Winkelmand

Geen producten in de winkelwagen.

Gehackt? Deze IT-manager heeft het (meermaals) meegemaakt

Vroeg of laat krijgt elke IT-verantwoordelijke ermee te maken: een datalek. Althans, een onbekende beweert je data te hebben ontvreemd. Wat nu? Ervaringsdeskundige Ard van der Scheer van Zoover deelt zijn lessons learned over gehackt worden.

1. Isaëlisch bedrijf hackt auto via bluetooth Argus Cyber Security uit Israël stelt dat het via bluetooth in staat is gebleken een rijdende auto te hacken. De software programmeurs waren zo in principe staat om de brandstofpomp uit te zetten zodat de auto tot stilstand zou komen. Daarover schrijft The Wall Street Journal. Argus onthulde niet wat voor merk auto ze hadden gehackt. 2. Apple overweegt 'redding' chipbusiness Toshiba Apple Inc. is bereid miljarden te investeren in de chip-business van Toshiba. Dat schrijft persbureau Reuters donderdag. Het Japanse concern heeft dat onderdeel in de verkoop gezet, maar daar is Apple niet gelukkig mee. Het houdt Toshiba graag als chipmaker in de lucht. Apple zou nu hebben voorgesteld dat het een 20-procentsbelang zou nemen. Ook Foxxcon, het Taiwanese bedrijf dat voor Apple apparaten bouwt, zou een fors aandeel nemen. Toshiba zou dan wel ook zelf aandeelhouder moeten blijven. 3. Victoria Beckham laat naam dochter als trademark vastleggen Hoe buit je je beroemdheid het beste uit? De Beckhams zijn er er meester in. Ex-spicegirl Victoria Beckham heeft nu ook de naam van haar dochter Harper Beckham als merk laten registreren zodat ze in de toekomst bijvoorbeeld speelgoed of kleding met haar naam kan verkopen, zo meldt de BBC. 4. Interim ceo TMG schorst HR-directeur De grote 'schoonmaak' binnen het management van de Telegraaf Media Groep is begonnen, zo lijkt het. HR-baas Dirk Valstar is door interim topman Hans Bakker op non-actief gezet. Dat meldt het FD op basis van een interme e-mail. Valstar zou zich niet aan de geldende procedures hebben gehouden. Valstar is binnengehaald door de vorige maand eveneens geschorste ceo Jan van der Snoek. 5. Manager van de dag: Vincent van den Boogert (ING) Vincent van den Boogert begint per 1 juni als directeur ING Nederland, het belangrijkste onderdeel van de bank. Van den Boogert staat bekend als een snelle rekenaar en iemand die vol inzet op het digitaliseren van de bank. Van den Boogert is nu nog directeur particulieren bij ING Nederland, eerder werkte hij voor de bank in Turkije. 6. Tweet van de dag: Elon Musk (Tesla) Tesla kondigt een bestelwagen aan die in september 2017 wordt onthuld. 7. Koffieautomaat: In 2,8 seconden naar de 100 Dat kan harder, dachten ze bij Koenigsegg. De autobouwer onthulde donderdag op de New York-autoshow onderstaand monster, de Koenigsegg RS1. De auto kan in 2,8 seconden van de 0 naar de 100 km per uur. Nieuws inhalen? Lees de 7 van gisteren Elke dag deze nieuwsupdate ontvangen? Schrijf je in voor de nieuwsbrief, met dagelijks de 7 van MT, plus artikelen als analyses, expertblogs en columns. aanmelden nieuwsbrief
Foto: Getty Images

Ard van der Scheer is Head of Technology bij vakantieplatform Zoover. Hij heeft al eens meegemaakt dat het bedrijf waar hij werkte gehackt werd. Hoe kom je erachter, en wat doe je dan? Dat vertelt hij in dit artikel.

Hoe kom je erachter dat je systeem is gehackt?

Ard van der Scheer van Zoover gehackt hacker‘Dat kan op verschillende manieren, maar vaak neemt een hacker contact met je op, omdat hij een vergoeding van je wil hebben. Voordat ik bij mijn huidige werkgever werkte, heb ik een keer meegemaakt dat ons eigen team het ontdekte op een online forum. Een van mijn collega’s volgde de activiteit op dat forum, waar een aantal mensen over de website van mijn toenmalige werkgever aan het communiceren waren. We hielden dat forum daarom goed in de gaten.’

‘Toen op een gegeven moment een DDOS-aanval op onze site werd uitgevoerd, deelde een deelnemer aan het forum informatie over die DDOS-aanval. Die bezoeker voorspelde het moment waarop de DDOS-aanval zou ophouden. En hij bleek gelijk te krijgen. Dat viel mijn collega op. Zo kreeg ik een seintje dat er meer aan de hand was. Hij berichtte daarbij ook dat het hem gelukt was om ons systeem binnen te komen.’

Hoe beoordeel je of de claim van een hacker klopt?

‘Zonder bewijzen weet je niets zeker. Tegelijk is het probleem dat je vaak niet kunt bewijzen dat iemand informatie heeft gestolen. Je kunt hooguit aantonen dat er een indringer in het systeem geweest is. We hebben dus direct de logs van onze firewalls gecontroleerd. Hebben we afwijkend verkeer kunnen detecteren? Als je zo’n gat ontdekt, moet je dat natuurlijk direct dichten.’

‘Het probleem blijft echter dat als je een boek steelt uit een boekhandel de ondernemer merkt dat het boek ineens verdwenen is. Steel je echter digitale gegevens, dan blijven die gegevens nog staan. Je zult dus in contact moeten treden met de hacker. Die zal meestal zelf contact met je zoeken, om je te chanteren. Deze hacker had het niet op ons gemunt, zo gaf hij aan op het forum. Hij wilde het moederbedrijf duperen.’

Gehackt? Volg deze stappen
Stap 1. Dicht het gat
Stap 2. Traceer de mogelijke sporen die een hacker heeft achtergelaten
Stap 3. Meld het lek aan de Autoriteit Persoonsgegevens en aan je klanten
Stap 4. Zorg voor een structurele oplossing
Extra: stel een beleid op voor beloningen aan white hat hackers

Wat doe je als IT-verantwoordelijke als je niet zeker weet of je gehackt bent?

‘Als de hacker gelijk heeft, zijn de gegevens van onze klanten buitgemaakt. Die gegevens wil je niet op straat hebben liggen. Binnen 72 uur nadat je het signaal krijgt dat er data is gelekt, moet je dat melden bij de Autoriteit Persoonsgegevens (AP).’

‘Ook vermoedens van datalekken moet je daar melden. Daarnaast moet je de gedupeerde klanten informeren over de impact van het lek. In dit geval bleef het bij een vermoeden – de hacker kon geen bewijs van de buitgemaakte overleggen.’

Zijn alle hackers op chantage uit?

‘Nee. In een andere situatie kregen we via ons algemene e-mailadres het bericht dat een zogenaamde white hat hacker een lek had ontdekt en ons daarvoor wilde waarschuwen. Er zouden gegevens van klanten en emailadressen toegankelijk zijn. Hij stuurde bewijzen mee, waarvan we konden verifiëren dat zijn claim klopte. En hij vroeg om een vergoeding voor zijn tip.’

‘Hoewel zo’n hacker er niet op uit is om je te chanteren, kan de vraag om geld wel zo binnenkomen. De lijn tussen tipgeld en losgeld is in de praktijk erg dun en deze hacker deed erg zijn best om binnen de lijntjes te blijven. De realiteit is dat als hij deze onderhandeling te scherp voerde, hij een misdaad zou begaan. Hij vroeg overigens om een behoorlijk hoge vergoeding voor de gemaakte uren, ongeveer een dagdeel.’

Hoe reageer je verstandig op een white hat hacker?

‘We wilden natuurlijk eerst bewijs zien. Dat was het eerste wat we vroegen. Die informatie deelde hij met ons. Parallel daaraan zijn we natuurlijk gaan zoeken in onze eigen systemen of we konden vinden hoe en waar hij is binnengedrongen. Daarvoor analyseerden we ons bezoekersverkeer, en zochten we naar anomalieën. In dit geval konden we zijn entree traceren.’

En hoeveel beloning geef je zo’n white hat hacker?

‘Bedrijven als Google hebben daar een vast beleid voor opgesteld. Dat heet in hun woorden een bug bounty. We hebben na overleg met de beslissers in het moederbedrijf een tegoedbon gegeven ter waarde van een kerstpakket, onder de voorwaarde dat hij alle buitgemaakte informatie direct zou vernietigen. Het is verstandig om voor jezelf een beleid op te stellen voor het omgaan met white hat hackers. Van dit lek heeft het bedrijf uiteraard ook melding gemaakt bij AP.’

Reisplatform Zoover biedt sinds kort naast het raadplegen en schrijven van recensies van reisbestemmingen ook de mogelijkheid aan bezoekers om online een eigen reis te boeken. Wat betekent de toevoeging van een boekingsproces voor het IT-securityniveau?

‘Het heeft consequenties voor de AVG-wetgeving. Voorheen verzamelden we alleen naam en e-mailadres van gebruikers van ons platform. Nu verzamelen we veel meer klantinformatie, zoals bankrekeningnummers. Maar ook informatie die we nodig hebben om gerichte reisaanbiedingen te doen.’

‘Op de nieuwe website hebben we gekeken naar hoe we de AVG implementeren voor die nieuwe gegevens. Het beveiligingsniveau is nu dan ook fors hoger. Voordat ons platform live ging, hebben we een uitgebreide security-test laten uitvoeren. Zeker bij een grote aanpassing aan je online omgeving wil je zo’n beveiligingstest doen. Daar kwamen gelukkig geen kritieke problemen uit, geen kwetsbaarheden die ons boekingsproces betroffen.’

Dit artikel is onderdeel van het dossier ‘IT-security’ op mt.nl. 

Lees ook: