Het fundament van cybersecurity rammelt! Encryptiesleutels en certificaten, uitgevonden om het vertrouwen in veilig internetverkeer te waarborgen, blijken steeds vaker te worden misbruikt door cybercriminelen, die er hun eigen malware mee camoufleren. Volgens Kevin Bocek, vice president Security Strategy & Threat Intelligence van Venafi, is het de hoogste tijd om de cybersecurity wereldwijd op een hoger plan te brengen. Een ‘immuunsysteem’, functioneel vergelijkbaar met het beschermingssysteem van het menselijk lichaam, is in zijn ogen noodzakelijk om de integriteit van het grenzeloze internet en het steeds verder uitdijende stelsel van digitale services te beschermen.
De bescherming van internet is volgens Bocek nog steeds van middeleeuws niveau. De Amerikaanse cybersecurity-topman ziet veel firewalls en andere beveiligingssystemen waarop de ICT-markt blind vertrouwt falen. De reden is dat de internetrevolutie zo snel om zich heen grijpt en het aantal encryptiesleutels en beveiligingscertificaten voor hard- en software zo snel stijgt, dat het overzicht zoek is.
Schijnveiligheid van firewalls
Bocek: “Ieder groot bedrijf heeft talloze sleutels en certificaten in gebruik, verspreid over al zijn softwareapplicaties, netwerkcomponenten en apparaten. Bij een analyse onder onze klanten vonden we meer dan 16.000 keys waarvan de status onduidelijk is. Beheerders hebben geen idee wie ze heeft afgegeven en waar ze voor dienen, of ze weten simpelweg niet dat ze er zijn. Die slecht beheerde securitysleutels zijn een gewilde prooi voor hackers en cybercriminelen. Immers, de ICT-wereld, inclusief de markt voor cybersecuritysystemen, vertrouwt erop dat die sleutels en certificaten valide zijn en in het netwerkverkeer vriend van vijand kunnen onderscheiden. Als cybercriminelen in staat zijn om vitale netwerken binnen te dringen en ongemerkt hun met gestolen sleutels geautoriseerde vileine programma’s te installeren, hebben we dus een groot probleem. Want veel firewalls die ongewenste software moeten tegenhouden, zijn als gevolg van dit majeure lek niet effectief en weten maar een deel van de cyberaanvallen buiten te houden. Firewalls genereren dus in veel gevallen een situatie van schijnveiligheid. Leveranciers van beveiligingsystemen die zeggen dat ze hun klanten tegen elke vorm van inbreuk op de integriteit van hun systemen kunnen beschermen, kunnen die belofte niet waarmaken.”
Blind vertrouwen
Dat de dreiging van security-keys als wapen van kwaadwillenden geen luchtfietserij maar harde realiteit is, wordt volgens Bocek gestaafd door de casuïstiek. Met grote regelmaat worden overal in de wereld netwerken en systemen gehackt, lamgelegd en gemanipuleerd door internetcriminelen, maar ook door overheidsdiensten, die zich van deze zwakke schakels bedienen. Bekende voorbeelden die de media haalden, zijn de Stuxnet-aanvallen op onder andere Iraanse kerncentrales en grote bedrijfsnetwerken in Zuidoost-Azië, de Nederlandse Diginotar-affaire en het lamleggen van het elektriciteitsnet in Oekraïne door Rusland. Internationale cybersecurityanalisten voorspellen dat de komende jaren vijftig procent van alle internetaanvallen wordt uitgevoerd dankzij misbruik van SSL- en TLS-keys, mogelijk gemaakt door ons blinde vertrouwen daarin.
Internetrevolutie
De urgentie om in actie te komen en het fundament van cybersecurity grondig te vernieuwen is hoog, betoogt Kevin Bocek: “De internetrevolutie grijpt nog steeds om zich heen met steeds fijnmaziger vertakkingen en steeds meer slimme applicaties waarvan burgers, bedrijven en overheidsdiensten afhankelijk zijn. De mobiele online wereld kent geen grenzen meer. Zie de ontwikkelingen rond bijvoorbeeld zelfrijdende auto’s en het internet of things. De rol van de mens als poortwachter voor cybersecurity wordt kleiner in een virtuele wereld waarin zoveel netwerken en applicaties met elkaar verbonden zijn en waar machines met machines praten.
Dan moet de betrouwbaarheid van sleutels voor internetcommunicatie echt met sprongen omhoog, anders komt de ontwikkeling van tal van hightech innovaties in gevaar. Er is ook een economisch belang gediend met een effectieve oplossing. Want in de markt voor cybersecuritysystemen gaat veel geld om, wereldwijd zo’n 74 miljard euro! Geld dat wordt besteed aan de ontwikkeling en productie van beveiligingssystemen die maar een deel van de dreigingen uitfilteren omdat de basis van de cybersecurity niet deugt, is dus een uiterst onrendabele investering. Zonde van het geld!”
Immuunsysteem voor het internet
De geconstateerde zwakke schakels in de basis van internetbeveiliging, waren voor cybersecurityspecialist Venafi aanleiding om een ‘immuunsysteem’ voor het internet te ontwikkelen. Dat moet afrekenen met het gevaar van ‘spooksleutels’ in de wereld van digitale encryptie. Bocek vergelijkt het systeem met het biologisch immuunsysteem van het menselijk lichaam: “Onze missie is klanten te beschermen tegen cybercriminelen die sleutels en certificaten willen misbruiken. We hebben daarvoor een platform ontwikkeld, gebaseerd op de functie van het menselijk immuunsysteem. Net zoals ons lichaam unieke identifiers gebruikt om te bepalen wat te vertrouwen is, vervullen in cyberspace sleutels en certificaten die functie. Met ons platform patrouilleren we continu op internet en de netwerken, systemen en programma’s van onze klanten, die we grondig doorlichten en analyseren. Welke sleutels en certificaten komen we tegen? Wie heeft ze gemaakt en waar dienen ze voor? Hoe is het gebruik van sleutels en certificaten te versnellen? Hoe zijn menselijke fouten daarbij te voorkomen? De slimme functies van het immuunsysteem kunnen zo betrouwbare en onbetrouwbare sleutels van elkaar onderscheiden en blokkeren direct alle keys waarvan de herkomst of functie onduidelijk is. Zo zijn we in staat de achterdeurtjes waardoor kwaadwillenden in beveiligde netwerken kunnen komen, te blokkeren. Ook kunnen we voorkomen dat klanten investeringen in firewalls en andere beveiligingsapparatuur verspillen, omdat deze versleuteld verkeer blind vertrouwen en doorlaten.”
We hebben een platform ontwikkeld, gebaseerd op de functie van het menselijk immuunsysteem
Gebruik van het immuniteitsplatform alleen is volgens Bocek niet genoeg. Ook de bewustwording en het kennisniveau van ICT-beheerders en fabrikanten van cybersecuritysoftware moeten worden verhoogd. Die kennis is nu in zijn ogen onder de maat. “We hebben daarom een actief awareness-programma en verzorgen ook opleidingen voor ICT-professionals. Risicobewustzijn en kennis van gevaren en mogelijke oplossingen zijn de sleutel tot een grotere internetveiligheid. Samenvattend is mijn statement: besef dat het probleem van verborgen achterdeurtjes en het blind zijn voor onveilige beveiligingssleutels groter is dan je denkt en weet wat je aan beveiligingssleutels gebruikt in je infrastructuur en je informatiebeheer.”
Nederlandse situatie
Kevin Bocek erkent dat een honderd procent veilig internet nooit realiteit zal worden, want de wedloop tussen cybercriminelen en de cybersecuritywereld zal doorgaan. Maar met een solide immuunsysteem dat beter grip heeft op de authenticatie en registratie van beveiligingssleutels en -certificaten, wordt de basis van cybersecurity wel versterkt. Hij benadrukt dat overheid, wetenschap en bedrijfsleven intensief moeten blijven samenwerken bij het analyseren van kwetsbaarheden en het ontwikkelen van oplossingen voor veiligheid in het digitale domein. Er zijn in zijn ogen veel goede initiatieven. Israël kent een sterk ontwikkelde cybersecuritystrategie en in veel landen worden defensieorganisaties actiever in het cyberdomein. Keerzijde is dat overheden zelf ook steeds actiever worden in het verkennen van zwakke schakels in cybersecurity voor politieke doeleinden.
De Nederlandse politie heeft een cybercrime-unit die in de wereld hoog staat aangeschreven
Nederland heeft in zijn ogen een goede infrastructuur voor de ontwikkeling van nieuwe cybersecuritystrategieën en tools. “De Nederlandse politie heeft een cybercrime-unit die in de wereld hoog staat aangeschreven. ICT-securitybedrijf Fox IT en de TU Delft zijn belangrijke marktleiders in cybersecurity. Ook de krachtenbundeling van overheid, kennisinstituten en de industrie in The Hague Security Delta is een prima initiatief. Door krachtenbundeling en kennisdeling worden we sterker. En dat is nodig, willen we cybercriminelen een stap voorblijven en ook in de toekomst kunnen blijven vertrouwen op veilige digitale dienstverlening en veilige gegevensuitwisseling in de internetsamenleving.”
> Lees ook Onderzoek Internet of Things