Maak jouw bedrijf het doelwit van een hack
Als organisatie is het van groot belang dat je serieus nadenkt over je digitale veiligheid. Een cyberaanval kan ieder bedrijf overkomen en grote gevolgen hebben. Kijk maar naar de aanval op de oliepijplijn in de VS of iets dichter bij huis, de hack bij logistiek bedrijf Bakker, waardoor alle kaas-schappen in de supermarkt dagenlang leeg waren.
Het is niet moeilijk om jezelf te leren hacken en er zijn inmiddels heel veel mensen die zichzelf deze kunst hebben aangeleerd. Het verschil zit hem in de ethiek. Wil je een bedrijf helpen gegevens te beschermen of wil je het lek gebruiken om er financieel op vooruit te gaan? Of erger nog, het bedrijf schade toe te brengen? Dat is het verschil tussen een ethisch hacker en een malafide hacker. De eerste groep hackers zal weliswaar kijken of ze met een systeem iets anders kunnen doen dan waar het voor bedoeld is, maar nooit daadwerkelijk schade toebrengen aan het bedrijf. Ze maken er een melding van zodat de organisatie het lek kan dichten. Deze groep mensen beschermt je in feite tegen malafide hackers en daarom is het voor iedere organisatie belangrijk om hier serieus aandacht aan te besteden.
Een hack laten uitvoeren
Het aanvalsoppervlak is de sleutel om digitale problemen op te lossen. Digitale risico’s van buiten, eigen technologische ontwikkelingen en regelgeving komen daar allemaal samen. Wanneer je een ethisch hacker (in persoon of als digitaal platform) jouw aanvalsoppervlak in kaart laat brengen, kun je een weloverwogen beslissing nemen over de externe blootstelling van het merk online, waar bedreigingen vandaan komen, waar kwetsbaarheden in de systemen zich bevinden, waar aanvallen worden uitgevoerd en wat prioriteit moet krijgen.
De gemeente Den Haag laat zich bijvoorbeeld ieder jaar hacken tijdens de wedstrijd Hâck The Hague. Tijdens het evenement mogen 200 ethische hackers uit binnen- en buitenland proberen om kwetsbaarheden in de digitale infrastructuur van de gemeente en haar leveranciers op te sporen. Daarmee wil de gemeente haar weerbaarheid vergroten en stimuleert de hofstad haar leveranciers om continu in digitale topconditie te zijn zodat vrede en veiligheid gewaarborgd kunnen blijven.
Uiteraard zijn er wel spelregels waar alle partijen zich aan moeten houden. Zo verklaren de hackers zich vooraf akkoord met de voorwaarde dat ze gevonden kwetsbaarheden met bewijs melden in een speciaal portaal en niet openbaar maken in lijn met de regels van Coordinated Vulnerability Disclosure. Als tegenprestatie maken ze kans op verschillende geldprijzen.
Wat gebeurt er met gevonden kwetsbaarheden?
Naast dat het spannend is om te zien welke kwetsbaarheden hackers ontdekken is het ook interessant om te weten wat er met al deze bevindingen gebeurt. In het geval van de gemeente Den Haag is ongeveer de helft van de gemelde kwetsbaarheden binnen twee tot drie weken na het evenement opgelost. De andere helft kost meer tijd, omdat het om complexere systemen gaat die bijvoorbeeld maar één of twee keer per jaar worden bijgewerkt.
Hoe ziet een bedrijfshack eruit?
Een voorbeeld van een succesvolle hack tijdens Hâck The Hague was een kwetsbaarheid dankzij ingebouwde inloggegevens voor een API. Een mobiele app van een van de deelnemende leveranciers bevatte een embedded account dat via de API toegang gaf tot gevoelige technische informatie en metadata van printopdrachten op een specifiek deel van het printsysteem. Het systeem werd door medewerkers gebruikt om printopdrachten via een mobiele app of e-mail naar de printers te sturen. Waarschijnlijk heeft de ethisch hacker gebruik gemaakt van een overzicht van nieuwe kwetsbaarheden (bijvoorbeeld de Full Disclosure lijst) en open source intelligence (OSINT) om de namen van websites van de gemeente te achterhalen.
Onafhankelijk van Hâck The Hague publiceerde een beveiligingsonderzoeker enkele dagen voor het hackevenement een bericht over het betreffende product dat door de gemeente werd gebruikt. In dit document zijn ook de gebruikersnaam en het wachtwoord van het embedded API-account opgenomen. Tijdens het evenement heeft de ethisch hacker waarschijnlijk de namen verzameld van de gemeentelijke websites die productnamen zochten waarvoor recente kwetsbaarheden waren gemeld en kon hij de informatie uit de verantwoordelijke openbaarmaking daarvoor gebruiken.
Deze kwetsbaarheid kreeg hoge prioriteit omdat de metagegevens van de afdruktaak ook gevoelige informatie kunnen bevatten. Direct nadat deze hack was gemeld, werd duidelijk dat er geen quick-fix zou zijn, dus werd er besloten de publieke toegang tot het systeem te sluiten in afwachting van een patch van de leverancier.
Tijdens Hâck The Hague waren vertegenwoordigers van de IBD (ondersteunt gemeenten bij informatiebeveiliging en privacy) aanwezig en die zijn direct geïnformeerd over de gevonden kwetsbaarheid. Wat volgde was intensief contact tussen de gemeente en de Nederlandse tak van de leverancier wat uiteindelijk resulteerde in een patch voor de betreffende API, geleverd binnen een week. Bovendien is de app verwijderd uit de appstores van Apple en Google.
Hacken in de hand hebben
Laat je je bedrijf met toestemming hacken, dan krijg je een frisse blik op zaken waarop je jezelf in elk ander geval blindstaart. Hackers denken anders dan de gemiddelde mens, dat kun je op een positieve manier inzetten.
Er zijn platformen die het laatste mogelijk maken. Het voordeel is dat zo’n platform van buitenaf naar de omgeving van de organisatie kijkt - precies zoals een hacker dat doet. Door de geautomatiseerde methode elimineer je blinde vlekken en krijg je een compleet beeld van het aanvalsoppervlak. Cybersprint is daar een voorbeeld van en is tevens een van de weinige Nederlandse cybersecurity-bedrijven die eigen technologie in huis maakt. Nederland is een ingenieursland en we mogen er trots op zijn dat we zo goed voorop kunnen blijven op het gebied van kwaliteit tussen al het grote geld uit Silicon Valley en Israël.