Ard van der Scheer is Head of Technology bij vakantieplatform Zoover. Hij heeft al eens meegemaakt dat het bedrijf waar hij werkte gehackt werd. Hoe kom je erachter, en wat doe je dan? Dat vertelt hij in dit artikel.
Hoe kom je erachter dat je systeem is gehackt?
‘Dat kan op verschillende manieren, maar vaak neemt een hacker contact met je op, omdat hij een vergoeding van je wil hebben. Voordat ik bij mijn huidige werkgever werkte, heb ik een keer meegemaakt dat ons eigen team het ontdekte op een online forum. Een van mijn collega’s volgde de activiteit op dat forum, waar een aantal mensen over de website van mijn toenmalige werkgever aan het communiceren waren. We hielden dat forum daarom goed in de gaten.’
‘Toen op een gegeven moment een DDOS-aanval op onze site werd uitgevoerd, deelde een deelnemer aan het forum informatie over die DDOS-aanval. Die bezoeker voorspelde het moment waarop de DDOS-aanval zou ophouden. En hij bleek gelijk te krijgen. Dat viel mijn collega op. Zo kreeg ik een seintje dat er meer aan de hand was. Hij berichtte daarbij ook dat het hem gelukt was om ons systeem binnen te komen.’
Hoe beoordeel je of de claim van een hacker klopt?
‘Zonder bewijzen weet je niets zeker. Tegelijk is het probleem dat je vaak niet kunt bewijzen dat iemand informatie heeft gestolen. Je kunt hooguit aantonen dat er een indringer in het systeem geweest is. We hebben dus direct de logs van onze firewalls gecontroleerd. Hebben we afwijkend verkeer kunnen detecteren? Als je zo’n gat ontdekt, moet je dat natuurlijk direct dichten.’
‘Het probleem blijft echter dat als je een boek steelt uit een boekhandel de ondernemer merkt dat het boek ineens verdwenen is. Steel je echter digitale gegevens, dan blijven die gegevens nog staan. Je zult dus in contact moeten treden met de hacker. Die zal meestal zelf contact met je zoeken, om je te chanteren. Deze hacker had het niet op ons gemunt, zo gaf hij aan op het forum. Hij wilde het moederbedrijf duperen.’
| Gehackt? Volg deze stappen Stap 1. Dicht het gat Stap 2. Traceer de mogelijke sporen die een hacker heeft achtergelaten Stap 3. Meld het lek aan de Autoriteit Persoonsgegevens en aan je klanten Stap 4. Zorg voor een structurele oplossing Extra: stel een beleid op voor beloningen aan white hat hackers |
Wat doe je als IT-verantwoordelijke als je niet zeker weet of je gehackt bent?
‘Als de hacker gelijk heeft, zijn de gegevens van onze klanten buitgemaakt. Die gegevens wil je niet op straat hebben liggen. Binnen 72 uur nadat je het signaal krijgt dat er data is gelekt, moet je dat melden bij de Autoriteit Persoonsgegevens (AP).’
‘Ook vermoedens van datalekken moet je daar melden. Daarnaast moet je de gedupeerde klanten informeren over de impact van het lek. In dit geval bleef het bij een vermoeden – de hacker kon geen bewijs van de buitgemaakte overleggen.’
Zijn alle hackers op chantage uit?
‘Nee. In een andere situatie kregen we via ons algemene e-mailadres het bericht dat een zogenaamde white hat hacker een lek had ontdekt en ons daarvoor wilde waarschuwen. Er zouden gegevens van klanten en emailadressen toegankelijk zijn. Hij stuurde bewijzen mee, waarvan we konden verifiëren dat zijn claim klopte. En hij vroeg om een vergoeding voor zijn tip.’
‘Hoewel zo’n hacker er niet op uit is om je te chanteren, kan de vraag om geld wel zo binnenkomen. De lijn tussen tipgeld en losgeld is in de praktijk erg dun en deze hacker deed erg zijn best om binnen de lijntjes te blijven. De realiteit is dat als hij deze onderhandeling te scherp voerde, hij een misdaad zou begaan. Hij vroeg overigens om een behoorlijk hoge vergoeding voor de gemaakte uren, ongeveer een dagdeel.’
Hoe reageer je verstandig op een white hat hacker?
‘We wilden natuurlijk eerst bewijs zien. Dat was het eerste wat we vroegen. Die informatie deelde hij met ons. Parallel daaraan zijn we natuurlijk gaan zoeken in onze eigen systemen of we konden vinden hoe en waar hij is binnengedrongen. Daarvoor analyseerden we ons bezoekersverkeer, en zochten we naar anomalieën. In dit geval konden we zijn entree traceren.’
En hoeveel beloning geef je zo’n white hat hacker?
‘Bedrijven als Google hebben daar een vast beleid voor opgesteld. Dat heet in hun woorden een bug bounty. We hebben na overleg met de beslissers in het moederbedrijf een tegoedbon gegeven ter waarde van een kerstpakket, onder de voorwaarde dat hij alle buitgemaakte informatie direct zou vernietigen. Het is verstandig om voor jezelf een beleid op te stellen voor het omgaan met white hat hackers. Van dit lek heeft het bedrijf uiteraard ook melding gemaakt bij AP.’
Reisplatform Zoover biedt sinds kort naast het raadplegen en schrijven van recensies van reisbestemmingen ook de mogelijkheid aan bezoekers om online een eigen reis te boeken. Wat betekent de toevoeging van een boekingsproces voor het IT-securityniveau?
‘Het heeft consequenties voor de AVG-wetgeving. Voorheen verzamelden we alleen naam en e-mailadres van gebruikers van ons platform. Nu verzamelen we veel meer klantinformatie, zoals bankrekeningnummers. Maar ook informatie die we nodig hebben om gerichte reisaanbiedingen te doen.’
‘Op de nieuwe website hebben we gekeken naar hoe we de AVG implementeren voor die nieuwe gegevens. Het beveiligingsniveau is nu dan ook fors hoger. Voordat ons platform live ging, hebben we een uitgebreide security-test laten uitvoeren. Zeker bij een grote aanpassing aan je online omgeving wil je zo’n beveiligingstest doen. Daar kwamen gelukkig geen kritieke problemen uit, geen kwetsbaarheden die ons boekingsproces betroffen.’
Dit artikel is onderdeel van het dossier ‘IT-security’ op mt.nl.
Lees ook:
- Waarom IT-security iedereen aangaat (en niet alleen IT)
- Maak slim gebruik van de zwakste schakel binnen je bedrijf
- Met wie werkt de CIO het beste samen?
