen "mijn" scenario biedt.
Met vriendelijke groet,
Piet
01-07-2005; De bank > Piet:
Geachte heer Piet,
Wij begrijpen uw voorzichtigheid. De ontwikkeling en beveiliging van bank.nl hebben wij uitbesteed aan externe bedrijven. Het is niet mogelijk om om met de medewekers hiervan te spreken.
Het beheer en de bewaking van bank.nl verzorgen wij uiteraard wel zelf. U kunt met uw vragen altijd terecht op de technische helpdesk ***. Houdt u er rekening mee dat juist om redenen van veiligheid en preventie van misbruik veel vragen door ons niet beantwoord kunnen en mogen worden.
Met vriendelijke groet,
De bank
Mw. drs. ***
Hoofd E-commerce en E-mail
02-07-2005; Piet > De bank:
Geachte mevrouw ***,
Ik kan dus met mijn vraag bij een helpdesk terecht waar ze het antwoord niet kennen of niet mogen geven, en De bank wil niet eens weten welk risico ik vermoed dat ze lopen?
Dat is een zeer onbevredigend antwoord.
04-07-2005: De bank > Piet:
Geachte heer Piet,
Uit veiligheidsoverwegingen hebben wij besloten niet te corresponderen over de technische aspecten van het beveiligingssysteem. Eventuele fouten of kwetsbaarheden hierin kunnen wij ook niet met u bespreken. Wij vragen hiervoor uw begrip.
U bent nog altijd welkom om de helpdesk te bellen met vragen over deze of andere kwesties.
Met vriendelijke groet,
De bank
Mw. drs. ***
Hoofd E-commerce en E-mail
20-08-2007: Piet > De bank:
Geachte De bank,
Naar aanleiding van de recente problemen met de beveiliging van het elektronisch bankieren bij ABN-Amro, wil ik terugkomen op mijn vraag van 2 jaar geleden. Ik voorzag toen de huidige problemen, en kan zonder kwade bedoelingen voorspellen dat de bank binnenkort ook getroffen zal worden.
Het verschil met 2 jaar geleden, is dat ik nu de oplossing heb, en bereid ben om die gratis aan U ter beschikking te stellen. Ik hoef daarvoor geen enkele informatie te hebben over de huidige beveiligingsmaatregelen, en zal daarover ook geen enkele vraag meer stellen.
De oplossing is zeer klantvriendelijk, veel goedkoper in het gebruik dan Uw huidige systeem, en veiliger dan elk huidig alternatief. Ik kan het concept in een gesprek van een half uur afdoende toelichten als ik met een deskundige kan spreken. Die deskundige hoeft mij geen enkele informatie over de bank te geven, maar moet wel diepgaande kennis van beveiliging van Internet transacties hebben om het concept te begrijpen.
Indien gewenst ben ik op korte termijn beschikbaar voor zo'n gesprek.
Met vriendelijke groet,
Piet
21-08-2007: De bank > Piet:
Geachte meneer Piet,
Wij sturen u hierbij graag alsnog het antwoord op uw vraag.
Wij begrijpen uw voorzichtigheid. De ontwikkeling en beveiliging van bank.nl hebben wij uitbesteed aan externe bedrijven. Het is niet mogelijk om om met de medewekers hiervan te spreken.
Onze excuses voor het ongemak.
Met vriendelijke groet,
De bank
Mw. drs. ***
Hoofd E-commerce en E-mail
Update: typo verholpen
dat er enige indicatie is dat hij daadwerkelijk iets in
handen heeft.
De klantenservice heeft adequaat gereageerd.
Dat was bijna security by obscurity.
Ooit de mogelijkheid overwogen dat je vraag of aanbod als
een social-engineering aanval kan worden gezien? De reactie
van De Bank is zeer begrijpelijk. Enerzijds bescherming van
die beveiliging, anderzijds het afschermen van kostbare
specialisten van in potentie oneindig veel
interessant-doenende consumenten. Als je niet concreter
wordt, kun je geen zinvolle feedback van de bank verwachten.
in de middag reageert op bijdragen. Hoe combineer je dit met
je werk? Of ben je In de baas zijn tijd aan het internetten?
Tis maar een vraagje...
echt serieuze zaken reageert elke bank in Nederland zeer
snel (maar niet altijd meteen naar de initiator toe)
Serieuze mensen weten ook welke serieuze mensen ze bij de
bank moeten benaderen.
principe iedereen hoe het werkt. Alleen niet precies hoe je
netwerken opgebouwd zijn. En de exacte codes niet natuurlijk.
Daar ligt m.i. de grens tussen wel en niet geheimhouden.
Bij geheimzinnigheid ontstaat inderdaad de kans dat vooral
de kwaadwillenden op de hoogte zijn van manieren om die
beveiliging te omzeilen.
Dat met obscurity niet altijd de gewenste beveiliging
bereikt wordt, lijkt me duidelijk geillustreerd met 800.000
stuks malware.
Er zou een beveiligingskeurmerk moeten komen, dat met een
aantal punten aangeeft hoe veilig bepaalde internet-dingen
zijn. Een en dezelfde zware test voor alle internet-diensten
en daaruit een aantal punten. Het certificaat blijft een
half jaar geldig en moet ook zaken als backups enz. omvatten.
Dan enkele dingen uit het relaas waar ik vraagtekens bij heb:
- Er wordt een voorbeeld gegeven van een gesprek tussen een
bank en een (goedbedoelende) beveiligings-expert. Niemand
hier kan zelf nakijken of dit gesprek inderdaad werkelijk
heeft plaatsgevonden. Daarnaast zegt dit ene voorbeeld m.i.
niet zoveel. Want er zijn nogal wat meer bedrijven dan de
bank, en misschien was de bank-woordvoerder niet de handigste.
- De bank heeft een nog groter probleem: zijn hebben geen
enkele zeggenschap meer over hun eigen beveiliging, want die
is uitbesteed bij een partij die helaas anoniem moet
blijven.
Tegenwoordig spreekt men SLA's af bij uitbesteding van
diensten. De bank is en blijft eindverantwoordelijk. Als de
beveiliging niet goed geregeld is in de SLA, heeft de bank
zitten suffen. Misschien een manager die kon 'scoren' door
aan te tonen dat de it-kosten verminderd zijn door
uitbesteding (goed gedaan jochie, kom zondag eens gezellig
golfen)...
Zeg Iceyoung...Ik merk dat je van 's morgens vroeg tot laat
in de middag reageert op bijdragen. Hoe combineer je dit met
je werk? Of ben je In de baas zijn tijd aan het internetten?
Tis maar een vraagje...
Slapen jullie maar door .................
ICEYOUNG houdt de wacht !!!!!!!!!!!
FYI Ik volg de site zijdelings en als ik af en toe even tijd heb dan doe ik
mijn "plasje" over een onderwerp. Dat BAAS ding heb ik geen
last van in
mijn functie.
hij is gewoon WERKLOOS :P
er is geen oplossing tegen gekraakte clients. Wel is het
mogelijk om de schade beperkt te houden door snel te
reageren op een trojan die meerdere gebruikers treft. De
interne beveiliging van de bank staat los van de beveiliging
van de externe client PC's.
De reactie van de bank moet gezien worden in juridisch
perspectief. Indien een medewerker van de bank uitlatingen
doet over de beveilging kan dit juridische consequenties
hebben. Ze kijken dus wel uit om daar iets over te zeggen,
zowel mondeling als schriftelijk.
De kern van het verhaal is eigenlijk dat de huidige manier
van werken niet waterdicht is. Het is echter goedkoper,
zelfs met de kosten van dit soort incidenten ingecalculeerd,
dan weer op de oude manier met baliemedewerkers te gaan
werken. Doordat de "onveilige" manier per saldo goedkoper is
in de praktijk dan het goed dichttimmeren van de beveiliging
middels dure technologie kiest men voor het eerste. Pappen
en nathouden is nu eenmaal VEEL goedkoper dan het probleem
oplossen. De bedragen die hiermee gemoeid zijn en het aantal
incidenten is simpelweg niet voldoende. Dus volgt er een
logische business beslissing om voor de goedkoopste weg te gaan.
Ciao,
Carlo
Nou vandaag effe niet want het is een beetje druk hier en ik zit zelfs in mijn
pauze te werken. Merken jullie niet hoe veilig het in Nederland is dan ??
;-)
Nou succes dan ;)
stelling:
a - het gaat duidelijk om een opschepper; zonde van de tijd om te luisteren
b - gevaar voor social engineering
c - dit was slechts een incident; dat zegt niet zoveel
d - sommige mensen hebben te veel tijd voor nutteloze dingen
e - de beveiliging van PC's is onmogelijk
f - niets doen is vaak goedkoper
a - Dit argument is niet meer dan een smoes waarmee je elke boodschap
af kunt wijzen; wel een goede dekking voor de verantwoording achteraf
trouwens.
b - In de case die als illustratie van de stelling wordt gebruikt wordt geen
enkele informatie gevraagd, maar uitsluitend aangeboden; hoe gaat dat in
social engineering worden gebruikt?
c - De interactie met de bank werd als voorbeeld gegeven, omdat de
dekking voor verantwoording werd gezocht in overmacht: we kunnen toch
niets doen, en dat willen we zo houden. Ik vond dat minder slim dan de
aanpak in (a). Voor alle duidelijkheid: die arme bank is slechts een
voorbeeld; ik zou niet weten welke grote organisatie beter met luisteren
omgaat.
d - Omdat het niet expliciet over de auteur ging vermoed ik dat het off topic
was, maar het zou ook goed kunnen aansluiten bij (a).
e - Dit is feitelijk onjuist.
f - Kosten-Baten analyses zijn pas zinvol als je voldoende informatie hebt;
gegevens negeren is daarbij onhandig.
Het nadeel van een voorbeeld geven, zoals hier de identificatie techniek
met speciale details over een van de vele organisaties, is dat de
boodschap verloren kan gaan.
Zonder een voorbeeld is de boodschap echter te abstract, dus met alle
nadelen wordt die toch maar gegeven.
De boodschap is: jezelf afsluiten voor informatie is gevaarlijk.
De gegeven tegenargumenten bespreken redenen waarom dat risico zou
kunnen worden genomen, maar daarmee wordt de stelling niet weerlegd.
Lukt de lidokey nog steeds niet, JH?
Nogmaals: het is een voorbeeld; er zijn meer ideeen die onnodig worden
vertraagd door gevaarlijke geslotenheid.
analyse correcte en voldoende informatie nodig hebt:
Ik beschouw risk management als een combinatie van de volgende
processen:
1. voorkomen dat iets schadelijks gebeurt
2. minimaliseren van de eventuele schade
3. planning van het herstel voordat de schade optreedt
Een fatsoenlijke ICT manager kan je veel vertellen over 1 en 2, zeker als zo
iemand blijft openstaan voor nieuwe informatie.
Voor 3 is echter al snel extra expertise nodig: de financiele waardering van
risico's, dus in feite de kunst van het verzekeren.
Dit is zelfs voor de groten op dat vakgebied lastig; laat ze maar eens een
mandje hypotheken waarderen, dan kun je nog lachen.
Uiteraard zijn 1 en 2 erg belangrijk, zeker ook voor 3; dat is het
bestaansrecht van ICT beveiliging als vak.
De ICT manager kan ook zonder twijfel de direct zichtbare kosten van 1 en
2 voor je berekenen.
Ik verwacht echter niet dat zo iemand ook de kosten (premie!) van een
adequate (eventueel denkbeeldige) verzekering kan berekenen, en
wantrouw dus schattingen op dat gebied uit die bron.
Kosten-Baten analyses zouden voor risk management processen moeten
worden gemaakt, en niet alleen voor de ICT component daarvan.
Dat is opzichzelf weer een nieuwe stelling, maar hij is relevant voor deze
discussie omdat ik opmerk dat doorgeschoten geslotenheid heel kostbaar
kan worden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
