De gemeente Hof van Twente werd eind vorig jaar getroffen door een uitbraak van ransomware. Daardoor werden de computersystemen van de gemeente platgelegd en een deel werd gewist. Criminelen konden binnenkomen dankzij een recente aanpassing van de firewall en een gewijzigd wachtwoord. In hoeverre heeft het wachtwoordbeleid van de organisatie hier gefaald?
Edwin Feldmann
Wachtwoorden zijn voor veel medewerkers een noodzakelijk kwaad. Het is belangrijk om ervoor te zorgen dat niet iedereen bij bepaalde gegevens kan. Aan de andere kant moeten medewerkers nu zoveel wachtwoorden aanmaken dat ze heel eenvoudige wachtwoorden verzinnen die ze kunnen onthouden. Of ze gebruiken één wachtwoord voor meerdere accounts, of ze schrijven de wachtwoorden op een papiertje en bewaren dat in de buurt van de pc. En dat terwijl we allemaal wel de adviezen van onder meer het Digital Trust Center kennen over het gebruik van veilige wachtwoorden.
Sommige maatregelen werken averechts
In de praktijk is het best lastig voor medewerkers om zich daaraan te houden. Medewerker blijken vooral in de fout te gaan als organisaties bepaalde eisen gaan stellen aan de complexiteit van wachtwoorden. Bijvoorbeeld door gebruikers te vragen hun wachtwoorden langer en complexer te maken, of te eisen dat gebruikers regelmatig een nieuw wachtwoord aanmaken (wachtwoordrotatie). Die maatregelen lijken juist averechts te werken.
Lees ook: Is jouw wachtwoord nog geheim?
Verschillen in wachtwoordbeleid
Je kunt als organisatie wel een wachtwoordbeleid opstellen voor bijvoorbeeld Microsoft 365, maar dat voorkomt niet dat medewerkers bij andere diensten alsnog tegen drempels aanlopen. Voor bijna elke site of dienst is namelijk een eigen inlog nodig en veel van die diensten houden er een eigen wachtwoordbeleid op na. Zo verschilt geregeld de minimum lengte van een wachtwoord. Meestal varieert dat tussen de zes en acht karakters hoewel de meeste wachtwoorden tussen de acht en twintig karakters lang moeten zijn.
Lang of kort wachtwoord, dat maakt niet zo veel uit
Het grootste probleem lijkt de complexiteit te zijn. Sommige diensten of websites eisen het gebruik van hoofdletters en kleine letters, andere verlangen daarnaast het gebruik van cijfers of andere tekens, zoals bij internetbankieren. Welke symbolen of tekens zijn toegestaan, verschilt ook weer sterk per site en service. Het is altijd maar een deel van alle tekens en symbolen die voorkomen op een normaal toetsenbord van 94 tekens. Je kunt zelfs een spatie als symbool gebruiken want dat verslaat de meeste wachtwoordzoekers, stelt Roger Grimes, Data-Driven Defense Evangelist bij security-awareness-bedrijf KnowBe4. “Bij het uitvoeren van de meeste wachtwoordaanvallen maakt het niet uit wat voor wachtwoord je hebt, lang, kort of anders, zolang ze maar niet makkelijk te raden zijn.”
Lees ook: Bescherm jezelf tegen ransomware: 7 tips
Welkom2020
Het incident in Hof van Twente was voor een deel het gevolg van een wijziging van een wachtwoord van een beheerdersaccount (testadmin). Het wachtwoord daarvan werd op 15 oktober veranderd in ‘Welkom2020’. In een rapport van onderzoeker Brenno de Winter staat dat dit een makkelijk te raden wachtwoord is. Volgens Roger Grimes was ‘Welkom2020’ niet direct een makkelijk te raden wachtwoord. Het bevat een hoofdletter, kleine letters en getallen. Wel zijn het woord en het getal zelf makkelijk te raden.

Zorgvuldig gebruik van wachtwoorden is ieders verantwoordelijkheid.
Combinatie van bestaand woord met jaartal ongeschikt
In het forensisch rapport dat is opgesteld naar aanleiding van het incident bij Hof van Twente, staat ook dat het wachtwoord ‘Welkom2020’ voldeed aan het destijds door het gemeente gestelde wachtwoordbeleid (minimaal 8 karakters). “Maar het gaat hier niet om individuele karakters, maar om een samenstelling van een veelgebruikt woord en een jaartal. Deze combinatie is niet geschikt om als wachtwoord te gebruiken.” Uiteindelijk hebben de criminelen gedurende ongeveer twee weken dagelijks tussen de 50.000 en 100.000 inlogpogingen gedaan voordat ze het wachtwoord hadden gekraakt.
Tip: Download de gratis whitepaper Cybersecurity
Communicatie tussen verschillende server onvoldoende gescheiden
Dankzij het gekraakte wachtwoord en de gewijzigde firewall-regel hebben de criminelen toegang gekregen tot de FTP-server van de gemeente Hof van Twente. Op de FTP-server draaide een kwetsbare versie van het Remote Desktop Protocol (RDP). Door onvoldoende netwerksegmentatie (scheiding van communicatie tussen servers) was het mogelijk om verbinding te maken met andere servers binnen het netwerk van de gemeente vanaf de FTP-server. Zo opende die kwetsbaarheid in RDP uiteindelijk alle deuren tot het netwerk van de gemeente.
Specifieker wachtwoordbeleid had veel kunnen voorkomen
De forensisch onderzoekers concluderen daarom dat de fouten van de beheerders hebben geleid tot de toegang en dat de inrichting van de infrastructuur de verdere aanval mogelijk heeft gemaakt (vrijwel alle systemen waren bereikbaar vanaf bijna iedere machine). “Er had een specifieker wachtwoordbeleid opgesteld kunnen worden waarin het gebruik van bepaalde generieke woorden verboden zijn en dit beleid had dan zowel op technisch als beleidsniveau moeten worden afgedwongen”, concluderen de onderzoekers in het forensisch rapport. Ook had deze situatie voorkomen kunnen worden door de servers op netwerkniveau van elkaar te scheiden (microsegmentatie) en enkel onderlinge communicatie toe te staan waar dat noodzakelijk is.
Het zorgvuldig gebruik van wachtwoorden zou eigenlijk ieders verantwoordelijkheid moeten zijn,
Waar ligt de verantwoordelijkheid?
Ligt de verantwoordelijkheid dan alleen bij de systeem- of netwerkbeheerders? Zo eenvoudig is het niet. Het ligt voor de hand dat de werkgever ervoor verantwoordelijk is om de werknemer te leren dat er geen wachtwoorden opnieuw op verschillende sites en voor diverse diensten worden gebruikt. Maar het is erg moeilijk voor een werkgever of een securitymanager om te zien wanneer een werknemer zijn bedrijfswachtwoord heeft hergebruikt op andere sites waar de werkgever geen controle over heeft.
Volgens Michel Schaalje, Security Lead Nederland bij Cisco, is de CISO (Chief Information Security Officer) of afdeling Risk & Compliance eindverantwoordelijk voor het beleid rond wachtwoorden en de toegang tot applicaties. Het zorgvuldig gebruik van wachtwoorden zou eigenlijk ieders verantwoordelijkheid moeten zijn, zo stelt hij. “Helaas is het voor de meeste mensen vrijwel ondoenlijk om veel verschillende, complexe wachtwoorden te onthouden. Hierdoor ontstaan uiteindelijk toch beveiligingsrisico’s, bijvoorbeeld door hetzelfde wachtwoord voor meerdere accounts te gebruiken of het wachtwoord op een post-it te schrijven op het bureau.”
Voor veel medewerkers is een cyberincident nog een te-ver-van-hunbed-show
Geleerde lessen
De medewerkers regelmatig wijzen op de mogelijke risico’s van het hergebruik van wachtwoorden of het gebruik van eenvoudige wachtwoorden, dat lijkt het algemene advies want het schort geregeld aan de bewustwording van cyberrisico’s. Dat medewerkers niet zo alert zijn op risico’s rondom het (her)gebruik van wachtwoorden, is wel te verklaren, zegt Richard Franken, veiligheidsexpert en directeur van Franken Security Solutions. “Voor veel medewerkers is het nog een te-ver-van-mijn-bed-show. Ze zijn voor andere verantwoordelijkheden aangenomen en schatten het risico van cyberincidenten te laag in.”
Volgens Franken zijn gemeenten over het algemeen iets laconieker over beveiligingsmaatregelen en hebben ze eerder dan het bedrijfsleven het idee dat een beveiligingsincident hen niet overkomt. “Veel gemeenten denken dat er niet zoveel zal gebeuren als cybercriminelen binnendringen. Maar ze beheren wel de gegevens van alle inwoners met allerlei extra informatie in gekoppelde systemen, zoals toeslagen en uitkeringen.”
Bagatelliseren
Ook dr. Inge Wetzer, sociaal psycholoog cybersecurity & compliance bij Secura, schreef in 2018 al over het inschatten van cyberrisico’s. “Het risico op een cyberincident bestaat uit de kans dat het mis gaat en de impact als het mis gaat. Uit onderzoek blijkt dat veel werknemers maar met een van deze twee rekening houden en de andere bagatelliseren.” Er zou vooral gekeken moeten worden waarom medewerkers bepaald ongewenst gedrag, zoals het opschrijven van wachtwoorden, laten zien. Pas dan zou je dat gericht kunnen aanpakken. Daarbij is het volgens Wetzer het belangrijkst om als organisatie concreet aan te geven wat wordt verstaan onder het gewenste (cyberveilige) gedrag.
Lees ook: Handreiking cybersecuritymaatregelen
Totaalplaatje
Voor goede cybersecurity is het belangrijk dat het totaalplaatje klopt, aldus Richard Franken. “Het gaat niet alleen om het beschermen tegen cyberincidenten, maar breder gezien om risicomanagement met als doel om de continuïteit van je bedrijf zo goed mogelijk te garanderen. Er zijn een aantal standaard veiligheidsvoorzieningen voor de IT, zoals het installeren van updates en het uitvoeren van een penetratietest om te checken of je systemen niet te kwetsbaar zijn.” Daarnaast adviseert hij om elke twee maanden van wachtwoord te wisselen, de wachtwoorden niet op te schrijven op een papiertje, maar op te slaan in een wachtwoordmanager en achter een code te verstoppen en tweestaps-verificatie (2FA) in te schakelen. “Dan ben je goed bezig.”
Edwin Feldmann is journalist en tekstschrijver
Volg Security Management op LinkedIn