Alles met een IP-adres is kwetsbaar
Regelmatig lezen we berichten dat de beveiliging van camera’s zo lek is als een mandje. Digitale hulpmiddelen die de veiligheid moeten vergroten, blijken juist een bedreiging. Security Management sprak met Rick Strijbos (directeur Security Academy Nederland) over deze problematiek, de te nemen maatregelen en de rol van diverse partijen.
Hoe ben je in de security terechtgekomen?
“Dat was geen bewuste keuze. Op mijn vijfentwintigste kwam ik – bij toeval – in de IT terecht. Niet de technisch inhoudelijke kant trok mij, maar de dynamiek in de markt. Zestien jaar geleden raakte ik meer geïnteresseerd in security. Met mijn destijds eigen bedrijf verrichtte ik veel werk in de techniek van het internetbetalingsverkeer van banken. Toen ik op televisie zag hoe het tweede vliegtuig zich in de Twin Towers in New York boorde, realiseerde ik mij: This world is gonna change. Hier moeten we iets mee. Met mijn technische specialisten hebben we toen een post-hbo-opleiding Internet Security ontwikkeld voor de Haagse Hogeschool.”
Sinds januari 2015 ben je directeur van de Security Academy Nederland. Wat doet deze organisatie?
“Vanaf 2007 is ons opleidingsinstituut actief. Destijds zagen we dat er een enorm gat zat tussen vierjarige hbo-/academische en behoorlijk theoretische opleidingen en de ‘tweedaagse IT-knoppencursus’, oftewel ‘ik weet op welke knop ik moet drukken, maar niet waarom’. Wij zijn in het gat gesprongen en hebben post-hbo-opleidingen ontwikkeld van vijftien dagen, gegeven door mensen uit de praktijk. Momenteel kennen we opleidingen in een aantal securityvakgebieden: information security management, IT security, privacy & data protection, business continuity management & crisis management en fysieke beveiliging.”
Veiligheid van beveiligingscamera’s
Een van de hot items in securityland is die van de veiligheid van beveiligingscamera’s. Hoe staan we er voor?
“Ik trek het liever breder, naar het internet of things. Alles met een IP-nummer is kwetsbaar. Maar hoe kwetsbaar? We weten het niet. Praten we over beveiligingscamera’s, dan kunnen deze gehackt worden met als doel uitschakeling ervan om in te kunnen breken. Of, met een veel grotere impact, om in te zetten als device om een ander doelwit te treffen. Eind 2016 gingen in Amerika onder andere Twitter en Spotify plat door onveilige devices, gebruikt om data naar de centrale servers te sturen. Een DDoS-aanval. Dus zonder het te weten, kan jouw beveiligingscamera twee jaar geleden al gehackt zijn en deel uitmaken van een botnet.”
Dus we kunnen er moeilijk de vinger op leggen?
“Dat klopt.”
Maar zijn we ons wel voldoende bewust van de gevaren?
“De professionals wel, maar de gemiddelde gebruiker niet. Alhoewel, de professional, wie is hij? Komt hij uit de fysieke beveiliging, dan is hij wellicht geen professional in IT-security. Ook zijn er IT-securityprofessionals – die alles weten van de nullen en de enen – maar op Facebook melden dat ze de volgende dag op vakantie gaan.”
Actie is nodig?
“Inderdaad. En dat kan met onder andere security by design. Goed nadenken over de beveiliging bij het ontwerp en tijdens de bouw, zodanig dat security intrinsiek is verweven in de software. Een ketting is zo sterk als de zwakste schakel, dus moeten er structureel maatregelen genomen worden. Wat heeft het voor zin om van een bankgebouw alle ramen en deuren te vergrendelen als binnen de sleutel gewoon in de kluis zit? Kortom, zowel de gebruiker als de leverancier van bijvoorbeeld een beveiligingscamera moeten een mechanisme ontwikkelen om de veiligheid te verhogen. Stel: je koopt een beveiligingscamera, dan is standaard vaak de login ‘admin’ met als wachtwoord ‘0000’. De fabrikant zou ook het wachtwoordnummer separaat toe kunnen sturen. Aan de andere kant, de gebruiker zou moeten eisen dat een beveiligingscamera op deze wijze geleverd wordt. Zelf het wachtwoord kunnen aanpassen. En bereid zijn een paar euro meer te betalen.”
Gebeurt dit dan nog maar mondjesmaat?
“Dat is afhankelijk van de sector. Het bank- en verzekeringswezen is er bekend mee. Kijken we naar de kritische infrastructuur, dan bemoeit de overheid zich hier gelukkig mee middels wet- en regelgeving. Over de zorgsector maak ik me meer zorgen. Vanuit welke kant de push kan komen? Verschillende. Bijvoorbeeld vanuit de overheid. En dat gebeurt ook. Zij hebben er voor gezorgd dat privacy nu wel op de directietafel ligt. Het krijgt managementaandacht en budget. Maar uiteindelijk hebben we te maken met mensen. Mensen hebben blinde vlekken en kwaliteiten. Ik snap best dat een arts in een ziekenhuis zijn focus heeft op patiëntveiligheid, de rest is bijzaak. Dat is ook goed. Maar dan moeten we wel de persoon die binnen het ziekenhuis verantwoordelijk is voor informatiebeveiliging de ruimte geven die andere beveiliging in orde te maken.”
Veiligheid door awareness
Is awareness belangrijker dan technische beveiliging?
“Het gaat hand in hand. Maar omdat we allemaal mensen zijn met onze zwakheden, moeten we – om iets af te dwingen – ook kiezen voor technische oplossingen. We kunnen medewerkers in een bedrijf instrueren over phishing. Vertellen wanneer ze wel of niet op een link mogen klikken. Maar aan de andere kant, e-mails zijn tegenwoordig zo geavanceerd dat zelfs een beveiligingsspecialist zes keer moet kijken of een link wel of niet betrouwbaar is. Techniek kan soms de oplossing zijn, ook al is die nooit helemaal waterdicht. Oftewel, de keuze kan vallen op het plaatsen van devices in het netwerk die verkeerde mails op basis van geheel andere criteria eruit vissen en in de spambox plaatsen.”
Als we Nederland vergelijken met het buitenland, reageren wij dan anders op dit securityvraagstuk? Of we het nu hebben over (on)veilige beveiligingscamera’s of phishing.
“Als gevolg van de volksaard zien we verschillen. Amerikanen zijn erg goed in technische oplossingen. Duitsland is het strengste en meest genuanceerd denkende land ter wereld als we het hebben over privacy. Nederland is goed in management. We zijn direct en open. Dus signaleren we snel wat het probleem is. Dat klinkt paradoxaal in security. Hoe dichter alles is, hoe beter in control. Het tegendeel is waar. Want des te minder zien we wat er echt speelt.”
Tot slot, security is je vakgebied. Ben jij privé hierdoor extra alert op veiligheid en beveiliging?
“Eigenlijk niet. Ik weet dat honderd procent veiligheid niet bestaat. Ik accepteer risico’s. Op vakantie ben ik gelukkig niet continu bezig met security. Dan kun je niet lekker meer leven. Wel heb ik een zesde zintuig voor mensen on twikkeld en vraag me misschien eerder dan de gemiddelde mens af welke intenties zij hebben. Vanuit mijn functie bezoek ik regelmatig grote bedrijven. Ik vind het fantastisch om – als ik vijf minuten te vroeg ben en zit te wachten bij de receptie – te signaleren wat er gebeurt en of er een mogelijke kwetsbaarheid is. Maar thuis is mijn vrouw degene die let op bijvoorbeeld de keurmerken op sloten. Dan denk ik: ‘Het zal wel’. Als iemand het maar doet, toch?”
tekst: Betty Rombout – geplaatst in Security Management 11 2017
Schrijf u hieronder in voor onze nieuwsbrief!