Magazines | Vallei Business nummer 2 2023

Cybercriminelen. Ze roepen het beeld op van hoogbegaafde kluizenaars die zich verschansen op een zolderkamertje om op afstand systemen te hacken, maar het slechte nieuws is dat ze op een dag zomaar langs je bureau kunnen wandelen. Zo werkt Onyx Cybersecurity ook, zij het contractueel vastgelegd met de opdrachtgever. Technische informatiebeveiliging begint met ‘binnendringen’ en dat beperkt zich niet tot digitale aanvallen.
 
Met een zuiver geweten crimineel gedrag nabootsen om de opdrachtgever te beschermen. Dat vormt kort gezegd het speerpunt van Onyx Cybersecurity. Zoomden we in een eerder artikel al in op bewustzijn (awareness) bij medewerkers van organisaties, vanuit het gegeven dat de mens de zwakste schakel vormt, nu weidt technisch directeur Dirk Maij uit over technische informatiebeveiliging. “De ‘harde kant’ oftewel alles waaraan een snoer zit. We controleren instellingen en configuraties, halen de kwetsbaarheden van verouderde systemen naar boven, helpen ontwikkelaars met het veilig houden van hun software voor deze op de markt komt, richten firewalls in en testen netwerken en applicaties, zowel op computers als online en in de cloud. Dat doen we met een team van hbo-opgeleide engineers, die doorgetraind zijn in het vakgebied van cybersecurity. Dat vormt zeer specialistisch werk, waarin we de focus richten op het vinden van fouten die anderen maken. Onze medewerkers kennen en herkennen die vanuit hun eigen leertraject. Ze weten waar moeilijkheden schuilen in programma’s en netwerken en hoe ze kwetsbaarheden kunnen oplossen.”
 
Verschillende categorieën
 
Cybercriminelen kun je volgens de technisch directeur en mede-oprichter van Onyx Cybersecurity in verschillende categorieën indelen. “Sommigen doen het vooral voor de kick. Vaak begint het als een lolletje in de avonduren en zodra ze dan succes boeken, smaakt dat naar meer, zeker als ze er grote geldbedragen mee opstrijken. Je hebt ook de zogenoemde ‘broodhackers’, die duizenden bedrijven tegelijk benaderen en hopen dat er een paar happen. Ze schieten met hagel. Bepaalde cybercriminelen opereren vanuit een heel gerichte doelstelling, zoals geld of een ideologische gedachte: een oliemaatschappij aanvallen vanuit een klimaatmotief. Verder komt het voor dat de beoogde buit een intellectueel eigendom is. Bijvoorbeeld bedrijfsinformatie stelen vanuit concurrentiebelang, al komt dat in Nederland vooralsnog op relatief bescheiden schaal voor.” Met de internationalisering van de maatschappij wel in toenemende mate iets om rekening mee te houden.
 
Misbruik van maken
 
Wanneer Maij een aantal situaties uit de dagelijkse praktijk van Onyx Cybersecurity schetst, dringt de boodschap door dat we de professionaliteit en de doortastendheid van cybercriminelen niet moeten onderschatten, maar ook dat systemen soms frappante kwetsbaarheden vertonen die niet direct in het oog springen. “Wanneer we een webapplicatie van een opdrachtgever onder de loep nemen, bekijken we hoe we er misbruik van kunnen maken. Het gebeurt dat wij een website bezoeken en erin slagen om van daaruit de achterliggende server te benaderen, wat ons onder meer de mogelijkheid geeft om de content aan te passen, tevens op aanhangende sites. We stuiten op heel gekke dingen, zoals een webshop die de mogelijkheid biedt om min-één artikel te bestellen. Dan krijgt de kwaadwillende bezoeker geld gestort en weliswaar zal de bank dat corrigeren, maar ondertussen maakt de man in het magazijn die het minnetje over het hoofd ziet het artikel wel klaar voor verzending. Hebben we de opdracht om de fysieke infrastructuur van een organisatie te onderzoeken op kwetsbaarheden, dan sluiten we apparatuur op het netwerk aan die scans uitvoert. De zwakke plekken stellen ons bijvoorbeeld in staat om computers en printers één voor één over te nemen en door te stoten naar het domeinsysteem. Even een nieuwe gebruiker aanmaken? Geen probleem.”
 
Rondstruinen op afdelingen
 
‘Redteamen’, zo heet het wanneer een bedrijf als Onyx Cybersecurity in de aanvalsmodus kruipt. Dat kan, na contractuele vastlegging met de klant, ook een schrikbarend fysieke vorm aannemen. “Vooropgesteld dat we zo min mogelijk en liefst niets kapot willen maken proberen onze medewerkers letterlijk een bedrijf binnen te dringen. Keurig in zakelijke kleding gestoken passeren ze met een goed verhaal de receptie en struinen ze op de afdelingen rond, bijvoorbeeld om foto’s te maken van kaartjes met gastennetwerken en wachtwoorden en om een post-it met een mededeling op het bureau van de directeur te plakken. Houdt iemand hen tegen? Spreek gerust iemand aan die je niet kent. We doorzoeken KvK-gegevens en vacatures met verwijzingen naar programmeurstaal om meer over het netwerk te weten te komen, we vragen verbouwplannen op om op grond van fysieke kenmerken - bijvoorbeeld een dikke muur en een grote airco - de plek van de serverruimte te achterhalen, we plaatsen camera’s om te bestuderen welke medewerkers wanneer het kantoor betreden en verlaten, we posten voor het gebouw en in extreme gevallen klimmen we over hekken om te bekijken of er lampen aanspringen. In feite kunnen we net zo ver gaan als professionele cybercriminelen, alleen dan in afstemming met de opdrachtgever. Het andere verschil is dat wij er niet onbeperkt de tijd voor krijgen…”
 
Professioneel opgelicht
 
Maij waarschuwt voor het feit dat organisaties vaak onvoldoende erkennen welke waarde de informatie die intern circuleert. “Iemand op straat kijkt heel anders tegen geldbriefjes aan dan degene die jarenlang dagelijks aan de drukpers van de biljetten staat. Trouwens, bepaalde informatie lijkt voor derden misschien oninteressant, maar levert bij verlies een rampzalige situatie voor jouw bedrijf op. Ik zal nog een treffend voorbeeld geven van hoe je waarde kunt onderschatten. Stel dat je een aantal e-mails van de CEO onderschept, dan herken je daarin een bepaald schrijfpatroon. Vervolgens stuur je vanuit een vals adres tegen het einde van de werkdag een bericht in dezelfde stijl naar de financieel directeur met de vraag of hij even een paar miljoen naar een bepaalde rekening wil overmaken. Gauw maar even doen, net voor het uitklokken. Met andere woorden: zo word je heel professioneel opgelicht en dat mogen we de mens - de zwakste schakel - in wezen niet aanrekenen. Vandaar dus dat wij in overleg met de klant heel ver gaan om alle kwetsbaarheden op te sporen en die in een uitgebreide rapportage verzamelen. Om onafhankelijk te blijven dragen we alleen de oplossingen aan, maar de uitvoering laten we aan derden over, want een slager moet niet zijn eigen vlees keuren. Hoe goed organisaties het ook voor elkaar hebben, we vinden eigenlijk altijd wel íets en daaraan kunnen grote risico’s verbonden zijn.”
 

De wereld veiliger maken
 
Naast zijn functie van technisch directeur bij Onyx Cybersecurity vervult Dirk Maij een belangrijke rol als Deputy Head of Research bij DIVD: Dutch Institute for Vulnerability Disclosure. “Wij vormen een groep van vijftig ethisch hackers die met toestemming van het Openbaar Ministerie wereldwijd mogen inbreken in systemen, puur en alleen om eventuele lekken bloot te leggen. Zo scannen we het volledige internet op kwetsbaarheden. Komen we die tegen, dan sturen we alle gebruikers voor wie dit risico’s met zich meebrengt een e-mail, soms wel naar vele miljoenen adressen. Dit doen we puur om hen te waarschuwen, vanuit het streven om de wereld een stukje veiliger te maken.”

 
Meer informatie: www.onyx-cybersecurity.com

delen: