Personeel gemeente Utrecht valt voor usb-droppings en voice phishing
Medewerkers van de gemeente Utrecht zijn de zwakste schakel als het om de cybersecurity van de gemeente gaat, zo stelt de Rekenkamer Utrecht op basis van onderzoek. Na een onderzoek in 2021 deed de Rekenkamer Utrecht opnieuw onderzoek naar de informatieveiligheid bij de gemeente Utrecht. Ten opzichte van het onderzoek van drie jaar geleden is de gemeente goed aan de slag gegaan met de technische kant, maar blijft de informatieveiligheid door menselijk handelen kwetsbaar, concludeert de Rekenkamer.
Zo lukte het de Rekenkamer niet meer om in digitale systemen in te breken. "Maar de beveiliging van het Stadskantoor en Stadhuis is onvoldoende verbeterd. Het lukt insluipers nog altijd makkelijk om de beveiligde gebieden van die gebouwen te betreden. En zij worden niet door medewerkers van de gemeente aangesproken op hun aanwezigheid."
De Rekenkamer stelt dat het menselijk handelen de afgelopen jaren dan ook niet aantoonbaar is verbeterd. "Zo staan medewerkers tijdens phishing-acties nog steeds gevoelige informatie zoals inloggegevens af. De mens is daarmee de zwakste schakel bij informatieveiligheid, waardoor deze nog niet volledig is gewaarborgd."
Usb-droppings
Net als bij het vorige onderzoek liet de Rekenkamer dit jaar een 'usb-dropping' uitvoeren. Medewerkers van de gemeente blijken nog altijd onvoldoende op de hoogte te zijn van de gevaren van het aansluiten van onbekende usb-sticks. Bij de mystery guest bezoeken op het Stadskantoor en op het Stadhuis zijn tussen 3 en 5 juni vijf usb-sticks op verschillende plekken achtergelaten.Op 4 en 6 juni zijn de bestanden op twee usb-sticks onveilig geopend. Dit is een vergelijkbare uitkomst met het vorige onderzoek toen twee van de vier achtergelaten usb-sticks werden geopend. Drie usb-sticks zijn door medewerkers ingeleverd bij het Serviceplein. Eén usb-stick is gevonden op de achttiende verdieping, waar ook de Informatie- en Procesmanagement (IPM) -afdeling is gehuisvest.
Het gebruik van usb-sticks is in de extern toegankelijke (virtuele) werkomgeving van de gemeente geblokkeerd, maar dat geldt niet voor het gebruik van usb-sticks op de beheerde laptop omdat verder moet worden uitgezocht wat de impact daarvan zou zijn op de dagelijkse werkzaamheden van medewerkers.
Voice phishing
Tijdens het onderzoek werd er ook een voice phishingaanval op het gemeentepersoneel uitgevoerd. In totaal zijn zeven medewerkers van de gemeente Utrecht via negentien belpogingen via de telefoon benaderd. Van de zeven medewerkers hebben vier medewerkers een website geopend en daar hun inloggegevens ingevoerd op een nep ICT Servicedesk pagina. Medewerkers blijken niet altijd de ware identiteit van de beller te controleren, concludeert de Rekenkamer. "En het is voor kwaadwillenden eenvoudig om op basis van openbare informatie de persoonsgegevens van een medewerker van de gemeente te benutten. Medewerkers van de gemeente blijken zich niet bewust van de gevaren van voice phishing."
Technische punten
De onderzoekers stelden verder vast dat op verschillende systemen verouderde software draait. "Deze software heeft kwetsbaarheden en/of heeft beveiligingsupdates nodig en kan in zijn huidige vorm niet langer als veilig worden beschouwd." Verder werd informatie achterhaald over de gebruikte wifi-netwerken, die volgens werd gebruikt voor een 'Evil-twin' aanval. Via deze aanval zijn versleutelde wachtwoorden van medewerkers onderschept. Het lukte de onderzoekers niet die te kraken. De Rekenkamer adviseert het gebruik van certificaten om op wifi-netwerken in te loggen.De Rekenkamer doet de gemeente vier aanbevelingen, namelijk het beheersen van de resterende technische risico's en kwetsbaarheden, het vergroten van de fysieke beveiliging van gebouwen en het informatiebewustzijn van medewerkers, het inzetten op een cultuurverandering binnen de hele organisatie en zorgen voor meer centrale aansturing van het informatieveiligheidsbeleid.
Schijnbaar adviseert u wat anders? Kunt u dit dan ook onderbouwen? Met argumenten zodat iedereen er wat aan heeft, waarom Windows niet gebruikt moet worden maar iets anders?
Je kan niet altijd de medewerker de schuld geven als zwakste schakel. Eigenlijk wil je de mogelijkheden voor kwaadwillende zoveel mogelijk technisch ondervangen. Dit is vaak gewoon haalbaar alleen kost dat in sommige gevallen tijd en geld.
Dit is exact de rede waarom veel werkgevers en adviseurs nog steeds blijven roepen dat de medewerker de zwakste schakel is maar in theorie is die helemaal geen schakel.... Want die komt pas als allerlaatste aan bod...
In het licht van bovenstaande;
- Waarom kan een medewerker uberhaupt USB-sticks overal in stoppen.... zet hier restricties op waarbij alleen bepaalde medewerkers dit kunnen of alleen op bepaalde werkstations.
En dan die mooie conclusie waarom de medewerker in deze niet altijd de schuldige is..... verouderde software... DAT is vaak de boosdoener....
Je moet niet kijken of mensen erin trappen maar je moet ze leren om die shit te herkennen. Het is vrij simpel om mensen in een phishing e-mail te laten trappen maar wat wil je daar nu bereiken? Dat ze er in trappen of dat ze leren om deze te herkennen en er juist niet in te trappen? Phishing is na al die jaren nog steeds het meest succesvolle wapen van een cybercrimineel en hoe komt dat? Ze passen continu hun strategie aan zodat alle regeltjes waar standaard voor gewaarschuwd wordt niet opgaan. Daarom werken phishing acties averechts want mensen leren er niet van omdat het oude wijn in nieuwe zakken is.
Een phishing actie heeft in het beste geval alleen zin om te checken, nadat je mensen goed geleerd hebt hoe ze phishing kunnen herkennen, of de medewerkers er wat van begrepen hebben. Trappen ze er alsnog in heb je gewoon niet je best gedaan, werkt je aanpak niet en zul je iets anders moeten gaan verzinnen.
Wat je veel ziet bij o.a. CEO fraude is dat medewerkers ineens van het normale proces af gaan wijken omdat ze worden getriggerd om heel snel een rekening te gaan betalen, zogenaamd van een hoge manager/directeur. Leer ze om, wat er ook gebeurd, zich altijd aan het standaard proces te houden. In de meeste gevallen zal daardoor niet worden ingegaan op dergelijke scams. Kijk naar het proces, bespreek verbeteringen als deze nodig zijn, maar betrek medewerkers in de security aanpak. Daarmee worden ze er onderdeel van en zijn ze veel eerder geneigd om zich niet te laten verleiden om domme dingen te doen.
https://youtu.be/u8hpNl7QEzQ
Wanneer het leiderschap van een organisatie (eigenaren, directie, management..) informatiebeveiliging echt (niet alleen met mooie deugtaal) belangrijk vinden, moet dat dagelijks uitgedragen worden. Dus maak het belangrijk, geef het goede voorbeeld, besteed er steeds weer aandacht aan, etc. Zo'n veiligheidscultuur zie je dus eerder bij een bank dan bij een reclamebureau.
Zo'n obligaat onderzoekje van een rekenkamer met adviezen van niveau 'open deur universiteit' heeft amper impact verwacht ik.
NB: Dit zie je zelfs bij Microsoft: managers werden beloond voor omzet, chinezen hacken US ministeries, er volgt een zeer kritisch rapport, op 13 juni jl moet Microsoft voor homeland commissie van het US congress verschijnen voor een oorwassing. En pas op dat moment neemt Microsoft maatregelen, informatieveiligheid wordt belangrijk gemaakt: https://blogs.microsoft.com/on-the-issues/2024/06/13/microsofts-work-to-strengthen-cybersecurity-protection/
Maar weer on-topic, waarom niet per beleid alle USB-poort dichtzetten en alleen speciaal beveiligde eigen USB-sticks toestaan, dan is dat hele USB-probleem in één keer opgelost?
je ziet wel steeds meer MacOS voorbij komen, maar je merkt ook daar direct die limitatie van Applicaties.
Linux is voor veel bedrijven gewoon niet geschikt als OS.
Maar weer on-topic, waarom niet per beleid alle USB-poort dichtzetten en alleen speciaal beveiligde eigen USB-sticks toestaan, dan is dat hele USB-probleem in één keer opgelost?
Dit is een goede vraag, en het antwoord staat ook in het artikel....
Dit zie je eigenlijk vaak als werkelijk probleem. Men weet niet exact wat de impact is op de bedrijfsvoering en dat kan weer direct een risico zijn.
Ik ben er voorstander van, om bijvoorbeeld alleen bepaalde personen deze rechten te geven, of speciale devices only. Maar hier komt het weer aan, hoeveel beleid/mandaat heeft IT (Security). IT is vaak ondersteunend....
[..]
Dit zie je eigenlijk vaak als werkelijk probleem. Men weet niet exact wat de impact is op de bedrijfsvoering en dat kan weer direct een risico zijn.
Ik ben er voorstander van, om bijvoorbeeld alleen bepaalde personen deze rechten te geven, of speciale devices only. Maar hier komt het weer aan, hoeveel beleid/mandaat heeft IT (Security). IT is vaak ondersteunend....
En terecht - IT _is_ ondersteunend.
De optie om alleen "bepaalde personen" (of speciale devices) die rechten te geven valt direct terug naar de vorige vraag : de impact op de bedrijfsvoering.
Als je weet hoe dat zit, dan weet je ook welke personen/functies het _nodig_ hebben, of welke devices je moet whitelisten .
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
