Slecht nieuws: de meeste mensen zijn nog steeds makkelijk te hacken
Een Israëlische cyberexpert toont hoe makkelijk hij multinationals binnendringt.
Door Annerieke Simeone
Dat de mens nog steeds vrij makelijk te hacken is, toont het komische filmpje van securityconsultant Lior Yotam. “What? Do I have to give you my username and password?” Een man met woeste krullen en een overduidelijk Nederlands accent kijkt aarzelend in de camera. Daarna lachend: “Nooo, I can’t do that.” Maar met de dreigende microfoon onder zijn neus gaat de man toch vrij snel overstag, net als de anderen die ondervraagd worden door de Amerikaanse journaliste. Bij hen gaat het nog een stuk eenvoudiger. Een jonge blonde vrouw vertelt dat haar inloggegevens een combinatie is van de naam van haar hondje en de stad waarin ze woont. En dus vraagt de interviewer: “Hoe heet je hond eigenlijk?” En daarna: en je woont in…?” En ja hoor. Zonder er bij na te denken, geeft de blondine het antwoord.
Er werd om dit komische filmpje afgelopen donderdag bij NRCLive Cyberinsecuritydag in New Babylon hartelijk gelachen. De honderdzeventig aanwezigen, zelf grotendeels werkzaam in de cybersecurity, zag je denken: dat dit kan!
Hack en virus
Maar Yotam (‘I don’t exist on internet’) deed er nog een schepje bovenop. De Israëliër die zich regelmatig door multinationals laat inhuren, toonde via een filmpje hoe makkelijk hij kan binnendringen in bedrijfsnetwerken. Niet door een hack of een virus, nee, Yotam loopt gewoon bij het bedrijf naar binnen.
Hij wandelt mee met een zwangere vrouw of sjokt rond met een mok waarin het logo van het bedrijf goed zichtbaar is. Trucjes om het vertrouwen van de werknemers te wekken. Of hij dropt een ‘good energy bom’: op de belangrijkste mensen aflopen en ze uitbundig de hand schudden, zodat mensen denken: oh, hij is zeker belangrijk. Zo springt hij ongemerkt over veiligheidspoortjes.
En ondertussen verzamelt Yotam, die praat alsof hij een trein moet halen, lekker veel informatie. Printjes die bij het kopieerapparaat liggen, aantekeningen met wachtwoorden in onafgesloten bureaulaatjes. Her en der maakt hij foto’s van onbeheerde computerschermen. Als de CEO even een kop koffie haalt en zijn kamer vergeet af te sluiten, fantaseert Yotam over een mail die hij vanaf zijn account kan sturen: een ontslagbrief, het verkopen van alle aandelen.
Even later danst de zogeheten CISO (chief information security officer) op de tafels midden tussen de werkende mensen om hen te waarschuwen. Pas na een paar seconden kijken mensen op. En ze laten hem dansen. “They don’t care,” verzucht hij. Hij plugt een overduidelijk onveilige wifirouter in het systeem. Niemand die er wat van zegt. “They don’t care,” zegt hij nogmaals hardop. Alvorens Yotam een opdracht aanneemt, bedingt hij dat er geen ontslagen vallen. Liever wil hij bewustzijn creëren onder werknemers. En dan precies zoals hij het bij deze zaal van honderdzeventig man doet. Eerst een filmpje laten zien van mensen die zo dom zijn hun inloggegevens te vertellen en daarna de video, maar dan van hun eigen bedrijf.
Bewustzijn of ‘awareness’, zoals de experts het liever noemen, is een must, vindt ook Tony van Vliet, senior researcher bij onderzoeksbureau TNO, een van de sprekers tijdens de paneldiscussie over digitale weerbaarheid. “Een methode om je te beveiligen is om je updates op tijd te installeren. Werknemers die dat niet op tijd doen, krijgen bijvoorbeeld bij het inloggen een scherm te zien met een barst erin. Je kunt nog doorwerken, maar het is wel vervelend. En je zal er zeker op aangesproken worden door je collega’s.”
Cyber security
Michel van Eeten is het met die werkwijze totaal oneens. “Ik heb een hekel aan het woord awareness,” aldus de bebrilde hoogleraar Governance of Cybersecurity van de TU Delft. “Het is echt bullshit. Zo werken mensen niet. Je maakt de werknemer probleemeigenaar van iets wat hijzelf niet heeft veroorzaakt. En je stimuleert mensen om hun collega’s te wantrouwen.” Zijn lange haren schudden tijdens zijn betoog soms flink heen en weer. “Zodra je in de fase bent beland dat je de gebruiker moet opvoeden, ben je in het verkeerde securitymodel beland.” Van Eeten vindt dat de aansprakelijkheid moet worden teruggeduwd naar de aanbieders en fabrikanten. Zijn boodschap is duidelijk: fabrikanten moeten hun apparaten niet alleen beter beveiligen, ze moeten ook die beveiliging bijhouden.
Want zodra er software aan te pas komt, dreigt er een gevaar, zo liet ook Monique Lance van Argus Cyber Security weten. “Binnen twee jaar zijn er meer dan 100 miljoen connected cars. “Can you imagine the danger?” Tesla, fabrikant van elektrische auto’s, daagde Chinese onderzoekers uit om in te breken op het systeem. Dat lukte binnen no-time. Vanachter hun computer konden ze een rijdende auto tot acute stilstand brengen door de rem te gebruiken. Na twee maanden vroeg Tesla ze opnieuw, in de veronderstelling dat de ‘bug’ nu verwijderd was. Maar helaas, de Chinezen haalden hetzelfde trucje nogmaals uit. Lance had een trieste mededeling voor nieuwe autokopers: “Het is niet de vraag óf er een ongeluk zal plaatshebben met een elektrische auto, maar wanneer.”
Fokke en Sukke raakten duidelijk geïnspireerd door de lezing van cyberexpert Lior Yotam. Foto: DHC/Sebastiaan Boot