Hoewel bij veel bedrijven het naleven van beveiligingsprotocollen niet bovenaan agenda staat, blijkt Nederland toch zeer verrast als er een enorm lek zit in de beveiliging van een database met medische gegevens en het beheer van sluizen. Podiumauteur Theo Schutte over het belang van goede beveiliging.
Zembla berichtte begin eind april dat zij met een SQL-aanval wachtwoorden van Humannet hadden bemachtigd, waarna 300.000 medische dossiers online bekeken konden worden. Een van de zwakke plekken in het systeem is de manier waarop het bedrijf met wachtwoorden omgaat. Er werd gebruik gemaakt van gedeelde wachtwoorden voor meerdere databases en ook de omgang met gebruikersnamen en wachtwoorden was niet veilig.
Waar doet ons dit aan denken? Een paar maanden geleden toonde het televisieprogramma Een Vandaag aan hoe eenvoudig het is om de controle over de rioleringspompen en gemalen van de gemeente Veere over te nemen. "Met een paar simpele handelingen zijn ze vanaf een thuiscomputer te bedienen.” In het programma stelden veiligheidsexperts dat de wachtwoorden van deze objecten gemakkelijk te kraken zijn en dat er soms zelfs helemaal geen wachtwoord nodig is.
Op afstand besturen
Niet alleen databases met medische gegevens, ook geautomatiseerde sluisdeuren en rioleringspompen zijn tegenwoordig via internet bereikbaar. En bedienbaar. Dankzij beperkte en gemankeerde beveiliging kan iedereen zogenoemde SCADA-systemen vanaf een desktopcomputer bedienen. Achter het acroniem SCADA schuilt zwaar technisch jargon: Supervisory Control and Data Acquisition-systeem. In feite is SCADA echter gewoon een kraan. Het is een slim systeem dat informatie verzamelt over bepaalde indicatoren. Op basis van bijvoorbeeld de temperatuur, de windsnelheid, het waterniveau of de oliedruk zet SCADA een kraan, scharnier, klep op pomp automatisch en op afstand open of dicht.
Het probleem ontstaat nu de computers van de SCADA-beheerders niet langer uitsluitend aan het systeem verbonden zijn. Een ramp vindt zelden tussen 9 en 5 plaats. Dan is het wel zo handig als men de doorgifte van water, gas, olie, elektra of data op afstand kan aanpassen. De communicatie tussen de beheerder en SCADA vindt dus, in elk geval deels, via internet plaats. En door de gebrekkige beveiligingsmaatregelen van SCADA ontstaat daar een gemakkelijke ingang voor mensen met snode plannen.
Power to control
Het misbruiken van medische gegevens of het overnemen van de waterhuishouding blijkt helemaal niet zo moeilijk te zijn, en kan een geducht wapen worden in de toekomstige politieke- of concurrentiestrijd. Gelukkig is het geen kwestie van dweilen met de kraan open. De huidige oplossingen voor internet- en databeveiliging bieden voldoende mogelijkheden om bedrijven, overheden en nutsvoorzieningen te beschermen. Dat vraagt echter wel om voorzichtigheid en een partner met grote kennis van zaken op het gebied van systeem- en databeveiliging. Het is juist deze ‘Power to Control’ die bedrijven voor ogen moeten houden bij de keuze van de juiste strategie en het beste oplossingenpakket om ervoor te zorgen dat onbevoegden of kwaadwillenden met hun handen van onze medische gegevens en sluisdeuren afblijven.
Eerdere bijdrage:
Over de auteur:
Dit artikel is geschreven door Podiumauteur Theo Schutte, countrymanager Nederland bij Fortinet
Over het Podium:
Ook uw visie geven op ontwikkelingen binnen uw vakgebied? Plaats een artikel op MT Podium. Log in op mt.nl/profiel en voeg onder 'activiteiten' uw artikel toe. Interessante bijdragen worden meegenomen in de nieuwsbrief en op home geplaatst. MT Magazine publiceert bovendien periodiek 'Het beste van MT Podium'.
