BINNENLANDS BESTUUR - WEEK 02 | 2022 ACHTERGROND 21 ‘ We blijven waarschuwen voor aanvallen met potentieel grote impact’ twee derde van gemeenten en provincies. Het is onbekend hoeveel organisaties zijn getroffen, omdat de meeste niet naar buiten treden als ze zijn aangevallen, maar het totaal is ‘in potentie groot’: toen de aanvallen in januari 2020 begonnen, waren er ruim vijfhonderd servers waar aanvallers relatief eenvoudig konden binnenkomen. geen Log4j gebruikt, kun je worden geraakt als je zaken doet met een partij die wel Log4j hanteert. Wanneer een gemeente informatie verwerkt in een kwetsbare cloudapplicatie, dan loopt die informatie risico. En zwakheden op ‘losse’ systemen van thuiswerkers kunnen worden uitgebuit om de netwerksecurity van het hele bedrijf aan te tasten. De bekendste kwetsbaarheid die naar voren kwam was Log4Shell. De ‘log’ staat voor het loggen oftewel vastleggen van gebeurtenissen. Wanneer iemand bijvoorbeeld op een link klinkt die niet werkt, komt er een foutmelding. De webserver waarop die website draait, noteert met Log4J die gebeurtenis ten behoeve van de gebruikers en eigenaars. Log4j is dus slechts bedoeld om informatie vast te leggen, maar het blijkt informatie die op een bepaalde manier wordt geformuleerd op te vatten als commando’s. Met de juiste code kunnen aanvallers servers opdrachten geven en ze overnemen. De eigenaar wordt buitengesloten en alleen de aanvaller kan er dan nog bij. Misbruik en afpersing worden zo makkelijk. KWETSBAAR Zoiets gebeurde ook met Citrix. ‘Direct in de weken na de bekendmaking van de softwarekwetsbaarheid drongen aanvallers de digitale systemen van verschillende organisaties binnen’, schrijft de Onderzoeksraad voor Veiligheid in het onlangs verschenen rapport. Op 17 december 2019 maakte de Amerikaanse softwarefabrikant bekend dat een aantal van hun softwareproducten kwetsbaar waren en op 17 januari adviseerde het NCSC Nederlandse gebruikers hun Citrix-servers uit te zetten. De software werd gebruikt door ‘Bekend zijn dat een gemeente, ziekenhuis en verschillende overheidsorganisaties getroffen waren.’ ‘Organisaties hebben steeds minder tijd om kwetsbaarheden te verhelpen voordat servers wereldwijd worden aangevallen’, concludeert de Onderzoeksraad. Aanvallers kunnen organisaties bovendien ook raken via de ketenpartners – de keten is zo sterk als de zwakste schakel. De Onderzoeksraad wijst op ‘opvallende overeenkomsten’ tussen de onderzochte voorvallen: organisaties, en mensen die van deze organisaties afhankelijk zijn, waren digitaal onveilig omdat zij kwetsbare software gebruikten. Uit de reacties van fabrikanten, gebruikers en incidentbestrijders blijkt verder dat ‘incidentbestrijding nog geen sluitende, vanzelfsprekende, systematisch ingebouwde reflex is’. In veel gevallen bereikten de waarschuwingen de organisaties niet. En (vrijwillige) beveiligingsonderzoekers spelen ‘een cruciale rol’ in de incident bestrijding. ONVEILIG Een van de lessen is volgens de Onderzoeksraad dat het gebruik van software ‘inherent onveilig’ is. Gebruik gaat altijd gepaard met risico’s en onkwetsbare software bestaat niet. Hoe ouder de software wordt, hoe meer kwetsbaarheiden er ontstaan. Softwarefabrikanten bouwen voort op bestaande producten en voegen functies toe die de software complexer maken. Ook de programmeertaal, hergebruik en (inconsistente) lagen in de architectuur kunnen zorgen voor kwetsbaarheden. ‘De ongelijke verhouding tussen fabrikanten en afnemers van softwareproducten dwingt te weinig af dat fabrikanten zich inspannen om de veiligheidsrisico’s te beheersen.’ Wet- en regelgeving biedt weinig mogelijkheden om fabrikanten te dwingen, afnemers vinden het moeilijk om eisen te stellen en veel afnemers hebben niet de juiste kennis en capaciteit om eisen te stellen en te controleren. ‘Daarmee worden kwetsbaarheden in software een probleem van de afnemer.’ Jeroen Dijsselbloem, voorzitter van de Onderzoeksraad, geeft in gesprek met AG Connect een mogelijke oplossing voor de relatie met leveranciers: een niet-commercieel, centraal orgaan met breed mandaat dat wél contact op kan nemen met kwetsbare partijen. Al moet die intermediair niet een nieuwe tussenlaag zijn die tijd opslokt. Ook plaatst Dijsselbloem Citrix in een langere traditie: ‘Het is eigenlijk begonnen bij DigiNotar.’ Iraanse hackers vielen die certificaatuitgever in 2011 aan en gebruikten de systemen van het Nederlandse bedrijf om valse certificaten te verstrekken voor Google-domeinnamen, onder meer om mailverkeer te kunnen aftappen. De Onderzoeksraad onderzocht die hack. Later, in 2018, onderzocht de Onderzoeksraad de cybersecurity in de zorg vanwege ransomware-aanvallen op ziekenhuizen waardoor de spoedeisende hulp tijdelijk werd gesloten en operaties niet konden worden uitgevoerd. ‘Dus dit is nu het volgende rapport in een reeks.’ RUSTIG En dan nu Log4j. De Informatiebeveiligingsdienst (IBD) laat weten dat Log4j veel wijdverspreider is dan Citrix: ‘Log4j zit in tienduizenden softwarepakketten en hardwarecomponenten. Het maakt Log4j-kwetsbaarheden urgent voor alle organisaties. Niet alle organisaties maken gebruik van Citrix.’ Volgens de IBD zijn gemeenten vanaf het begin voortvarend met de kwetsbaarheid aan de slag gegaan en de feestdagen zijn dan ook digitaal rustig verlopen. ‘Er zijn ons geen gevallen van succesvol misbruik of andere incidenten betreffende Log4j bekend.’ Er was wel een nieuwe kwetsbaarheid ontdekt tussen kerst en oud & nieuw en daarvoor is een nieuwe patch gekomen. Zo blijven organisaties bezig met scannen, patchen en beveiligen. En zo blijven aanvallers zoeken naar een ingang en, eenmaal binnen, naar manieren om hun toegang uit te breiden. Mogelijk nog jarenlang.
22 Online Touch Home