De Sony-hack raakt ons allemaal

  1. 21 jan 2015
  2. 0 reacties
Kaspersky_Martijn van Lom_uitsnede

Tenzij je de afgelopen tijd echt offline en in de wildernis bent geweest, heb je iets meegekregen over de cyberinbraak bij Sony Pictures. Een belangrijke kwestie die nog doorloopt. De aanval zelf is weliswaar geweest maar de gevolgen zijn nog steeds niet goed te overzien. Niet alleen voor Sony maar voor ons allemaal. 

Eind vorig jaar werd de Amerikaanse filmtak van Sony diepgaand gehackt. Dat werd pas eind november bekend, maar toen waren de daders al enige tijd ongezien bezig met hun datadiefstal en cybersabotage. De buit was groot: complete films, filmscripts (inclusief die voor de volgende James Bond), medische informatie over personeel en interne e-mails van gewone werknemers én topbestuurders. Een harde klap voor Sony Pictures en een harde klap voor elk type bedrijf.

De tot op heden algemeen geaccepteerde duiding voor deze daad is dat de verantwoordelijke hackersgroep, de zelfbenoemde Guardians of Peace, een link heeft met Noord-Korea. Dit vanwege de plat-komische Sony-film The Interview waarin een aanslag wordt beraamd op de Noord-Koreaanse leider Kim Jong-un. Security-experts zijn nog altijd verdeeld over wie er nou echt verantwoordelijk is voor de cyberaanval op Sony Pictures. De ontdekkingen, ontwikkelingen, geheimhoudingen en informatielekken houden voorlopig nog aan. Feit is dat het toekennen van gerichte hackaanvallen heel moeilijk is, omdat aanvallers veel manieren hebben om hun digitale sporen te verhullen, te wissen of zelfs te vervalsen.

Twee lessen zijn al wel te leren

Twee lessen zijn echter duidelijk in dit geval van Sony. Ten eerste is er de impact op business security. Het is duidelijk dat Sony niet heeft geleerd van de klappen die het in de lente van 2011 kreeg toen het PlayStation Network is aangevallen en vergaand gehackt. Hoe groter en complexer een bedrijf wordt, hoe moeilijker het is om de infrastructuur daarvan te beschermen. Security is een enorme uitdaging. Zeker voor een multinational als Sony, met duizenden werknemers die verschillende devices en applicaties gebruiken, draaiend op een veelvoud aan besturingssystemen.

In zo’n oerwoud aan technologie kan een aanvaller via het ene deel van een netwerk of systeem grip krijgen op andere delen van een ICT-infrastructuur. Als een ‘evil Tarzan’ slingerend van de ene naar de andere boom. Het enige dat daarvoor nodig is, is het vinden en grijpen van een liaan, of in dit geval een kwetsbaarheid in een deel van die complexe bedrijfsomgeving. Maar al te vaak blijkt de zwakke plek in het harnas de menselijke factor te zijn. Bijvoorbeeld iemand die valt voor een phishing-mail of iemand die zijn laptop, smartphone of wifi-verbindingen niet goed bewaakt.

Zorgwekkender bij Sony is dat er zowel nu als toen in 2011 een enorme hoeveelheid gevoelige data niet adequaat beschermd bleek te zijn. Het lijkt erop dat de oude en achterhaalde securitymetafoor van het middeleeuwse kasteel nog steeds stand houdt. Daarbij wordt de eigen infrastructuur naar buiten toe beschermd met dikke muren en een slotgracht, maar is de beveiliging binnen die muren niet of nauwelijks aanwezig. 

Verstrengeling van online en offline

De tweede les die duidelijk is in de hele Sony Pictures-hack schuilt in de terroristische dreigementen die de hackers - of andere meeliftende figuren - hebben geuit. Namelijk de dreiging van aanslagen op bioscopen die de Sony-film The Interview zouden vertonen. Dit is een alarmerende ontwikkeling: dat hackers - of semi-gerelateerde figuren - dreigen met aanvallen in de fysieke wereld. Daarmee raakt het virtuele van cyberdreigingen verstrengeld met de als meer werkelijk ervaren aard van fysiek geweld.

De link tussen het digitale domein en IRL (in real life) is tegenwoordig in onze connected wereld steeds sterker. Meer en meer aspecten van ons dagelijks leven en werken zijn digitaal en digitaal afhankelijk. Alles en iedereen is dus kwetsbaar voor een cyberaanval. Het maakt niet meer uit hoe groot of klein een organisatie is. Het gevaar kan uiteenlopen van willekeurige, massaal rondgaande aanvallen tot een meer geavanceerde en doelgerichte aanval. Voor alle gevallen zijn er maatregelen die we kunnen - nee: moeten - nemen om onze security en die van onze organisaties te beschermen. Denk aan het versleutelen van privégegevens, het aanmaken van unieke en complexe wachtwoorden, het beveiligen van individuele apparaten en netwerksegmenten, en het niet blind vertrouwen van wifi-netwerken voor vertrouwelijke transacties. Wees waakzaam, wees veilig!

Martijn van Lom is General Manager van Kaspersky Lab Benelux