Column


Column Patric Versteeg

State of panic

Alarm! Alarm! Alarm! Code rood! Er is een datalek, we zijn gehackt, er is malware gevonden, WhatsApp heeft een backdoor, iemand heeft software gedownload en geïnstalleerd, de conciërge heeft vijf mensen buiten de organisatie tegelijk gemaild en die e-mailadressen ‘liggen op straat’. We moeten NU iets doen. Als we niet reageren, zijn we morgen failliet en hebben we een boete van 100.000.000 dollar.

Misschien overdrijf ik in bovenstaande alinea een beetje, maar diegenen onder ons die op het niveau van securitymanager of CISO acteren, zullen dit heel herkenbaar vinden. Het lijkt momenteel wel of elk nieuwsartikel of door je SIEM gevonden afwijking het CSIRT meteen bij elkaar laat komen. Blinde actie tot gevolg hebbende.

Privacyproblemen WhatsApp
Het is ongeveer een week vier geleden dat ik al vroeg in de trein richting mijn werk zit. Voor mij HET moment om de SANS Internet Storm Center-podcast te beluisteren. Op die geven dag luister ik naar een bericht over een artikel in the Guardian waarin melding wordt gemaakt van mogelijke privacyproblemen rond WhatsApp.

Wat duidelijk wordt uit de berichtgeving is dat het waarschijnlijk mogelijk is dat ‘derden’ berichten die via WhatsApp zijn verstuurd, opnieuw kunnen versturen zonder dat zender en ontvanger dit merken en waarbij de (onversleutelde) berichten gelezen kunnen worden. De podcast licht toe dat de aanval dan wel van de servers van WhatsApp (Facebook) moet plaatsvinden, zeer gericht moet zijn en niet eenvoudig is uit te voeren. Met ‘wordt vervolgd en tot morgen’ wordt de podcast afgesloten.

Code Rood!
Terwijl ik mijn gedachten nog even over het stukje informatie laat gaan (ja, ook ik gebruik gewoon WhatsApp) stromen de eerste mailtjes inmiddels mijn mailbox binnen. Naast de gebruikelijke dagelijkse berichtgeving valt mijn oog op een mailtje met de header ‘WhatsApp Lek!’ (Daarnaast trekt ook het rode uitroepteken mijn aandacht, dit moet een serieus probleem zijn?!) Vanuit mijn organisatie word ik geattendeerd op het feit dat WhatsApp lek is en dat mij wordt geadviseerd om alle communicatie die via WhatsApp loopt te verbieden. Code Rood!

Hoewel ik het natuurlijk zeer kan waarderen dat het ‘securitydenken’ zeer goed verankerd is binnen mijn organisatie ben ik niet op mijn strepen gaan staan en heb ik niet van de hoogste toren geblazen. Ook het CSIRT heb ik niet meteen bij elkaar groepen of mijn seniormanagement geïnformeerd over een mogelijk ‘cybersecurity-incident’. De reden? Die is eigenlijk heel simpel. Ik ben eerst gaan overwegen (in mijn rol als CISO) of er echt daadwerkelijk iets aan de hand was? (Nee dus, terwijl ik toen nog niet wist dat The Guardian op zijn artikel bakzijl moest halen).

Mijn conclusie; niets aan de hand. Enerzijds is mijn organisatie dermate ‘security aware’ dat vertrouwelijke documenten niet via WhatsApp worden gedeeld. Anderzijds, als dit dan toch gebeurt, dan moet de aanval wel heel precies plaatsvinden en direct gericht zijn op die gebruikers. Ik heb mijn medewerkers dan ook niet verboden om WhatsApp te gebruiken.

Uit zeer vertrouwelijke bron heb ik trouwens vernomen dat dit binnen Defensie wel is gebeurd. Hetgeen mij wel een beetje bevreemdt daar ik toch verwacht dat Defensie überhaupt geen landsgeheimen via Amerikaanse servers verspreidt, maar dat terzijde. Het delen van gevoelige informatie via (Amerikaanse) social media is sowieso onverstandig. Zeker als het Privacy Shield wankelt.

Gefundeerde afwegingen
Als securitymanager of CISO heb je de verantwoordelijkheid om dit soort afwegingen (gefundeerd) te maken. Je kunt niet bij elke melding moord en brand schreeuwen. Doe je dit wel dan is dat niet alleen slecht voor de bedrijfsvoering maar ook voor jouw positie. Van strategisch adviseur word je dan een brandjesblusser.

Mocht je dit soort afwegingen niet telkens opnieuw willen maken, dan stel ik voor dat je een ‘acceptable use policy’ opstelt (en natuurlijk laat bekrachtigen) over hoe je met diverse typen informatie dient om te gaan.


Lees meer over