Jullie zijn “wel” interessant

Als DBHeroes komen we graag bij de bedrijven ‘thuis’. Na een korte inspectie van het netwerk, de netwerkproducten en de databases komt het regelmatig voor dat we moeten concluderen dat de beveiliging ‘wel wat beter zou kunnen’. Maar dat is niet eens wat mij het meeste zorgen baart. Het zijn de laconieke reacties. Een voorbeeld? “Wij zijn niet interessant”.

Daar gaan mijn nekharen recht van overeind staan.
Door: Christian Hageraats

We zijn niet interessant? Hoe bepaal je dat? Wie bepaalt dat? Iemand die het op jullie voorzien heeft, vindt jullie interessant. Vindt jullie data interessant, om wat voor reden dan ook. En het hoeft niet eens zo te zijn dat het om jullie eigen data gaat. Misschien zijn jullie een ingang tot een andere partij. Bijvoorbeeld omdat jullie op een bepaald netwerk aangesloten zijn. Dit zien we bijvoorbeeld vaak bij de overheid. Een onbedoeld overheidsportaal voor hackers.

Ja, ook bij de overheidsdiensten horen we dat nog vaak. “We zijn niet interessant”. Misschien niet direct, nee. Maar wat men vergeet dat men aangesloten zit op een overheids netwerk, wat discreet moet zijn. Zo werkt het namelijk: als je bij een partij wilt binnenkomen, ga je kijken wie de zwakste schakel is. En dan kan de informatie in jouw database misschien niet interessant zijn, maar het kan wel een mooie sluiproute zijn. Dus als een hacker zo binnen kan komen, dan is hij weer een stap verder. Van daaruit kan hij weer kijken hoe hij verder kan komen. Het is een puzzel en je begint bij de hoekjes en de buitenrand, langzaam toewerkend naar het doel, het centrum. Los daarvan snapt men vaak ook niet dat hun data wél interessant is.

Het is wat dat betreft allemaal een wassen neus. Als ik zie hoe vaak het gebeurt dat je binnenkomt bij een organisatie en dat je meteen domain admin bent! Dan kun je als externe consultant of als stagiair al meteen alles op het netwerk. Of dat service accounts van producten domain admin zijn. Als ik zeg dat dat direct moet worden aangepast, dan is de reactie vaak heel lauwtjes – “ja, we hebben daar wel een project voor, maar ach ja, andere zaken gaan even voor.” Men doet er echt heel heel laconiek over.

Ook komt het regelmatig voor dat men denkt dat alles goed beveiligd is. Dat de producteigenaar zegt: “Er is maar één persoon die bij de ruwe data mag komen, onze security nemen we heel serieus.” En van leveranciers horen we vaak: “aan de voorkant is het goed geregeld! Wij hebben de applicatie goed geprogrammeerd”. Maar wat ze er dan niet bij vertellen, is dat de applicatie wel een speciaal account nodig heeft voor de database. Dit account wordt verder niet gecheckt en iedereen kan er gewoon gebruik van maken. Zo kan de hele wereld alsnog bij de data, buiten de applicatie om. En een beetje hacker kan dit zo vinden. Ik heb geen rechten, maar het product waar ik gebruik van maak, mag alles? Dan gebruik ik dat toch?

En bij andere organisaties heeft iedereen by default dezelfde rechten. Omdat ze allemaal generalisten zijn, moet iedereen alles kunnen, want “we willen geen onderscheid maken”. Dus iedereen kan dan bij alle data. Eén database is misschien niet interessant. Maar combineer de gegevens uit de verschillende databases en het wordt alweer een stuk interessanter.

Databeveiliging is zonder overdrijven van levensbelang voor bedrijven en organisaties. Dat besef moet er nu echt komen. Jullie zijn wél interessant!