Capitoolbestorming: wat doe je na een security incident?

Geschreven door Josephine Bosman
5 min leestijd
23-feb-2021 17:09:19

Cybersecurity betekent niet alleen digitale aanvallen weren. Dit bleek maar weer tijdens de bestorming van het Amerikaanse Capitool op 6 januari. Hierbij drongen honderden relschoppers het parlementsgebouw binnen om het vaststellen van de uitslag van de verkiezingen (en daarmee de overwinning van Joe Biden) te stoppen. Eenmaal in het gebouw richtten ze niet alleen ravage aan maar hadden ze ook toegang tot niet vergrendelde computers en daarmee tot de ict-systemen van het Capitool. Wat zijn de gevolgen van zo’n aanval? En hoe kun je de schade ervan beperken?

button@4x Kijktip: bekijk nu de on-demand webinar over het omgaan met securitydreigingen

Ict-systemen stonden open

Het begon allemaal met de “Save America March” waarin Donald Trump zijn aanhangers opriep om naar het Capitool te marcheren. Ze deden alleen meer dan dat; ze bestormden het parlementsgebouw. De veiligheidsdiensten waren niet opgewassen tegen de menigte. Binnen richtten de vandalen niet alleen veel schade aan maar stalen ook documenten, laptops en zelfs meubilair. 

Op foto’s van de indringers zelf is te zien dat ze toegang hadden tot niet vergrendelde computers. Bijvoorbeeld die van Nancy Pelosi, Democratisch voorzitter van het Huis van Afgevaardigden. De relschoppers konden onder andere haar mailtjes lezen en doorsturen. Het is niet duidelijk wat de vandalen precies gezien hebben en waar ze toegang toe hadden. Wat hebben ze binnen de ict-systemen van het Capitool uitgespookt? 

Alle hardware vervangen

Niet iedereen is het erover eens wat de juiste acties zijn na een security incident van deze omvang. Het Capitool zelf geeft aan onderzoek te doen naar de impact van dit beveiligingsincident. De vandalen zouden in ieder geval geen toegang hebben gehad tot geheime of vertrouwelijke informatie (classified information). Dat liet Mieke Eoyang, voormalig medewerker in het ‘House Intelligence Committee’, in een tweet weten. 

Beveiligingsexperts van buiten de regering pleiten voor het vervangen van alle hardware binnen het Capitool. Zij vinden een onderzoek naar welke apparaten en gegevens gecompromitteerd zijn niet voldoende. Onder andere pentester en consultant Gillis Jones riep hiertoe op en kreeg op Twitter veel bijval. 

Fysieke toegang tot de ict van het Capitool is namelijk een ongekende kans voor hackers. Het zou voor sommige landen zelfs een unieke gelegenheid zijn om staatsgeheimen te bemachtigen. Het is niet uit te sluiten dat er hackers tussen de relschoppers zaten. Bovendien weten we niet wat ze met de computers die open stonden gedaan hebben; hebben ze informatie gestolen of malware geplaatst?

Wim Setz, security officer bij OGD, vindt het vervangen van alle hardware ook een logische stap: “Bij OGD wissen we een device bij alleen al een vermoeden van een compromise. Een overheid zou nog rigoureuzere stappen moeten nemen, vooral bij een incident op deze schaal."

Het is onverstandig om te verwachten dat mensen zich altijd aan je securitybeleid kunnen houden. 

Voorbereid op een beveiligingsincident

Het lijkt misschien lastig om op een beveiligingsincident zoals deze voorbereid te zijn. Toch is een goede voorbereiding echt essentieel, vertelt Setz. “Het is onverstandig om te verwachten dat mensen zich altijd aan je securitybeleid kunnen houden. Zie alleen al de foto’s van de niet vergrendelde computer van Pelosi. Daarbij maken mensen fouten, dat is nou eenmaal zo. Je bent pas goed voorbereid wanneer je dit soort situaties zoveel mogelijk kunt ondervangen met techniek en procedures.” 

Een goede voorbereiding bestaat uit:

  • procedures;
  • capaciteit voor snelle acties;
  • monitoring.

Procedures

Je komt tot de juiste procedures door jezelf allereerst vragen te stellen. Setz: “‘Wat kan er gebeuren als een ongeautoriseerd persoon fysiek toegang krijgt tot niet vergrendelde apparatuur?' Denk vervolgens na over de mogelijke gevolgen en hoe je de impact daarvan kunt beperken.” Een mogelijk gevolg is dat de ongeautoriseerde persoon toegang heeft tot vertrouwelijke informatie. “In dit geval is het nemen van aanvullende beveiligingsmaatregelen een goed idee. Een mogelijke maatregel is het instellen van Multifactor Authentication (MFA) op alle documenten met gevoelige informatie”, zegt Setz. De indringer kan dan wel zien dat de documenten bestaan, maar de inhoud ervan niet lezen. Zo beperk je de impact van dit soort beveiligingsincidenten.

Snelle acties

Tijdens een security incident is het belangrijk dat je mensen hebt die snel in actie kunnen komen. Je wilt (security)personeel beschikbaar hebben dat op afstand acties uitvoert die de gevolgen van het incident beperken. Bijvoorbeeld door op afstand een wachtwoord of zelfs een device te resetten. In het voorbeeld van de bestorming van het Capitool had je de computers van mensen zoals Democratisch Voorzitter Pelosi op afstand willen vergrendelen. 

Monitoring

Tijdens en na een beveiligingsincident wil je kunnen zien wat er precies is gebeurd. Verlaat data de organisatie? Je wilt een datalek uitsluiten. Goede monitoring is hiervoor essentieel. 

Verklein de impact van een datalek

Sinds de COVID-19 pandemie is het aantal cyberaanvallen vervijfvoudigd. Ook wanneer je de juiste voorbereidingen hebt getroffen is een datalek als gevolg van een security incident niet uit te sluiten. Een beveiligingsincident van de omvang van de bestorming van het Capitool komt niet vaak voor, maar ook bij kleinere incidenten ligt een datalek op de loer. Zeker nu wil je de impact van een datalek zo klein mogelijk houden.

Je kunt hiervoor de volgende technieken inzetten:

  • dataclassificatie;
  • dataminimalisatie;
  • het gesegmenteerd opslaan van data;
  • het pseudonimiseren van data. 

Dataclassificatie

Om je data goed te beveiligen moet je eerst weten over welke data je beschikt. Met dataclassificatie bepaal je van al je bedrijfsdata hoe belangrijk het is. Vervolgens leg je vast hoe goed je de gegevens beveiligt. Wachtwoorden en privacygevoelige gegevens wil je zwaarder beveiligen dan chatberichten en vergadernotulen. Je kunt hiervoor bijvoorbeeld de BIV-codering aanhouden. In het geval van een beveiligingsincident weet je door goede dataclassificatie ook sneller of er sprake is van een datalek en zo ja, wat de omvang van het lek is. 

Dataminimalisatie

Dataminimalisatie is een van de pijlers van de AVG en het middel bij uitstek om de omvang van een datalek te verkleinen. Het houdt in dat je bij het verzamelen en gebruiken van gevoelige gegevens niet meer informatie verzamelt dan strikt noodzakelijk is. Wanneer data dan toch lekt, blijft de schade beperkt. Het is dus belangrijk dat organisaties zich steeds opnieuw afvragen welke data zij minimaal nodig hebben om een bepaald doel te behalen. 

Een voorbeeld: het Amerikaanse Capitool houdt bij wie het parlementsgebouw bezoekt. Vanuit een beveiligingsperspectief is het noodzakelijk om veel gegevens van deze bezoekers te registreren, zoals namen en adressen. In het geval van een beveiligingsincident moet het Capitool namelijk kunnen achterhalen wie wat gedaan heeft. Het is alleen niet nodig om ook biometrische gegevens zoals vingerafdrukken te verzamelen. Wanneer het Capitool zich houdt aan dataminimalisatie, verzamelt het alleen de gegevens van de bezoekers die noodzakelijk zijn voor de beveiliging van het parlementsgebouw. 

Wat je vervolgens met deze data doet is ook van belang. Zo kun je data gesegmenteerd opslaan of pseudonimiseren. Wil je meer weten over deze technieken? Lees dan onze whitepaper over de ict-trends van 2021. 

Conclusie

De bestorming van het Amerikaanse Capitool was een ongekende gebeurtenis waarbij relschoppers fysiek toegang kregen tot de ict van het Capitool. Een beveiligingsincident van deze omvang zul je als organisatie niet zo snel meemaken, toch is het wel slim om goed voorbereid te zijn. Welke maatregelen neem je om de impact van een security incident te verkleinen? Een datalek als gevolg van een incident is niet uit te sluiten maar met de inzet van bepaalde technieken wel in omvang in te perken.

Wil je meer weten over informatiebeveiliging? Bekijk dan zeker de webinar van securityspecialist Wim Setz, waarin hij uitlegt hoe je je bedrijfsdata optimaal beveiligt.

Cyberfraude CTA

 

Ontvang email updates