De organisaties
AlertOnline en The Hague Security Delta kwamen met een bericht dat KPN een seminar organiseerde rondom Zero Days. Nou vraag je waarschijnlijk af: “Wth is een zero day?” Antwoord: Een zero day (exploit attack) (ZETA) (zero day-aanval) vindt plaats op dezelfde dag waarop er een lek wordt ontdekt in software. De software wordt op dat moment misbruikt voordat de ontwikkelaar een oplossing beschikbaar stelt.
Terug naar de gesubsidieerde hobbyclub seminar. Ik heb dit seminar van begin tot eind gevolgd. Niet omdat ik verwachtte dat het iets zou toevoegen qua bewustzijn of kennis maar ik wilde zien en horen hoe het gesteld is met de kennis over cyber security bij de grote partijen. Wil je het lange verhaal? Hier meer info over The Hague Security Delta (en ja het klinkt net zo duur als het in werkelijkheid is) door De Correspondent.
Deloitte
Mijn persoonlijke interesse was vooral gericht op Deloitte. Die laatste was vertegenwoordigd door niemand anders dan Inge Philips ex-plv. Hoofd Nationale Recherche en ex-AIVD. Plaats dit “top talent” in het licht van wat de Nationale Politie tot nu toe heeft bereikt in het domein cyber security. Of specifieker dat Nederland het land bij uitstek is geworden voor juist cybercriminelen. Niemand is ‘in control’ en toch nemen de deelnemers elke keer “de overheid” in de mond. De overheid is niet 1 entiteit, beste mensen. De overheid bestaat uit honderden, zo niet duizenden, verschillende ICT omgevingen. Al deze organisaties worden als een apart eilandje ingericht, beheerd en beveiligd.
Dat klinkt best veilig tot dat je erachter komt dat al deze systemen op meer dan 1 manier aan elkaar gekoppeld zijn. Een beveiligingslek in 1 omgeving kan er toe leiden dat bedrijven en burgers uiteindelijk enorm risico lopen. Daarom kwam Inge met de fantastische mening dat cyber security eigenlijk verzorgd moet worden door het bedrijfsleven in plaats van ‘de overheid’. Klinkt best gaaf. Zeker voor een organisatie die een zwaargewicht heeft zitten als hoofd cyber security Dick Berlijn. En er later achter komen dat ook deze super beveiligde cyber security accountant zelf gehacked was, misschien zelfs al voor jaren, waar ze al die tijd niet achter zijn gekomen. Even los van het feit dat Deloitte als organisatie betrokken is en was bij de grootste fraudes op deze planeet. #integriteit Buiten het hierboven gestelde, veiligheidsdiensten, waar het op neerkomt, die volledig privaat zijn vormen ook een direct strategisch risico voor een land en samenleving.
It’s not just about Zero Days, it’s about weaponizing software
Het is ontzettend leuk om een stel mensen te laten praten over Zero Days en hoe logge organisaties en een CIO Rijk (kost u slechts 900mln per jaar) vooral bezig zijn of met geweldige luchtkastelen bouwen, of zoals die laatste, helemaal niets. Hierbij vergeten ze volledig een veel groter gevaar. Namelijk dat ogenschijnlijke onschuldige software en hardware gebruikt kan worden als cyber wapen. Voordat je “RUSSEN” gaat roepen, heeft ‘Merica ook niet bepaald schone handen wat betreft het afluisteren van staatshoofden tot actief zich te bemoeien met verkiezingen in andere landen. Persoonlijk vind ik dit een legitieme vorm van spionage. Dat vind ik niet alleen maar ook gen. Michael Hayden die voormalig hoofd NSA, CIA en DNI was.
In tegenstelling tot regulier wapentuig kunnen cyber wapens overgenomen en gebruikt worden door een derde. Daar zit het allergrootste risico. We staan aan de vooravond waarin virtuele wapens grotere gevolgen kunnen hebben dan een bombardement. Wat werkt er nog als morgen niemand meer kan inloggen op z’n werkplek bijvoorbeeld? Of dat elke bankrekening wordt geblokkeerd? Zijn dit soort scenario’s ondenkbaar of niet uit te voeren? Bedenk wel dat er landen zijn die honderden miljoenen tot vele miljarden steken in het ontwikkelen van deze capaciteiten.
Komen we tot het eind van deze rant van mij:
Gaat het echt om zero days? Of zijn we op elk niveau (strategisch, tactisch en operationeel) gewoon niet opgewassen om dit soort dreigingen tegen te gaan. Het regeerakkoord 2017 “Vertrouwen in de Toekomst” schrijft:
Er wordt structureel 95 miljoen euro gereserveerd voor cybersecurity. De middelen worden onder andere ingezet voor de uitbreiding van personele capaciteit en ICT-voorzieningen en verdeeld over de departementen Veiligheid en Justitie (NCTV), Defensie (MIVD), Binnenlandse Zaken en Koninkrijksrelaties (AIVD), Buitenlandse Zaken, Infrastructuur en Milieu en Economische Zaken.
Dat is EUR 19 per instantie oftewel compleet kansloos. ICT heeft nog steeds geen prioriteit bij de regering. ICT komt nog geen 6x voor in het hele regeerakkoord terwijl ICT de grootste impact heeft op onze maatschappij. Het treurige is dat we het hiermee moeten doen tot 2021 of tot we er op een andere manier achter komen dat het antwoord op al deze vragen niet ligt bij de huidig gekozen volksvertegenwoordigers, ‘de overheid’ of de grote bedrijven.
Mijn vragen en opmerkingen over dit hele event vind je terug op: Twitter #ZeroDays
