Waarom cybersecurity meer aandacht verdient

De Nederlandse infrastructuur moet beter beschermd worden tegen digitale aanvallen van buitenaf. Maar van het digitale gevaar zijn we ons nog lang niet altijd bewust. Het cybersecurity-event van ‘smart infra branchevereniging’ ASTRIN, op 4 april in Bussum, moest daar verandering in brengen.

Want in onze infrawerken krijgt cybersecurity nog lang niet altijd voldoende aandacht. Dat toonde Thomas Stols, ethical hacker bij CompuTest, tijdens zijn keynote aan met een aantal treffende voorbeelden.

Zo hackte zijn bedrijf in 2008 het multimediasysteem van een bepaald type Volkswagen-auto, waardoor het kon meeluisteren via de microfoon van alle auto’s van Volkswagen AG die dit systeem gebruikten. En in 2012 werd het gemaal bij Veere gehackt, simpelweg omdat het wachtwoord ‘veere’ was.

De Chief Information Security Officer van Rijkswaterstaat, Sandor de Coninck, kwam daar later op terug tijdens zijn keynote. Uit een audit van de Rekenkamer in 2012 bleek dat nul objecten van Rijkswaterstaat ‘cyber secure’ waren. “Sommige systemen bij onze gemalen zijn al 25 jaar oud.”

Security by design

Sindsdien is er veel veranderd, aldus De Coninck: Rijkswaterstaat heeft inmiddels een cybersecuritystrategie en werkt een team van 21 securityspecialisten vanuit het security centre. “In de systeemeisen van de aanbesteding nemen we ook ‘security by design’ mee. We willen graag naar één beveiligingssysteem voor de infraketen. Nu heeft ieder object vaak nog een eigen systeem: dat is lastiger beheren.”

Zo sterk als je zwakste schakel

“In het netwerk aan objecten ben je zo sterk als je zwakste schakel”, vertelt De Coninck. Hij bedoelt: je kunt je netwerk nog zo goed beveiligen, maar als één waterschap een slecht beveiligd systeem heeft kan een hacker in het hele netwerk terecht. “En de techniek die vandaag nieuw is, is morgen weer oud. Dus je moet continu innoveren.”

Dat vertelde ook Thomas Stols, eerder die dag. De ethical hacker vraagt zich af of het wel slim is om alles maar smart te maken. “Het is leuk dat je verlichting smart geregeld wordt, maar is het ook noodzakelijk? Willen we het wel?” In een filmpje liet hij zien hoe een drone de verlichting van gebouwen hackt.

Tips

Daarom sloot Stols zijn praatje dan ook af met een aantal tips, om de systemen van jouw organisatie zo goed mogelijk te beveiligen.

  • Werk via een VPN-verbinding en maak gebruik van een gesloten netwerk.
  • Zorg ervoor dat je computer ‘automatisch updaten’ toepast.
  • Zorg ervoor dat je je wachtwoord vaak bijwerkt en gebruik geen voor de hand liggend wachtwoord.
  • Maak binnen je organisatie duidelijke afspraken over hoe je met cybersecurity omgaat.

En, ten slotte: een wachtwoord van 8 tekens, waarvan 1 hoofdletter, 1 getal en 1 symbool, zoals Microsoft voorschrijft heeft Stols je wachtwoord binnen één dag geraden. Bij 9 tekens kan dat een week zijn, bij 10 tekens zelfs een jaar. “Ik zou aanraden om van je wachtwoord een zin te maken, inclusief spaties. Steeds meer IoT-producten kunnen die rekenkracht aan.”

Of, zoals De Coninck later tegen de zaal zou zeggen: “Wie gebruikt er Microsoft-producten? Ja, jullie zijn allemaal lek”.

De laatste spreker van het event was futurist Richard van Hooijdonk. Hij gaf een wervelende lezing over hoe de nieuwste technologieën onze manier van leven, werken en zakendoen beïnvloed. Tijdens het napraatje gingen de deelnemers met elkaar in gesprek over ‘Welke actie verwacht je van een ander en hoe ga je daar zelf een succes van maken?’

Uit de gesprekken bleek dat er nog veel te doen is. Het begint bij bewustwording: iedereen die in de keten van infratechniek een rol heeft, moet zich bewust zijn van zijn eigen rol en zorgen dat hij en zijn organisatie niet de zwakste schakel vormt. Een schone taak van ASTRIN.

Bovenstaand artikel werd geschreven door Guus Puylaert, Acquire Publishing

Posted in: