Leren van de politiehack: niet vingerwijzen naar een vrijwilliger

Over het omvangrijke datalek bij de politie dat vorige week bekend werd gemaakt, wordt weinig informatie verstrekt. Vaststaat dat criminelen zakelijke contactgegevens van politiemedewerkers hebben buitgemaakt, zoals namen, emailadressen en telefoonnummers en in enkele gevallen ook privégegevens. Volgens de inlichtingendiensten gaat het zeer waarschijnlijk om een statelijke actor, oftewel een ander land, of daders die handelden in opdracht van een ander land, schrijft de politie op de eigen website. "Om de daders niet wijzer te maken en verder onderzoek niet te schaden, kan op dit moment niet meer verteld worden."

De radiostilte leidt bij sommigen binnen de politie tot onrust, meldt onder meer De Telegraaf. Bij gebrek aan bevestigd nieuws verschuift de focus in de berichtgeving naar de schuldvraag. "Fout van politievrijwilliger zette deur open voor hackers", kopte de krant op basis van anonieme bronnen. Dat was tegen het zere been van Fleur van Leusden, lid van de Raad van Advies van het lectoraat Cybersecurity van Hogeschool Utrecht en maker van de podcast CISO praat. "Wat er had moeten staan? 'Fout van het management zette deur open voor criminelen' ", schreef ze in een LinkedIn-post die veel bijval ontving.

Samenloop van ongelukkige beslissingen

Het komt vaker voor dat er na een hack binnen organisaties met een beschuldigend vingertje naar een ondergeschikte wordt gewezen, bijvoorbeeld door het Amerikaanse SolarWinds. Maar "het is bijna altijd een samenloop van ongelukkige beslissingen of omstandigheden die voor rampen of incidenten zorgt", zegt Van Leusden.

Hoe kan het klikje van die ene persoon zulke grote gevolgen hebben?

Zij deed als digitaal onderzoeker bij de Onderzoeksraad voor Veiligheid onderzoek naar de patiëntveiligheid in ziekenhuizen waar grote ict-storingen hadden plaatsgevonden. "Iemand de schuld geven leidt ook af van de discussie die je eigenlijk zou moeten voeren, namelijk: hoe kan het klikje van die ene persoon zulke grote gevolgen hebben?"

Maatregelen nemen

Mensen trappen in phishing mails. Altijd. Zelfs experts overkomt het. Een organisatie moet er volgens haar dus vanuit gaan dat wanneer een phishingmail een mailbox bereikt, die ook doel treft. "Je moet maatregelen nemen om te voorkomen dat zo'n mail überhaupt in die inbox terecht komt." Dan gaat het bijvoorbeeld over firewall-instellingen. Van Leusden adviseert organisaties vaak om standaard alle domeinnamen te blokkeren die korter dan drie maanden geleden zijn geregistreerd. Criminelen gebruiken vaak (maar niet altijd) nieuwe domeinnamen om niet gepakt te worden. "Als je dan op zo’n linkje klikt, gebeurt er niks."

Een andere maatregel is om phishingmails tegen te houden die lijken te komen van de eigen organisatie. "Je kunt dan geen mails versturen vanaf zo’n soort mailadres als je niet in de lijst staat." Dat gaat over aanpassingen in de SPF-records over vanaf welk netwerk mails mogen worden verstuurd vanaf het eigen domein. Ook is het mogelijk om een bepaald type websites geheel te blokkeren, bijvoorbeeld platforms om bestanden mee uit te wisselen. "Dat voorkomt dat iemand bijvoorbeeld een mail van de communicatieafdeling denkt te krijgen met het verzoek om iets via WeTransfer te downloaden."

Zo is er nog een karrevracht aan maatregelen te bedenken, waaronder het filteren van mailservices waarvan bekend is dat ze phishingmails versturen. Maatregelen waar de chief information security officer (CISO) van een organisatie ongetwijfeld bekend mee is, maar die in de praktijk nog weleens worden opgerekt, omdat ze leiden tot ongemak bij medewerkers, die tegen beperkingen aanlopen.

Een andere les die organisaties uit dit datalek kunnen leren, is deze: kijk nog eens kritisch naar de toegangsinstellingen van de systemen. Van Leusden: "Waarom is er überhaupt een adresboek waar alle medewerkers van de politie in staan en waar iedereen bij kan? Waarom kan een enkele klik meteen de sleutel tot het paradijs vergeven?"

De verantwoordelijke

Haar conclusie: "Als je wil praten over wat er fout is gegaan, moet je het niet hebben over die ene medewerker die op dat ene linkje klikte, maar over wie er verantwoordelijk is binnen een organisatie voor de beveiliging van e-mail. En dat is in de meeste gevallen het management."

Het komt best vaak voor dat een CISO of een FG kritieke punten rapporteert, zonder dat er iets met die rapportages wordt gedaan.

En de CISO dan? Die is er toch ook om de cyberveiligheid te garanderen? "De rol van CISO wordt wereldwijd verschillend ingevuld. In de Verenigde Staten is de CISO-rol echt een executive-functie. Die kan worden ontslagen vanwege een incident als dit. Maar die heeft dan ook een totaal andere rol, met budget en mandaat." In Nederland heeft de CISO meestal de rol van onafhankelijke adviseur: kaderstellend en controlerend. "Het komt best vaak voor dat een CISO of een FG kritieke punten rapporteert, zonder dat er iets met die rapportages wordt gedaan."

Moed

Over de communicatie van de politie over het datalek is ze dan weer mild. "Ik vond dat ze er nog best snel mee naar buiten kwamen, want ik weet over hoeveel lagen zoiets moet. En ik weet hoeveel moed er voor nodig is om zoiets naar buiten te brengen. Het is het juiste om te doen, maar ik kan me wel voorstellen dat het niet binnen 24 uur na de ontdekking gebracht wordt. Ik had het opmerkelijker gevonden als dat wel was gebeurt."

Dit artikel is eerder verschenen op iBestuur en Binnenlands Bestuur, zustertitels van AG Connect.