Hoe houden we de Rus op afstand

Dat gemeenten ‘van Amsterdam tot Venray’ volgens de AIVD doelwit kunnen zijn van ‘Russische geheime diensten’, roept de vraag op: Hoe kunnen gemeenten van de omvang van Venray zich eigenlijk wapenen tegen die dreiging?

‘De Russen? Het zou mij verbazen als die het op De Bilt hebben voorzien. Ik zou in de Gemeentelijke Basisregistratie (GBA) moeten kijken, maar anderszins ben ik hier nog geen Russen tegengekomen.’ Erik Wietses, directeur bedrijfsvoering en adjunct-gemeentesecretaris van de gemeente De Bilt, is verbaasd over de waarschuwing die AIVD-directeur Mark Kuipers in het vorige nummer van Binnenlands Bestuur gaf. 

Volgens Kuipers zouden buitenlandse geheime diensten, en in het bijzonder die uit Moskou, het steeds vaker gemunt hebben op Nederlandse gemeenten, ‘van Amsterdam tot Venray’. Wie op een landkaart een hemelsbrede lijn van de hoofdstad tot grensgemeente Venray trekt, doorkruist ook  ’s lands meteorologische epicentrum De Bilt.

Maar Russische spionnen heeft Wietses nog niet ontmaskerd. Toch neemt hij de waarschuwingen van Kuipers serieus. ‘In theorie zou de informatie in onze Gemeentelijke Basisadministratie, onze Basisregistratie Adressen en Gebouwen (BAG) en de ondernemingsdossiers interessant kunnen zijn voor spionnen. De beveiliging van die databanken is voor ons erg belangrijk.’

De Bilt heeft al eens met twijfels over de eigen beveiliging te maken gehad. In oktober 2011, pal na de landelijke veiligheidslekken van Diginotar bekend werden, onthulde journalist Brenno de Winter dat vijftig gemeenten kampten met gebrekkig beveiligde websites, waarop gebruikersnamen en wachtwoorden eenvoudig te vinden waren. Ook De Bilt stond in het lijstje. Wietses hoorde dat toen hij op de bewuste zaterdag dat het bericht bekend werd, het NOS Journaal zat te kijken. Hij belde meteen de beheerder van de site: ‘Die onderzocht direct wat er gebeurd was. Het probleem bleek bij onze vroegere dienstverlener Gemeenteweb te liggen en betrof uitsluitend openbare informatie van onze oude website.’

Wachtwoord: 1234
Datzelfde gold voor Beverwijk. Van die gemeente, prominent aanwezig in de lijst van de vijftig lekkende gemeentewebsites, werd bekend dat ambtenaren wachtwoorden als ‘1234’ gebruikten en dat zelfs de burgemeester een eenvoudig te kraken wachtwoord gebruikte. Ook Beverwijk heeft maatregelen genomen om de eigen veiligheid te verbeteren, zo laat een woordvoerder weten. Beverwijk verwisselde Gemeenteweb als hostingprovider voor SIM en heeft naast een herzien wachtwoordprotocol extra toegangscontroles door middel van tokens (kastjes die in combinatie met een pas toegangscodes leveren), data-encryptie en beveiligde IP-adressen ingesteld. Bovendien benadrukt de gemeente dat ambtenaren ‘een eed afleggen’ over het veilig omgaan met de data van de burger.

Nietemin laat Beverwijk geregeld de mogelijkheid testen om op het gemeentelijke systeem in te breken. En dat soort penetratietests – ook wel ‘pentests’ genoemd – nemen met de steeds vaker verplichte applicatie-scans en de audits van de gemeentelijke koppeling met het landelijke DigID-netwerk in populariteit toe. Voor de penetratietest heeft De Bilt de zogenoemde ‘ethische hackers’ van de firma SECwatch ingeschakeld om maandelijks in opdracht te proberen de beveiliging te slim af te zijn. Wietses: ‘Ze zijn er nog niet in geslaagd bij ons in te breken, maar maken wel opmerkingen over zaken die voor verbetering vatbaar zijn.’

Dat penetratietests niet alleen effectief kunnen zijn om de eigen zwaktes tijdig te bestrijden, is een gewaarwording die niet alleen bij gemeenten opgeld maakt.

Afgelopen maand schreef de Amerikaanse ondernemer Tom Cochran hoe kinderlijk eenvoudig hij zijn eigen 450 werknemers wist te misleiden met een door hem verspreide phishingmail. Zo’n e-mail is een gefingeerd lokbericht waarmee hackers hun doelwit gericht willen verleiden tot het openen van een attachment met malware, besmette software. Als één werknemer dat bericht opent, kan de internetcrimineel via zijn of haar computer toegang krijgen tot vertrouwelijke gegevens. Als spionnen dat doen, gebeurt dat alles in stilte.

Bijna de helft van Cochrans werknemers opende het bewuste phishingbericht. De meerderheid daarvan klikte ook nog op het malafide attachment. Als het testje van Cochran illustratief is voor Nederlandse gemeenten, dan ligt heel Nederland, van Amsterdam tot Venray inderdaad open voor welke geheime dienst ook. De Finse IT-veiligheidsgoeroe Mikko Hyppönen zei vorig jaar in reactie op de vraag hoeveel van de in de Fortune-500 gerangschikte bedrijven van de wereld gecompromitteerd zijn door hackers: ‘500’.

Onwetend en onoplettend
Of dat ook voor de 408 Nederlandse gemeenten opgaat, durft geen van de voor dit artikel geïnterviewde ambtenaren of adviseurs te zeggen. ‘Maar de kans dat alle beveiligingsmaatregelen van gemeenten feilloos werken, is nihil’, beweert Jan van Veenen.

Van Veenen is beveiligingsdeskundige en directielid van PBLQ HEC, een op de publieke sector gericht adviesbureau. Van Veenen adviseert meerdere gemeenten over hun beveiligingssituatie en merkt dat niet alleen het ontbreken van passende ict-beheerafspraken de veiligheidsproblemen veroorzaken, maar dat meestal ‘de mens centraal staat bij het ontstaan van veiligheidslekken’.

Van Veenen: ‘De mens is de zwakke schakel. De meeste incidenten ontstaan door onwetendheid en onoplettendheid van medewerkers. Ambtenaren werken vaak onbedoeld mee aan datalekken.’ En meestal onbewust, zo stelt Van Veenen: ‘Neem bijvoorbeeld phishingmails. Je kunt honderd goede virusscanners geïnstalleerd en up-to-date hebben, maar met specifiek gerichte mails die gebruikmaken van publiekelijk bekende gegevens van ambtenaren, loop je alsnog groot risico. Het echte probleem is de internetvolwassenheid van ambtenaren. Het gaat er dus om dat bestuurders dit tot onderwerp van gesprek maken.’

Die internetvolwassenheid valt te trainen. Dat kan op locatie, maar ook via e-cursussen die volgens Van Veenen ‘een paar honderd euro per ambtenaar’ kosten.

Mystery guest
Zo’n soort e-learningtraject biedt de gemeente Eindhoven binnenkort aan haar ambtenaren aan. Die gemeente – toevallig ook de vestigingslocatie van meerdere hightechbedrijven – werkt op een bredere wijze aan gegevensbescherming voor ambtenaren. Zegt lid directieraad/CIO Jaap Haenen: ‘Wij zien erop toe dat mensen geen geeltje op hun scherm plakken met hun wachtwoorden erop. En bijvoorbeeld dat ze een tablet met gemeentelijke gegevens in het openbaar veilig lezen. Binnenkort gaan wij over op een soft token, een wachtwoord dat je via je mobiele telefoonnummer krijgt ge-sms’t.’

Om ervoor te zorgen dat ambtenaren dit soort regels ook daadwerkelijk serieus nemen, laat Haenen af en toe een mystery guest in het stadhuis binnenwandelen. Die heeft de opdracht om vermomd als burger alle bruikbare gegevens voor toegang tot het netwerk te ontfutselen. Haenen: ‘We proberen het onderwerp elke keer sexy te maken.’

Eenduidige audits
Kostenbesparing ziet Haenen vooral in intensievere samenwerking tussen gemeenten. Het Kwaliteitsinstituut Nederlandse Gemeenten (KING) – een dochter van de Vereniging van Nederlandse Gemeenten – bracht vorig jaar delegaties van negen gemeenten (waaronder Eindhoven) bij elkaar om kennis te delen over de  verplichte DigID-assessments. Met een dergelijke audit test een gemeente de veiligheid van de koppeling van de eigen online omgeving met het landelijke DigID-netwerk. Eindhoven drong in die bijeenkomsten aan op eenduidige audits en assessments voor derde partijen. ‘Met een Third-Party-Mededeling geeft de softwareleverancier aan dat hij aan de ook voor gemeenten geldende standaard voldoet.’ Wat Jaap Haenen betreft mag die samenwerking tussen de gemeenten ‘nog wel wat intensiever’.

Denken als een spion
Internetbeveiliging is net als gewone beveiliging. U heeft een huis. Met een deur. Met een slot. Of twee. En een kluis. Met viercijferig combinatieslot. Camera erboven. Sensor en bouwlamp voor de verdachte beweging. Hek eromheen. Tijdschakelaars om te foppen. Maar de onzichtbare webdief dringt uw netwerk gemakkelijker binnen dan de klassieke inbreker uw pand. Daarom helpen we u leren denken als een internet­crimineel. In zes stappen.

1. Steel een sleutel

Het is een klassieke inbrekerstruc: steel een voordeursleutel en je bespaart je het onbeholpen gewrik met een koevoet of getik met een klauwhamer. Zo geldt dat ook voor een internetcrimineel. Als hij het wachtwoord (‘123456’, ‘wachtwoord’, ‘qwerty’) van ook maar één ambtenaar kan kraken, dan wandelt hij zo uw systeem in.
Oplossingen: Train uw ambtenaren in wachtwoordvolwassenheid, privacybewustzijn, datagevoel en alertheid op verdachte e-mails (en vooral attachments!). Stel protocollen op en test die geregeld op naleving.

2. Zoek de beste ingang
Waarom de voordeur forceren als die verlicht is en gemonitord door camera’s? Waarom niet een achterdeurtje breken? Of gewoon via de carport van de buurman binnenwandelen? Bijvoorbeeld door gebruik te maken van de beveiligingszwakte van een goedkoop aanbestede leverancier?
Oplossingen: Verwerk de beveiligingssituatie en service-levels van ict-partners in de aanbestedingseisen voor service-providers en andere ict-dienstverleners.

3. Wacht je moment rustig af
Gewone inbrekers hebben een snelle werktijd: ze breken in, grijpen de stuivers die voorhanden liggen, en vertrekken voor de politie ze kan inrekenen. Internetspionnen hebben niet altijd haast. Wie via een phishingmail zijn malware of trojan heeft geïnstalleerd op de computer van uw ambtenaar, hoeft alleen maar te wachten tot die ambtenaar zonder het te weten zijn kroonjuwelen op tafel legt: zijn inlogcodes, zijn wachtwoorden of precies die informatie die de spion zoekt. Dat daar maanden overheen kunnen gaan, bewijzen de berichten over veiligheidslekken in netwerken, die op het moment van ontdekken soms zelfs al langer dan een jaar gecompromitteerd waren.
Oplossingen: Test uw systeem geregeld op zwakke plekken. Laat ‘ethische hackers’ proberen uw systeem binnen te dringen.

4. Maak gebruik van de trage reactie van beveiligers
Gewone gauwdieven kun je in de kraag vatten. Met internetcriminelen is dat minder goed mogelijk. Sterker nog: als een lek ontdekt wordt, betekent dat meestal nog niet het einde van de inbraak. Als een lek op vrijdagmiddag bekend wordt en het duurt tot maandag eer het lek wordt gedicht, dan zal blijken dat ook in het weekend data zijn gelekt.
Oplossingen: Verhoog je reactiesnelheid. Ontwerp een rampenplan. Wat moet er direct gebeuren in het geval van een veiligheidslek? Wie is daarvoor verantwoordelijk? Welke acties kunnen wachten?

5. Doorzetten! Alle beveiliging is feilbaar
Hoe belangrijk het tijdig updaten van software ook is, geen virusscanner is echt up-to-date. Op zijn best ontmaskert een virusscanner alle bekende malware. Maar onbekende virussen signaleert hij pas vanaf het moment dat ze ontdekt en door de virusscannerfabrikant detecteerbaar worden gemaakt. Hoeveel onbekende malware er in omloop is, zal niemand weten, maar het risico op besmetting is nooit nul. Omdat spionnen net als water zich op het laagste punt ophopen, is optimalisatie nuttig.
Oplossingen: Zorg voor degelijke beveiliging. Installeer veiligheidspatches altijd direct. Spreek bij gunningen voor virusscanners en firewalls af wie verantwoordelijk is voor updates. Ontwerp een Plan B.

6. Gedraag je zo onopvallend mogelijk…

Voor de huis-tuin-en-keukenwebdief dient gemak de mens. Een internetcrimineel uit Wladiwostok gaat ook gewoon ‘s avonds naar bed. En wordt dus wakker als de modale Venrayse ambtenaar net zijn ‘zoervleis’ achter de kiezen heeft. En dus is de kans groot dat de dief in een Nederlands nachtelijk tijdstip op uw netwerk inlogt. Frappant, niet? En wonderwel traceerbaar. En zo zijn er meer zwakke plekken waar u in uw strijd tegen De Rus gebruik van kunt maken. Als u die strijd aanwilt…
Oplossingen: Zoek de aanval op. Doe aan contraspionage met uw eigen data. Laat de scans van uw netwerk analyseren op verdachte activiteiten, op verdachte tijdstippen, van verdachte gebruikers, met verdacht snel opeenvolgende reeksen aanvragen, etc.