De vijf lessen van de OPM hack

De vijf lessen van de OPM hack

DearBytesBlogDe vijf lessen van de OPM hack

vrijdag 26 juni 2015

Het lek van persoonsgegevens bij het Office of Personnel Management (OPM) in Amerika als gevolg van een hack is gigantisch. Er wordt inmiddels gezegd dat van 14 miljoen mensen data zijn gelekt, of zelfs van 18 miljoen. Maar het lek is niet alleen gigantisch groot. Het is ook een schoolvoorbeeld van hoe dingen in informatiebeveiliging gigantisch fout kunnen gaan. Dingen waar wij, de securityprofessionals, ontzettend vaak voor waarschuwen. Maar blijkbaar tevergeefs: bestuurders hebben op inhoudelijk niveau nauwelijks aandacht voor het onderwerp.

We proberen het daarom nog een keer: misschien dat een concreet praktijkvoorbeeld als dit kan helpen. Welke lessen kunnen we trekken uit de OPM hack?

Les 1: late detectie

DBDrawing 010 - No GovernanceAllereerst is de hack volgens het Witte Huis pas na maanden gesignaleerd. Het gebeurde min of meer toevallig: terwijl men bezig was om monitoring en detectie in het netwerk uit te breiden. Ofwel: normale detectiemiddelen voldeden niet, en buiten de middelen was er ook iemand nodig om effectief naar die middelen te kijken. Wanneer dit eerder was georganiseerd, hadden ze de inbraak misschien niet verhinderd, maar had deze wel in de kiem kunnen worden gesmoord, zodat het datalek zou zijn voorkomen.

We kunnen er weinig tegen doen dat een inbreker onze ruit ingooit, maar we kunnen wel zorgen dat er dan een alarm afgaat en dat onze dierbaarste bezittingen in een kluis liggen: dat zijn de maatregelen die schade beperken.

In de digitale wereld zijn tal van netwerk detectie oplossingen op de markt om signalering van inbraak te verbeteren. Allemaal net weer met een andere insteek, dus vaak complementair aan elkaar. DearBytes werkt met technologieën van FireEye, Intel Security, RedSocks en Fortinet.

Maar voordat u alle vier bij ons besteld, even los van de techniek: monitoring, detectie en respons zijn specialistische taken. Vaak is die rol niet (goed) in te richten binnen de bestaande IT-organisatie. In dat geval biedt outsourcing een uitkomst. Bij DearBytes leveren wij de Security Monitoring Service om aan deze behoefte te voldoen.

Les 2: slechte crisiscommunicatie

OPM heeft zich nog meer woede op de hals gehaald door slecht en onvolledig te communiceren. Dat je gehackt wordt en persoonsgegevens daardoor op straat liggen, is al erg genoeg, maar het is des te erger als je dan de personen in kwestie slecht informeert. De e-mail die de getroffenen in eerste instantie ontvingen, gaf geen antwoord op de vraag welk soort informatie er precies gelekt was, en leidde daardoor vooral tot vragen en paniek. De communicatie is zeker in het begin op veel punten fout gegaan en dat heeft de reputatie van OPM nog meer schade berokkend dan de hack zelf.

De les is dat elke organisatie een draaiboek klaar moet hebben liggen om goed te reageren op security-incidenten. Dat hoeft niet ingewikkeld te zijn: vaststellen van rollen en verantwoordelijkheden is al een goede start. En onderschat daarin de rol van crisiscommunicatie niet! Wie zich hierin verder wil verdiepen kan het Incident Handler’s Handbook van het SANS Institute eens lezen.

DearBytes kan ook hier helpen: met onze diensten voor strategie en beleid kunt u samen met ons tot een plan komen dat op uw organisatie is toegespitst.

Les 3: geen governance

Op 16 juni werden Katherine Archuleta, directeur van het OPM, en anderen gehoord over het datalek. Het was een van de pijnlijkste congreshoorzittingen die ik ooit heb gezien. Echt: kijk het helemaal terug, het is de moeite waard. Maar vooral in één fragment wordt de zaak mooi samengevat: het stukje waarin voorzitter Chaffetz de directeur behoorlijk in haar hemd zet: “You failed utterly and totally”.

De volledige hoorzitting toont vooral aan dat de governance bijzonder slecht was. Jaar na jaar is daar door auditors op gewezen, maar het is natuurlijk ook een beetje een ‘catch 22’: als er niemand bezig is met governance, wie gaat dan iets doen met signalen dat niemand bezig is met governance?

Informatiebeveiliging betekent doorlopend risico’s in kaart brengen, ze bewust accepteren of ze planmatig wegwerken: Plan-Do-Check-Act. Een oneindige cyclus met controle op de eigen maatregelen en bijsturing op basis van ervaringen. Dit is niet erg ingewikkeld. Het betekent simpelweg dat de directie prioriteiten en doelen stelt waar de organisatie zich aan moet houden.

Het inrichten van governance staat centraal in de DearBytes Security Office (DSO), de dienstverlening van ons team voor strategie en beleid. Met een quickscan en een eerste risicoanalyse helpen we u om de informatiebeveiliging op managementniveau goed in te richten.

Les 4: persoonsgegevens onversleuteld

Dat deze hack zo groot is, heeft te maken met de aard van OPM. Zij verzamelen alle informatie van overheidsmedewerkers, en meer: in het screenen van personeel worden ook familieleden en vrienden meegenomen. En ja: ook die gegevens zijn opgeslagen en mogelijk gehackt. Maar zoals Chaffetz in bovenstaand fragment ook blootlegt: al die data waren niet eens versleuteld (encrypted).

Dit wekte de verbazing van Chaffetz, maar laten we wel wezen: bij veel organisaties is dit waarschijnlijk niet veel anders. Daar kunnen we verontwaardigd over doen, maar laten we dan eerst even bij onszelf kijken. Versleutelen wij zelf wel al onze eigen gevoelige informatie? Versleutelen wij de gevoelige informatie die we van vrienden en familie hebben (bijvoorbeeld adressen)? Ik vind dat u pas echt verontwaardigd mag zijn als u beide vragen met “ja” beantwoordt.

Kortom: hier is echt een mentaliteitsverandering nodig. Als iemand ons een geheim vertelt, moet het in ieder geval niet aan ons liggen als dat geheim ooit onthuld wordt. Hacks zijn niet te voorkomen, net zoals die inbreker die je ruit ingooit, maar leg in elk geval je geheimen in een kluis: pas encryptie toe.

Les 5: verouderde systemen

Een belangrijk onderdeel van de verdediging van OPM is dat ze werken op verouderde systemen. Maar dat is echt de omgekeerde wereld. Het gebruik van verouderde systemen, zeker als het persoonsgegevens betreft, zou verboden moeten worden.

Dus niet meer “wij konden niet versleutelen, want we gebruikten verouderde systemen” maar: “wij konden die systemen niet meer gebruiken, want dat stond versleuteling in de weg”.

Ofwel: we moeten vertrouwelijkheid meer prioriteit geven dan beschikbaarheid van informatie. Ik weet dat dat makkelijk gezegd is, maar het is wel in essentie waar het hier om gaat.

Bij DearBytes leveren we oplossingen (vulnerability manager) om continu (als managed service) of op regelmatige basis in beeld te brengen waar kwetsbaarheden zich bevinden in het netwerk. Dit kan met behulp van “vulnerability assessments” en “penetration testing”.