Ook klimaatinstallaties in gebouwen kunnen kwetsbaar zijn voor cybercrime. Ze worden vaak beheerd door leveranciers en kunnen een blinde vlek zijn voor de it-afdeling.
Ethisch hacker Alex Verbiest ondervond ketenrisico’s toen hij via een Heating, Ventilation, Air Conditioning (HVAC)-installatie toegang kreeg tot het computersysteem van een onderwijsinstelling. Door slim te manoeuvreren kon hij ‘alles’ misbruiken wat hij maar wilde. Volgens Verbiest bieden afhankelijkheden in de supply chain nieuwe kansen voor criminelen en hij adviseert organisaties daarom hun rampenplan alvast klaar te hebben.
Als ethisch hacker kun je niet zomaar al je troeven prijsgeven. ‘Klanten en kwetsbaarheden koppel je niet en publique aan elkaar’, zo luidt de ongeschreven wet en daar houdt penetratietester Alex Verbiest zich graag aan. Al sinds 2011 test hij bedrijfssystemen op kwetsbaarheden. In het verleden werkte hij voor Fox-IT, Grant Thornton en Capgemini. Over namen van opdrachtgevers en (al dan niet geslaagde) inbraakpogingen geeft hij geen details prijs. Wel is hij bereid in zijn algemeenheid te vertellen over een ‘pentest’ die hij als consultant moest uitvoeren voor een onderwijsinstelling en die hem deed realiseren dat afhankelijkheden in de supply chain hackers nieuwe troefkaarten in handen geven.
ZIP-bestanden uitpakken
Verbiest blikt terug op deze opmerkelijke opdracht: ‘Het pand was publiek toegankelijk en aan de muur zat een netwerkaansluiting. Ik plugde mijn laptop in, scande de aanwezige systemen in het netwerk en vond Metasys, een gebouwbeheersysteem van Johnson Controls. Door de onderwijsinstelling was dat systeem volledig over het hoofd gezien omdat het onder de verantwoordelijkheid viel van een leverancier. Het was niet up-to-date gehouden en had een kwetsbaarheid waardoor ik zonder in te loggen gevoelige functionaliteit kon aanroepen. Denk bijvoorbeeld aan het uploaden en uitpakken van ZIP-bestanden.’
Eerst zocht hij uit hoe de software werkte, welke functionaliteit werd aangeboden en hoe hij die zou kunnen misbruiken. Daarna schreef hij de benodigde code. Het lukte hem om een kwaadaardig bestand te plaatsen, waarmee hij het gebouwbeheersysteem volledig onder controle kreeg. Via dit systeem kon hij de infrastructuur bereiken van de it-beheerder (een leverancier). Ook daar kon hij kwetsbaarheden misbruiken. Daarmee kon de onderwijsinstelling uiteindelijk worden ‘gecompromitteerd’, zoals Verbiest het noemt. Hij kon ‘alles’ inzien wat hij maar wilde: de financiële administratie, opgeslagen wachtwoorden, e-mailberichten en het personeelssysteem met salarisstroken en contactgegevens. Van begin tot eind duurde zijn interventie ‘enkele uren’.
Basis niet op orde
Nogal wat onderwijsinstellingen liggen in de vuurlinie van cybercriminelen, zoals blijkt op www.datalekt.nl, een platform dat cyberincidenten in Nederland registreert. In de afgelopen maanden werden de Hogeschool Rotterdam (hack studentenaccounts), Hogeschool Utrecht (e-mailfraude) en Hogeschool Arnhem Nijmegen (ongeoorloofd ai-gebruik door een docent) getroffen. Universiteit Leiden kwam in opspraak door datalekken bij derden (terwijl er in 2021 en 2022 ook al ernstige aanvallen hadden plaatsgevonden) en van drie middelbare scholen in Zeeuws-Vlaanderen werden e-mailaccounts van leerlingen gestolen en gebruikt voor phishing.
Terwijl de nieuwste, door ai aangejaagde cyberdreiging al aan de poort rammelt (deepfakes, voicecloning, synthetische identiteiten) hebben veel bedrijven de basis nog niet op orde: het aloude phishing herkennen, multifactor-authenticatie toepassen, updates binnenhalen en sterke wachtwoorden gebruiken. Criminelen kunnen binnenkomen en problemen veroorzaken via slecht beveiligde ketenpartners. Denk bij leveranciers van onderwijsinstellingen aan het hele proces van inkoop, beheer en distributie van middelen, boeken, it-apparatuur en -diensten, facilitaire diensten (zoals HVAC-installaties), lesmateriaal en de schoolinrichting. Als er een dominosteen omvalt, kan dat het begin zijn van een kettingreactie, die uiteindelijk het primaire proces raakt. Ofwel: problemen in de klas.
Secure coding
Over hackers die ervoor kiezen een doelwit ‘indirect’ te raken, zegt Verbiest dit: ‘Als je een school schade wilt toebrengen, kun je je ook richten op een kwetsbare derde partij waarmee die samenwerkt. In de afgelopen jaren werd ik vaak geconfronteerd met kwetsbaarheden die eenvoudig te voorkomen waren geweest, zoals standaard wachtwoorden, verouderde software (zelfs Windows XP komt nog voor) en onveilig geconfigureerde rechten. Een schrijnend voorbeeld, dat ik nog steeds tegenkom, is dat alle medewerkers volledige toegang krijgen tot alle werkstations.’
Onderschatting van supply chain-attacks door cio’s van organisaties zou volgens Verbiest uiterst naïef zijn: ‘Hoe meer inzicht je als cio hebt hoe beter. Wie zijn je leveranciers en hoe brengen die het er vanaf? Monitor bijvoorbeeld nieuwsberichten en het (dark)web op mogelijke incidenten bij jouw leveranciers. Kijk ook waar je leveranciers toegang toe hebben, denk aan een vpn of een systeem waarvandaan beheer wordt uitgevoerd. Welke accounts gebruiken zij en met welke rechten zijn deze geconfigureerd? Zijn die rechten ook echt nodig of kan het met minder? Als een derde partij wordt gehackt die toegang heeft tot jouw systemen, dan bestaat het risico dat cybercriminelen ook naar jouw omgeving (kunnen) springen. Stel processen en procedures op voor als het mis gaat, zodat je snel kunt handelen. Zorg dat je voorbereid bent en laat iemand meedenken met een hackermindset voordat er een handtekening wordt gezet voor belangrijke zaken.’
Adviezen voor ketenpartners
- Zorg dat je inzicht krijgt in hoe ‘derde’ partijen aandacht besteden aan het beveiligen van hun producten en dienstverlening.
- Hebben derde partijen bepaalde certificeringen zoals ISO 27001? Laten zij geregeld penetratietesten uitvoeren?
- Zorg ook dat leveranciers bewijs aanleveren voor wat ze beweren.
- Als er nieuwe software wordt ontwikkeld, maken ze dan gebruik van security frameworks?
- Houden ze security-by-design in acht bij het ontwerpen van it-architectuur?
- Houden hun programmeurs zich aan secure coding practices om veilige applicaties te ontwikkelen?
- Een jaarlijkse pentest laten uitvoeren door een onafhankelijke derde partij zou geen gek idee zijn.
