Een computerhack is voor een bedrijf al vervelend genoeg, maar waar het volgens senior forensic IT-expert Kevin Jonkers van Fox-IT vaak aan ontbreekt is de mogelijkheid precies uit te kunnen zoeken hoe het incident heeft kunnen gebeuren. Jonkers is spreker op de vakbeurs Infosecurity, op 30 en 31 oktober in de Jaarbeurs in Utrecht.

Tijdens zijn presentatie behandelt hij een tweetal ontwikkelingen, die bedrijven min of meer dwingen de ware toedracht van incidenten zo goed mogelijk boven water te krijgen.

Er staat altijd wel een poort open
“Hackers laten in de regel veel sporen na, maar meestal zijn die na korte tijd alweer weg”, zegt Jonkers. “Logbestanden van gebruikers en hun activiteiten worden vaak niet lang bewaard. Een inbraak vindt regelmatig plaats via e-mail door kwaadaardige bestandjes mee te sturen. Ook in de mailservers van bedrijven is die mailwisseling soms lastig terug te vinden, zodat niet te achterhalen is waar de e-mails vandaan komen.” Volgens Jonkers komen computerhackers vaak bij een bedrijf binnen via onschuldige systemen, zoals een verouderde website met beveiligingssoftware die niet up-to-date is. “Er staat altijd wel een poort open naar buiten zonder dat bedrijven daar erg in hebben, weten wij uit ervaring.” Vanuit dat onschuldige systeem hopt de hacker vervolgens naar belangrijke systemen, denk aan klantendatabases. “De communicatie tussen die systemen zijn bedrijven ook vaak kwijt”, zegt Jonkers. De reden ligt doorgaans in de zuinigheid van bedrijven om in extra reken- en opslagcapaciteit te investeren, “terwijl het van belang is de tijdlijn van het incident in kaart te kunnen brengen. Daar ontstaan dan gaten in, zodat je geen volledig beeld hebt van beveiligingslekken en gebeurtenissen. Wat weer nodig is als bedrijf om je tegen volgende aanvallen te wapenen.”

Nieuwe wetgeving
Vanuit Europa is nieuwe privacywetgeving in de maak, die bedrijven verplicht bij het ontwerp van hun computersystemen rekening te houden met het beschermen van persoonsgegevens. “Als zich incidenten voordoen, moet een bedrijf niet alleen aan kunnen tonen dat het deze bescherming goed heeft geregeld maar ook kunnen laten zien wat de impact van het incident op systemen met persoonsgegevens is geweest. Zijn er gegevens weggesluisd of aangepast door de overvaller? Deze kennis moet dan wel beschikbaar zijn. De bewijslast komt volledig bij het bedrijf te liggen.” Is die wetenschap er niet, dan kunnen strenge boetes het gevolg zijn. De boetes die de huidige privacywetgeving kent, zijn een lachertje. De vernieuwde wetgeving uit Brussel bevat waarschijnlijk aanzienlijk scherpere boetes, die op kunnen lopen tot twee procent van de globale jaaromzet. In eigen land geldt een meldplicht voor telecombedrijven, als hun computernetwerk is gehackt. In het nieuwe wetsvoorstel voor het verplicht melden van datalekken wordt de meldplicht van toepassing op alle bedrijven in ons land die in hun systemen persoonsgegevens verwerken. “Je kunt dan als bedrijf lastige vragen krijgen van de toezichthouder”, zegt Jonkers. “Vragen waar je geen antwoord op hebt, als je niet precies kunt nagaan hoe een incident heeft plaatsgevonden en wat er exact is gebeurd.”

Agenda: Infosecurity 2013

Eerder verschenen: Infosecurity 2012 (foto’s)