‘Cybersecurity is complex maar de politie mag zich wel beter beveiligen tegen hackers’



Een nachtmerrie, noemt de politie het zelf: van alle 62.000 politiemensen werden namen, e-mailadressen en functies deze week buitgemaakt door een hacker. Vooralsnog lijkt het erop dat er geen privé of onderzoeksgegevens zijn gelekt. Maar hoe kwamen kwaadwillende hackers binnen bij een organisatie als de politie? En hoe erg is dat?

Hoe de hackers binnen zijn gekomen, is niet duidelijk. Dave Maasland, directeur beveiligingsbedrijf ESET, denkt dat toegang mogelijk is verschaft via een account van een medewerker die op een phisingmail is ingegaan. Zeker is het niet. Het kan volgens hem ook een slimme hacker zijn, die zich al dan niet in Nederland bevindt. „Er kunnen zelfs buitenlandse overheden achter zitten.”

Is de politie zo lek als een mandje? Dat zou ik niet zeggen, zegt Maasland. „Maar cyberveiligheid voor een organisatie als de politie is complex. Ze moeten zich wapenen tegen verveelde tieners, tegen de georganiseerde misdaad en tegen hacks vanuit het buitenland, waar vaak met veel expertise wordt gewerkt. Je kan wel concluderen dat ze zich beter moeten beveiligen.”

Lijst met contactpersonen

De politie deelt zo weinig informatie over de hack dat de ernst zich lastig laat inschatten, zegt cybersecurity-expert Rickey Gevers. Op basis van de informatie die nu bekend is, lijkt een business email compromise (BEC) het meest waarschijnlijk, denkt hij. Dat is een vorm van cybercriminaliteit waarbij een kwaadwillende hacker een mailbox binnendringt en de lijst met contactpersonen down- loadt. Het doel daarvan is overtuigende phishingmails te produceren of moeilijk van echt te onderscheiden nepfacturen versturen.

Een BEC-aanval gebeurt heel vaak, zegt Gevers. Zijn bedrijf Responders staat bedrijven bij die doelwit zijn geworden van een hack. Vaak gaat dat om een BEC-aanval. Precieze aantallen zijn er niet omdat lang niet alle bedrijven naar buiten brengen dat ze slachtoffer werden. Voor cyberexperts is het redelijk makkelijk te achterhalen of het om een BEC-aanval gaat, of om een aanval specifiek gericht op een specifiek bedrijf, in dit geval de politie, zegt Gevers.

Stagiair bij de groenteboer

Goede cyberbeveiliging is voor iedereen belangrijk maar voor sommige organisaties nóg belangrijker, zegt Maasland. „Ben je een kleine MKB-organisatie dan moet je de beveiliging anders inrichten dan een advocatenkantoor. Bij een groentenboer is het niet zo heel erg als de stagiair bij alle adresgegevens kan. Voor een groot advocatenkantoor is het misschien niet handig als elke stagiair alle adresgegevens kan downloaden.”

Belangrijk is ervoor te zorgen dat ze niet verder komen. Dus niet in de woonkamer. Niet in de slaapkamer. En zeker niet bij de kluis

Dave Maasland
Cyberbeveiliger

Binnen zulke organisaties moeten veiligheidsexperts opereren alsóf ze gehackt zijn, zegt Maasland. „Ze moeten dagelijks bezig met het opsporen van de hacks, met het blussen van digitale branden.” Binnenkomen is voor een hacker eigenlijk nooit een probleem, legt hij uit. Net als bij een gewone diefstal lukt dat als je echt wil. Ze forceren een deur of tikken een ruitje in. Zo komt een hacker relatief makkelijk binnen bij de administratie-afdeling waar medewerkers de hele tijd bezig zijn bijlages in mails te openen. Maasland: „Belangrijk is ervoor te zorgen dat ze niet verder komen. Dus niet in de woonkamer. Niet in de slaapkamer. En zeker niet bij de kluis.”

De ene aanval erger dan de andere

Gevers vindt dat de politie zo helder mogelijk moet zijn over wat er is gebeurd. „Een BEC-aanval is wel heel vervelend maar minder ernstig dan veel andere cyberaanvallen. Dus daarmee kan je al veel onrust wegnemen.” Ook Maasland wijst op het belang van zo goed mogelijk informatie verschaffen. „Agenten willen nu vooral weten: wie, wat en waarom. Zij moeten goed geïnformeerd worden en blíjven, zeker de gevoelige teams. Dat houdt voorlopig niet op. Want mogelijk duiken de gegevens op op het internet. Zeker als ze gecombineerd worden met gegevens uit andere hacks, kan er een vollediger plaatje ontstaan dat gevaarlijk is voor individuele politiemensen. Dan moeten er vervolgstappen worden ondernomen.”

De aanval laat zien dat ook de politie slachtoffer kan zijn, zegt Rejo Zenger, beleidsadviseur bij Bits of Freedom. Dat betekent volgens hem dat de politie voorzichtig moet zijn met burgergegevens en niet meer moet opslaan dan strikt noodzakelijk. „Want nu zijn het gegevens van politiemensen die zijn gelekt. Nog vervelender wordt het als gegevens van verdachten, ooggetuigen of slachtoffers op straat liggen.”

Honderd procent beveiligen bestaat niet, zegt ook Zenger. Wel moeten we als land investeren in het verstevigen van een veilige digitale infrastructuur. Dat gebeurt lang niet altijd, zegt hij, en hij wijst op een Europees voorstel om digitaal seksueel misbruik van kinderen en jongeren tegen te gaan. „Op zich een nobel streven”, zegt Zenger. Maar onderdeel daarvan is de versleuteling van digitale gegevens verzwakken door een achterdeurtje in te bouwen. Daarmee kan je strafbare foto’s opsporen maar het levert een groot risico op. Het verzwakt het systeem. „Deze politiehack laat zien hoe fragiel de infrastructuur is. We moeten zeker geen maatregelen nemen die die infrastructuur verzwakken.”






Source link

Leave a Comment