Oliebollen in de Tweede kamer

We gaan deze week even iets nieuws proberen. In tegenstelling tot drie of vier nieuwsberichten omtrent IT security, gaan we meerdere artikelen met elkaar combineren. Zodoende kunnen we goed illustreren hoe alles met elkaar in verband staat. Het lijkt wel een domino day evenement, maar dan elke dag. Er hoeft maar een steentje te vallen en voor je het weet valt er van alles. U zult zo wel merken wat we hiermee bedoelen.

Eerder deze week werd bekend dat er zo’n 900 bedrijven in Nederland zijn die we toch wel met recht dom mogen noemen. Waar gaat dit over? Dit gaat over het gevaarlijke lek in het Fortigate VPN. Deze kwetsbaarheid, vergelijkbaar met die van VPN-dienst Pulse Secure, vormt een ernstig veiligheidsrisico voor bedrijven en instellingen in Nederland. IT-beveiligingsbedrijf ESET Nederland, dat ook het lek bij Pulse Secure ontdekte, kwam tot een lijst van ruim 900 Nederlandse bedrijven die door het lek kwetsbaar zijn. Door  een VPN-netwerk te gebruiken kunnen gebruikers via een veilige verbinding werken op afstand. Echter, de gevonden kwetsbaarheid zorgt ervoor dat kwaadwillende toegang kunnen krijgen tot het netwerk. Dit kan potentieel ervoor zorgen dat ze toegang krijgen tot gevoelige gegevens of dat ze software kunnen installeren op systemen.

Zoals het een goed VPN bedrijf betaamt is er inmiddels al een update uitgerold welke de kwetsbaarheid kan verhelpen. Maar nu komt het pijnlijke. Ondanks dat deze update in mei werd uitgebracht, zijn er nog steeds ongeveer 900 bedrijven die de update niet hebben geïnstalleerd. Ondanks dat er natuurlijk geen bedrijfsnamen vrijgegeven kunnen worden, gaat het hier om ICT-bedrijven, zorginstellingen, onderwijsinstellingen en een beursgenoteerde onderneming. Inmiddels is er melding gemaakt bij het NCSC van de kwetsbare bedrijven. Het NCSC zal vervolgens de betreffende overheidsorganisaties en belangrijke bedrijven zoals energiemaatschappijen waarschuwen.

En zo kwam dit dus ook aan het licht in de tweede kamer, en wel bij de minister van Justitie en Veiligheid; Grapperhaus. Tijdens het mondelinge vragen uur heeft kamerlid Van Raak (SP) toch wel zijn vraagtekens gezet bij het niet doorvoeren van de belangrijke updates door diverse overheidsinstanties. Minister Grapperhaus reageerde hier vervolgens dan weer op met de nu al legendarische uitspraak: “bedrijven die updates uitstellen zijn ongelofelijke oliebollen”. Niks aan gelogen vinden wij, al mocht die bewoording wat ons betreft wel iets heftiger.

Je moet inderdaad aan de slag zo gauw als je die updates krijgt. Zeker als het NCSC je waarschuwt, moet je dat onmiddellijk oppakken”, aldus Grapperhaus.

Uw BSN wordt een digitaal vierkantje

Vanaf maandag 2 augustus 2021 wordt het BSN van paspoorten en identiteitskaarten verwijderd en verplaatst naar een QR code. Deze code zal op de achterzijde van het ID komen en op de houderpagina van paspoorten. Waarom deze wijziging zal worden doorgevoerd is niet helemaal duidelijk. Een argument dat wordt aangedragen is het feit dat je dan bij het kopiëren van je identiteitsdocument, je het BSN niet meer hoeft weg te strepen. Ijzersterk argument twee is dat een beveiligingsbeambte dan zelf niet meer hoeft te controleren of je bent wie je zegt. Dat wordt vanaf dan gedaan door een machine. Men houdt dan simpelweg het document onder een scan apparaat en de douane ziet meteen of het in orde is. Maar zoals altijd met digitalisering, is dit ook niet zonder risico.

QR codes zijn de afgelopen jaren flink in populariteit gestegen. Je kan tegenwoordig ongeveer alles wel met je mobiele apparaat scannen, en het werkt. Mensen zijn gemakswezens en hoe sneller iets gaat des te groter de kans op succes. Maar uiteraard is ook dit niet zonder gevaar. Want dankzij deze ontwikkeling heeft ook de malafide QR code zijn intrede gedaan.

We zien het nu al veel in phishing e-mails. Hackers gaan gebruik maken van QR codes in e-mails waarin ze zich voordoen als een bank. Mensen, naïeve mensen, die scannen de code en voor ze het weten hebben toegang tot je data of, nog erger, de controle over je toestel. Nu heeft dit op zich weinig te maken met je identiteitsdocument, maar dit laat wel zien dat kwaadwillenden opties zien. En laten we niet vergeten dat niet alleen QR codes aangepast kunnen worden, maar dat de scanners zelf ook kunnen worden aangevallen. Mocht dit gebeuren dan kan het zomaar zijn dat al jouw gegevens (via je identiteitskaart) doorgezonden worden naar een partij die dit dan weer doorverkoopt. Om maar even iets te noemen. Kortom, net zoals de autonome auto die we vorige week bespraken, is het nu ook nog maar de vraag in hoeverre dit veilig en succesvol kan worden geïmplementeerd.