Privacy in de praktijk II, afl. 5 Auditing in de keten
Rob Augustinus en Stan van Bommel, beiden specialistisch inspecteurs bij het Agentschap Telecom, leggen het verband tussen informatiebeveiliging en privacybescherming. Al pratend met host Robin Rotman adviseren zij de luisteraars om bij het in kaart brengen van de risico’s verder te kijken dan de eerste schakel van de ketting. Zoals zij zeggen: ‘Kijk niet alleen naar je leveranciers, maar ook naar hun leveranciers’.
Privacy in de praktijk II, afl. 5 Auditing in de keten
VAN BOMMEL: Hoe audit je de hele keten?
ROTMAN: Welkom bij Privacy in de Praktijk. Ik ben Robin Rotman.
In podcasts van het Centrum Informatiebeveiliging
en Privacybescherming bespreek ik met deskundigen
de meest interessante vragen rond privacy in de dagelijkse praktijk.
AUGUSTINUS: Kijk niet alleen naar je leveranciers
maar ook naar de leveranciers van hun leveranciers.
ROTMAN: Te gast: Stan van Bommel, Rob Augustinus.
Beiden specialistisch inspecteur bij Agentschap Telecom.
Jullie hebben samen een mooi artikel geschreven over dit thema
en dat is te vinden via deitauditor.nl. Dus dat kunnen de mensen allemaal teruglezen.
Die audit van de hele keten, Stan.
Neem me even mee in jouw wereld. Waar hebben we het dan precies over?
Want het gaat dus meer over dan...
je gaat niet alleen naar je directe leveranciers kijken
je kijkt ook naar de leveranciers van je leveranciers.
We hebben het over een ecosysteem, wat je dus in kaart moet brengen of zo?
Vertel, waar hebben we het over? VAN BOMMEL: Dat klopt helemaal.
Je moet niet alleen de keten van de leverancier inzichtelijk hebben
maar ook de samenhang tussen verschillende leveranciers.
En niet alleen online, maar ook fysiek.
Op welke locatie zitten die leveranciers? Zitten die wellicht op één plek?
ROTMAN: Hmhm. En waar hebben we het dan concreet over?
Dus je bent een bedrijf of een organisatie
en je hebt een bepaald product en er gaat data van hot naar her.
Waar hebben we het eigenlijk over?
VAN BOMMEL: Ja, je kan... Wij hebben drie trends onlangs in een artikel beschreven.
De eerste trend is: Je hebt een concentratierisico.
Online. Dat kan zijn dat jij je dienst hebt uitbesteed bij drie verschillende partijen.
Maar al die drie verschillende partijen, die komen weer samen bij één datacenter.
Dan heb je op dat punt een single point of dependency.
ROTMAN: Dat maakt kwetsbaar.
-Dat maakt kwetsbaar.
Een tweede wat wij hebben onderkend, is dat zo'n datacenter
direct naast een datacenter van een andere partij kan zitten.
Vaak zitten die allemaal op één locatie op een gunstige plek.
In Nederland is dat Amsterdam.
Daar zit zeventig procent van het vloeroppervlakte van alle datacenters.
Dus da's een tweede risico.
ROTMAN: Dus ook weer een beetje die afhankelijkheid.
VAN BOMMEL: Ja, ja.
ROTMAN: Ik hoorde je drie dingen noemen.
-De derde is:
Nou, hoe meer je uitbesteed, hoe meer aanvalsoppervlakten je hebt.
Als je alles on premise hebt, alles binnen één bedrijf
dan weet je door welke deur een aanvaller kan komen.
Maar als jij verschillende leveranciers hebt die ook weer gebruikmaken
van verschillende leveranciers, dan heb je een veelvoud aan deuren.
ROTMAN: Jullie werken veel samen, hè Rob? Wat is jullie rolverdeling?
Jullie komen samen binnen ergens.
En wat doet Stan dan, Rob? Wat is zijn taak?
AUGUSTINUS: Stan is IT-auditor. Dus hij gaat echt alle organisaties doorlichten.
Hij stelt de vragen.
De vragen worden natuurlijk beantwoord door die organisaties.
En ik als IT security expert moet die vragen, zeg maar...
de antwoorden die daaruit vandaan komen naar waarde inschatten.
ROTMAN: Dus Stan komt binnen en die gaat die keten kijken:
Hebben jullie dat goed inzichtelijk gemaakt?
Dan komen die antwoorden en dan ga jij met jouw...
je securitymind gaat checken of dat allemaal wel inderdaad klopt.
En waar is dan de privacy in het geding?
Want ik hoor je nu security zeggen, maar dat gaat nog niet per se over privacy.
AUGUSTINUS: Dat klopt. Natuurlijk, de inspecties die wij uitvoeren
vanuit Agentschap Telecom, zijn gericht op de digitale weerbaarheid van bedrijven.
Zijn ze bestand tegen cybersecurity- aanvallen of andere incidenten?
Maar cybersecurity is eigenlijk een basisvoorwaarde voor je privacy.
Als jouw cybersecurity niet op orde is, zijn ook je persoonlijke gegevens
je personal data, ook niet beschermd.
Dus het een kan niet zonder het ander.
ROTMAN: Oké, dus privacy en security zijn onlosmakelijk met elkaar verbonden.
En als je security niet goed geregeld is, is de privacy het eerste wat sneuvelt.
AUGUSTINUS: Precies. ROTMAN: Als je het hebt over die keten
wat gaat er vaak fout, Stan? Want mensen denken misschien:
Nou, ik heb m'n eigen spulletjes op orde, ik weet waar mijn data staat.
Ik weet welke service ik weet welke partijen ook
misschien zelfs wel in welke landen ze zitten.
Maar is er dan een soort van naïviteit:
Je hebt een verantwoordelijkheid om te kijken waar je partners
al jouw leveranciers, waar zij hun spulletjes...
Is dat ook een soort naïviteit nog een beetje?
VAN BOMMEL: Wat wij wel in de praktijk zien
is dat partijen een contract afsluiten met een leverancier.
Dan wel ook een assuranceverklaring van die leverancier periodiek beoordelen.
En daarmee denken ze dat ze in control zijn. Echter, dan ben je er nog niet.
Want je moet ook een keer die leveranciers naast elkaar zetten.
En welke onderlinge afhankelijkheden zijn er?
En vaak gaan die verklaringen alleen over de online risico's
en niet over de fysieke locaties waar zo'n partij zit.
ROTMAN: Aha, dus er is een soort fysieke component nog een keertje erbij
bij die keten, bij die audit van die hele keten.
VAN BOMMEL: Zoals je net al zei: Je moet het hele ecosysteem inzichtelijk hebben.
ROTMAN: Oké, en er waren dus een paar concrete gevaren.
Je noemde die concentratierisico's vanwege de rol van de leveranciers eigenlijk, hè.
Je hebt de concentraties in bepaalde locaties.
Je noemde Amsterdam waar al die datacenters staan.
En door die uitbesteding wordt je aanvalsoppervlak
of eigenlijk het oppervlak. wat je moet verdedigen groter.
Als we bijvoorbeeld even een concrete casus pakken, Rob.
En laten we nou bijvoorbeeld, neem nou dat aanvalsoppervlak, dat vind ik heel...
Dat spreekt tot de verbeelding.
Geef eens een voorbeeld hoe dat dan in de praktijk werkt.
AUGUSTINUS: Nou, aanvalsoppervlak kun je het best eigenlijk illustreren
met een voorbeeldje van een recente kwetsbaarheid.
Dat was eind vorig jaar.
Dat heet Log4j. Da's een stukje software om gebeurtenissen te loggen.
De aanval bestond er eigenlijk uit dat bijvoorbeeld een aanval bepaalde...
bijvoorbeeld bij een webserver een bepaalde pagina kon opvragen
die bijvoorbeeld niet bestaat.
En dan gaat dat stukje software, Log4j, loggen van:
Hé, er wordt een pagina opgevraagd die niet bestaat.
Als die aanvaller dat nog om een specifiek iets gaat doen...
Een specifieke request naar een webserver zoals dat heet,
dan kan je daarmee een stukje code inzetten
wat eigenlijk gebruikmaakt van die kwetsbaarheid in Log4j.
Daarmee heeft die aanvaller... Da's een beetje een complexe aanval
dus ik ga het niet helemaal in detail uitspellen...
maar het resultaat is gewoon
dat een aanvaller daarmee bijvoorbeeld die webserver kan overnemen.
Nou, op zich is het niet zo erg
als dat een stukje software is wat zeg maar een enkele keer voorkomt.
Maar dit stukje software, dat kon overal en nergens voor...
ROTMAN: Dat zit overal?
-Dat wordt veel gebruikt.
Een heleboel applicaties. En daarmee als een...
Omdat dat stukje, dat is een stukje open source software. Dat wordt veel gebruikt.
Daarmee kan je dus...
door gebruik te maken van één kwetsbaarheid heb je een heel groot bereik.
ROTMAN: En dan heb je toegang tot data?
-Tot data.
Want je kunt daarmee uiteindelijk een webserver overnemen.
Nou, daarmee ben je al...
Je hebt je eerste horde genomen, ben je in een bedrijf gekomen.
En dan van daaruit kunnen aanvallers verdergaan.
En eh, het grote probleem met dat stukje software was
dat niemand zich realiseerde dat dat zoveel voorkwam.
ROTMAN: Dat zit overal, want je had het over dat aanvalsoppervlak.
Dus dat zit misschien bij mij, dat zit bij de leverancier.
Dat zit dus bij de leverancier van de leverancier.
En dat zit dus overal.
En zo heb je dus een groot potentieel aanval... Een grote kwetsbaarheid.
AUGUSTINUS: Precies.
ROTMAN: Omdat die data op straat komt te liggen, overgenomen wordt.
AUGUSTINUS: Zeker.
-Ransomware?
AUGUSTINUS: Ransomware ook.
Het biedt heel veel mogelijkheden. Het biedt in ieder geval aan aanvallers
al een eerste gelegenheid om binnen te komen.
ROTMAN: Ah allright. Oké, dat is zeg maar het aanvalsoppervlak.
Heb je nog een casus? Dit is spannend natuurlijk.
AUGUSTINUS: Een andere casus die we ook in ons artikel hebben aangehaald
is bijvoorbeeld Mimecast-kwetsbaarheid.
Nou, Mimecast is eigenlijk een bedrijf
dat beveiliging doet bijvoorbeeld van e-mail.
Ook back-ups maken ze en dergelijke.
Maar Mimecast heeft ook een service die wordt gebruikt
door Microsoft Office 365-gebruikers.
Nou, en wat je eigenlijk ziet, is dat je een relatie hebt tussen Mimecast
en de hele grote techreus zoals Microsoft.
Nou, door die kwetsbaarheid konden gebruik...
konden aanvallers Microsoft Office 365-accounts overnemen.
ROTMAN: Kijk eens aan.
AUGUSTINUS: Microsoft Office, eh...
Sorry. Microsoft Office 365 is eigenlijk een applicatie die iedereen gebruikt.
Iedereen gebruikt wel e-mail ervan. Of Word en dergelijke.
En dat is dus eigenlijk het probleem. Dat je dus door een gerichte aanval
op een applicatie die essentieel is voor een heleboel bedrijven
dat je daardoor bedrijven ermee in de problemen kan brengen.
ROTMAN: Oké, en dit is zo'n voorbeeld dat je het hebt
over dat concentratierisico vanwege die rol van die techreuzen.
Dat zit dus ook weer in die hele keten potentieel.
We maken er allemaal gebruik van. En dat zit ook overal. Dus zitten ze ook...
Dus een combinatie van concentratie van techreuzen
en dat aanvalsoppervlak wederom, neem ik aan.
Oké, dus je moet die hele keten dus door gaan zitten spitten.
Je moet niet alleen naar je directe leveranciers kijken
maar ook naar de leveranciers van je leveranciers.
Wat zijn nou de tips?
Waarvan je denkt van: Ja, oké, jongens, verlies nou die naïviteit.
Je moet het hele speelveld overzien.
Wat is nou de eerste tip, Stan? VAN BOMMEL: De eerste tip zou zijn:
Als je het hele ecosysteem inzichtelijk hebt gemaakt
kan je scenario's gaan verzinnen.
Wat als? En voor elk scenario zou je kunnen denken: Wat is mijn plan B?
ROTMAN: Dus bijvoorbeeld van: Wat nou als mijn cloudservice gebreacht wordt?
En dan moet je dan altijd een plan B?
Je moet dus een soort alternatieve partij in je achterzak hebben?
Als het misgaat, moet ik daarop kunnen terugvallen?
VAN BOMMEL: Als je proces belangrijk genoeg is,
dan zou je moeten kijken: Wat is mijn back-up?
ROTMAN: Altijd een plan B in je achterzak. VAN BOMMEL: Ja.
Wat is een tweede tip?
AUGUSTINUS: Een tweede tip is wat we al eerder hadden gezegd:
Kijk wat verder dan je neus lang is.
Je gaat niet alleen maar naar je directe leveranciers kijken,
maar ga ook naar de dieperliggende lagen daarvan kijken.
Zijn er misschien afhankelijkheden die je niet vermoedt?
Een voorbeeldje is net: grote techreuzen zoals Amazon Web Services en dergelijke.
Da's het fundament voor veel andere clouddiensten.
Het kan dus zijn dat je misschien drie verschillende cloudleveranciers hebt
maar die allemaal gebruikmaken van bijvoorbeeld Microsoft Azure.
Of Amazon Web Services. Alle drie.
Jij denkt: Ik heb m'n risico's gespreid.
Maar stel dat Amazon Web Services eruit vliegt
dan heb je drie cloudleveranciers die er hun diensten op draaien. Die vliegen er ook uit.
ROTMAN: Hoe is dan m'n privacy hier in het geding?
AUGUSTINUS: Je privacy kan zijn... Stel dat bijvoorbeeld daar een kwetsbaarheid in zit.
In, zeg maar, Amazon Web Services,
waardoor daardoor data op straat kan komen te liggen,
is dat je bij al die drie leveranciers dat probleem hebt
dat je data op straat kan komen te liggen.
ROTMAN: Ja, oké. Tip drie.
VAN BOMMEL: Ja, eigenlijk heeft Rob nu al twee tips gegeven.
Enerzijds zegt ie van: Kijk naar de keten van één leverancier. Diep die helemaal uit.
En de tweede tip was om de verschillende ketens naast elkaar te zetten.
En kijk of er tussen die ketens of daar verbanden zijn.
ROTMAN: Dwarsverband tussen de verschillende ketens. Tip vier.
AUGUSTINUS: Ja, fysieke locaties van waar je diensten staan.
Dat is eigenlijk vaak iets wat mensen over het hoofd zien
en dat is ook het verhaal wat wij vertellen in ons artikel over concentratierisico's.
Je kunt verschillende leveranciers hebben
maar die leveranciers moeten ergens fysiek hun servers hebben staan
waaruit ze hun diensten aanbieden.
Nou, vaak willen, zeg maar, leveranciers toch een local presence hebben.
Zo kort mogelijk bij. Nou, dan staan ze bijvoorbeeld in Amsterdam.
ROTMAN: Hmhm.
AUGUSTINUS: We hebben al aangehaald dat de grootste concentratie van datacenters
hier in de Amsterdam-Schiphol-regio is.
Nou, wat je eigenlijk hier hebt...
Je kan dus eigenlijk een heel groot probleem hebben
als daar bijvoorbeeld een overstroming komt, of er god weet wat voor ramp is.
Dan zie je ineens dat een heleboel leveranciers
die gebruikmaken van die datacenters daar, dat die ineens allemaal uitvallen.
Dat kan cascade-effecten hebben.
ROTMAN: Of over fysiek die datacenters gesproken, die staan in het buitenland
en in een land waar ze het helemaal niet zo nauw nemen met mijn privacy.
Daar is de AVG helemaal niet van kracht.
Die Amerikaanse opsporingsdiensten hebben er misschien wel schijt aan.
Is dat een gevaar? AUGUSTINUS: Dat kan ook een gevaar zijn.
ROTMAN: Is dat deel van de audit van de keten dat je dat in kaart brengt?
AUGUSTINUS: Ja, omdat je ook niet weet
hoe jouw leveranciers weer hun diensten uitbesteden.
En contractueel moet dat allemaal zijn vastgelegd.
Het kan best wel zijn dat er stukjes data ergens staan
op een locatie waar jij geen weet van hebt
maar die ergens drie lagen dieper in de leveranciersketen wel zichtbaar zijn
maar niet meteen voor jou.
ROTMAN: Oké, oké, resumerend.
Je moet altijd een plan B hebben, Stan, altijd een plan B.
Je moet altijd ergens op terug kunnen vallen.
Je moet diep in het konijnenhol kijken.
Niet alleen die ene leverancier, al je leveranciers
en je moet ook nog eens een keertje zorgen
dat je niet alleen naar de software kijkt, maar ook naar de locaties.
Je moet kijken... De fysieke locaties.
Die informatie moet beveiligd zijn als je ergens een probleem hebt...
Die cascade van problemen die op je afkomt als het misgaat...
Dan gaat al die informatie op straat, privacy breach.
En als het spul allemaal op die servers in het buitenland staat
waar ze het allemaal niet zo nauw nemen met die privacy, ben je ook de sjaak.
Dus je moet eigenlijk een soort verantwoordelijkheid voelen
om dat hele ecosysteem in kaart te brengen.
Is dat een goeie samenvatting zo, Stan? VAN BOMMEL: Ja, dat klopt helemaal.
Het belangrijkste uitgangspunt is:
hoeveel je ook uitbesteedt, je blijft verantwoordelijk.
ROTMAN: Stan van Bommel, Rob Augustinus. Bedankt.
Succes met jullie mooie werk om die audit in de hele keten te regelen.
Luister ook de andere afleveringen van Privacy in de Praktijk
en ga hiervoor naar cip-overheid.nl/uitgelicht.