Stel: je bent een schapenboer met een vijf meter hoog hek rond je schapenwei, maar je vergeet een gapend gat in het hek te dichten. Knap stom. Toch? De wolven hoeven niet heel slim te zijn om een bloedbad onder de hulpeloze schapen aan te richten. Hoe moeilijk kan het zijn om ervoor te zorgen dat er géén gat in het hek zit. Maar ja, zo’n schapenboer is nogal lowtech.
Het gekke is dat vergelijkbare blunders plaatsvinden in een omgeving waar je geen schapen maar staatsgeheimen bewaakt. Je geeft een vermogen uit aan cyberbeveiliging maar ziet niet dat medewerkers van de NCTV er massaal met geheimen vandoor gaan. Tweehonderd USB-sticks – voor een deel met staatsgeheimen – zijn spoorloos. Op NOS.nl lees ik: “Bestaande regels over het inzien van staatsgeheimen worden niet nageleefd en er wordt niet bijgehouden wie informatie print en die dus mee naar huis kan nemen.” Een NCTV-medewerker had een paar honderd gegevensdragers thuis tjokvol met vertrouwelijke informatie. Hoeveel? Schrik niet: omgerekend 11 miljard A4’tjes.
Ik ben geen cyberdeskundige maar je zou toch denken dat ze bij de organisatie die Nederland behoedt voor terroristische aanslagen een IT-systeem hebben waar een rood lampje gaat knipperen als iemand 11 miljard pagina’s uit het geheugen trekt. Niet dus. Goed vertrouwen is de vijand van elke vorm van goede bewaking.
Een NCTV’er had gegevensdragers thuis tjokvol vertrouwelijke informatie
Waarom hebben computers in zo’n organisatie trouwens een USB-uitgang? USB-sticks zijn al zo vaak misbruikt door cybercriminelen. De meest beruchte actie was op een parkeerplaats van een Amerikaanse militaire basis. Een medewerker wandelt nietsvermoedend naar z’n werk en ziet op de parkeerplaats een USB-stick liggen. Wat denk je? Zo iemand is te nieuwsgierig (pikante plaatjes, bitcoincodes, appeltaartrecepten?) om zo’n stick te laten liggen. Het was in het Amerikaanse leger de misschien wel grootste cyberinbraak ooit.
Te veel goed vertrouwen, te weinig controle
Nog eentje? Op de parkeerplaats van een Amerikaanse universiteit werden 300 USB-sticks gedropt. Binnen de kortste keren was de helft gebruikt in computers van de universiteit. Sommige al binnen zes minuten. Bingo! De allerslimste IT-beveiligers zijn niet opgewassen tegen de nieuwsgierigheid en goedgelovigheid van medewerkers en studenten. Ik lees over bewakingssystemen die werken volgens de stelregel zero trust: nooit vertrouwen, altijd verifiëren. Dat klinkt verstandig, maar bij de NCTV gebeurt het omgekeerde: te veel goed vertrouwen, te weinig controle.
Medewerkers konden zomaar bij informatie, ook als ze het professioneel niet eens nodig hadden. Het need-to-know-principe gold niet. Nogal verbijsterend! Mijn tip: train een snuffelwolf om bij de uitgang van het NCTV-hoofdkantoor gesmokkelde USB- sticks op te sporen. Die wolf doet het vast beter dan de huidige hightech beveiliging en heeft geen tijd meer om onschuldige schapen dood te bijten.
Charles Groenhuijsen is journalist en werkte onder meer voor de NOS als correspondent, nieuwslezer en presentator van onder andere de talkshow Op1.
Reacties, suggesties? Graag!
charlesgroenhuijsen@gmail.com
Lees meer blogs van Charles Groenhuijsen
Volg Security Management op LinkedIn
;
