Forensisch onderzoek leert je heel wat over de gebroken potten waarmee je zit na een informatiesecurity probleem. Verizon Business nam bij honderden bedrijven de proef op de som.@
Het onderzoek van de securitydivisie van Verizon Business – waar onder meer het voormalige Ubizen in thuishoort – steunt op honderden eigen forensische onderzoeken. Forensisch onderzoek zoekt naar en bestudeert sporen en bewijsstukken bij misdaden, doorgaans met de bedoeling een rechtszaak tegen de daders te kunnen inspannen. De onderzoeken van Verizon hadden betrekking op cybermisdaden die de voorbije jaar vier jaar in overwegend grote bedrijven gebeurden. Voor Matthijs van der Wel, manager voor de Forensics activiteit van Verizon Business in Emea, vielen daar een aantal opmerkelijke elementen uit te halen. Zo bleek een lek vaak het gevolg van activiteiten door bekende derden (toeleveranciers etc) die echter niet aan dezelfde securityvereisten als de eigen werknemers waren onderworpen. Bij een van de onderzochte gevallen bleken alle werknemers van een externe helpdeskservice voor alle klanten een zelfde paswoord te hebben.
Vaak ondoordacht
Bedrijven boeken vaak al behoorlijk wat vooruitgang als beveiliging wat beter wordt doordacht, gecontroleerd en nageleefd. Van der Wel ziet verbetering onder invloed van externe factoren, zoals de eis van bedrijven als Visa en MasterCard om de datasecurity standaarden van de Payment Card Industry (PCI) te ondersteunen. Of PCI te ondersteunen. Of als gevolg van wetten die een verplichte melding van datalekken aan de betrokken personen voorschrijven. Bedrijven leren dan onder meer bepaalde beslissingen wat minder ‘naïef’ aan te pakken. Zo werd een verwerker van creditcardtransacties heel populair bij klanten omdat hij spotgoedkoop bleek. Een bezoek aan dat ‘bedrijf’ leerde evenwel dat het gewoon een trailer vol servers betrof, zonder zelfs maar de geringste vorm van anti-virusbescherming of wat dan ook.
Wat betreft gerichte aanvallen bleken hackers niet zozeer een specifiek bedrijf te viseren, maar veeleer de leverancier van software voor een hele industriële sector. Als bij deze softwareproducent een fout in zijn product(en) werd gevonden, werden vervolgens gewoonweg alle klanten van dat pakket aangepakt.
Makkelijke prooi
Overigens moet in veel gevallen de kennis of inspanning bij de hacker niet eens echt groot zijn. Met andere woorden, er zijn nog heel wat bedrijven waar makkelijk verhandelbare informatie grijpklaar ligt. Opmerkelijk daarbij is dat in 66 procent van de gevallen het getroffen bedrijf niet wist dat de betrokken data zich op dat systeem bevonden, naast 27 procent waar men geen weet had van bestaande netwerkconnecties met de getroffen systemen en 10 procent waar het ging over onrechtmatig toegekende gebruiksrechten. In meer dan 60 procent van de gevallen duurde het maanden eer het verlies aan data werd geconstateerd door het getroffen bedrijf en in 70 procent was dat dan op aangeven door derden! Voorts bleken de slachtoffers in 82 procent van de gevallen al over de aanduidingen te beschikken dat er wat schortte zonder die evenwel op te merken, wat wijst op tekortkomingen in de informatie securityaanpak.
Een verschil tussen de VS en onze contreien is wel dat er in de VS duidelijker afspraken bestaan tussen de publieke ordediensten en forensische onderzoekers. Bij ons is de samenwerking veeleer een eenrichtingsverkeer, waarbij de ordediensten informatie krijgen aangereikt. “Wij tonen aan dat er wat aan de hand is,” stelt van der Wel. “De politie zal niet altijd langskomen louter op basis van een vermoeden.”@
Het rapport ‘2008 Data breach investigations report’ (27p) vind je op: www.verizonbusiness.com/resources/security/databreachreport.pdf
Guy Kindermans
Fout opgemerkt of meer nieuws? Meld het hier