“Hé, onze concurrent heeft zijn systemen helemaal niet zo goed beveiligd. Ik kan zo bij hen binnenkomen. Kijk maar, ik heb hun hele klantenbestand! En ik kan elke gratis gebruiker veranderen in een betalende klant en vice versa.”
De eerste zin in deze uitgelekte mailwisseling kan al op het randje zijn. De tweede zin trekt de lijn door. Maar de derde en vierde zinnen zijn duidelijk ver over de grens van het toelaatbare. Op zich zou dit strenge maatregelen vereisen van de CTO, CEO en ‘ethical officer’ van de afdeling personeelszaken. Alleen betrof het een mailwisseling tussen de ex-CTO en de CEO, van overspel- annex datingsite Ashley Madison, die later zijn eigen klantenbestand gehackt en geopenbaard zag worden.
Natuurlijk is het prioriteit één om digitale inbraak en datadiefstal te voorkomen. Helaas wijst ervaring uit dat dit niet honderd procent mogelijk is. Grote hackincidenten zoals bij Sony Pictures, de Amerikaanse HR-instantie voor overheidspersoneel OPM en datingsite Ashley Madison tonen dit wel aan. Bij eerstgenoemde is interne communicatie op straat komen te liggen, bij de tweede is vertrouwelijke informatie over overheidspersoneel gestolen, en bij de derde zijn overspelplegers annex liefdeszoekers ontmaskerd.
Gebrek aan encryptie
Deze drie cyberinbraken lopen op veel vlakken uiteen, maar hebben toch ook een opvallende overeenkomst. Encryptie. Of eigenlijk: gebrek daaraan. Let wel: encryptie is geen wondermiddel dat alle securityproblemen wegneemt. Het is geen Haarlemmer slangenolie voor al uw cyberzaken. Het versleutelen van gevoelige gegevens is wél een manier om nog een barrière op te werpen voor datadieven en andere kwaadwillenden.
Encryptie is een proces waardoor open, toegankelijke data wordt getransformeerd in ‘gesloten’ data. De gegevens worden op slot gezet door ze te coderen, waardoor uitlezen alleen kan met de aangemaakte sleutel of sleutelset. Moderne encryptie is ver verheven boven kinderspel als A = B zodat data = ebub. Bovendien zijn er nog aanvullende technieken die de codering verder versterken en oneigenlijke ontcijfering dus bemoeilijken.
Middels encryptie is het inzien en bewerken van gegevens te voorzien van een extra slot. Deze bijkomende beveiliging staat dan naast reguliere, reeds in gebruik zijnde ICT-sloten. Deze bestaan onder meer uit de permissies en rechten voor de eigen gebruikers in de eigen ICT-omgeving. Uit praktijkincidenten blijkt namelijk dat digitale inbrekers goed in staat zijn om binnen te komen op bedrijfsnetwerken en door te dringen in de daar gebruikte toepassingen. Vaak doen ze dat door zich voor te doen als een legitieme gebruiker of door de inlogrechten van een bestaande gebruiker te kapen.
Kluis met daarin de data
Digitale gegevens die door datadieven worden ontvreemd, zijn door encryptie vooraf beter te beschermen tegen diefstal. Gevoelige data valt op twee manieren te versleutelen: op het niveau van folders waarin de gegevens zijn opgeslagen (Folder Level Encryption, FLE) en op het niveau van de complete harde schijf (Full Disk Encryption, FDE). Eerstgenoemde beperkt de toegang al, terwijl de tweede methode voorkomt dat de informatie in verkeerde handen valt. Zelfs als een complete laptop is gestolen, is daarmee niet per se de informatie daarop uitgelekt. De digitale data is weliswaar gestolen, maar dankzij encryptie is het nog afgeschermd. De dieven hebben dan niet de buit zelf maar de kluis met daarin de buit.
Het kraken van die kluis is in theorie mogelijk. Afhankelijk van de gebruikte encryptie en bijbehorende technische parameters voor decryptiesleutels, kan dit een kwestie van tijd zijn. De tijd die dieven bezig zijn met het ontsleutelen van hun buit, is tijd die slachtoffers kunnen gebruiken om de schade te beperken. Zij kunnen wachtwoorden wijzigen, hun klanten inlichten, extra beveiligingsmaatregelen invoeren en scherpe controles uitvoeren. Soms is de kraaktijd voor dieven niet eens een praktisch haalbare tijd. Krachtige en goed geïmplementeerde encryptie valt pas na ondoenbaar lange tijd te kraken. Ook met inzet van zware rekenmiddelen om de versleuteling aan te vallen, kunnen er vele jaren aan onafgebroken computergebruik vereist zijn.
Waardeverlies en businessmodel
In de praktijk is een al te lange kraaktijd voor datadieven het niet waard. Ten eerste omdat moderne cybcercriminelen eigenlijk ondernemers zijn en dus uit op gewin, liefst zo snel mogelijk. Ten tweede omdat gestolen data onderhevig kan zijn aan waardeverlies. Na verloop van tijd is bepaalde informatie minder – of zelfs niets meer – waard. Denk bijvoorbeeld aan strategische plannen voor een bepaalde tijdsperiode. Of denk aan wachtwoorden die om de zoveel tijd toch worden gewijzigd.
Encryptie heeft ten onrechte nog altijd de reputatie dat het complex is. Ingebruikname en dagelijks gebruik worden gezien als lastig en daarmee dagelijks werk in de weg staand. De realiteit is gelukkig anders. Systeembeheerders kunnen met goede voorbereiding gebruikers en data beter beschermen, zonder hindernissen op te werpen voor de business. Tegelijkertijd geeft dit cybercriminelen een aanmoediging om elders hun malafide werk uit te voeren. Een extra slot om te kraken kost immers meer inspanning en dus meer geld. Cybercrime opereert ook op een businessmodel, dus de kans is groot dat datadieven elders aan bedrijfsdeuren gaan morrelen.