Zo slordig gaan bedrijven met gegevens van hun klanten om

De beveiliging is bij veel bedrijven zo beroerd geregeld dat de kans groot is dat gevoelige informatie van klanten op straat belandt. Volgens IT-consultant en ethisch hacker Sijmen Ruwhof moeten bedrijven hun beveiliging beter testen.

Computers en netwerken beveiligen is voor bedrijven erg lastig. Je verdient er nu eenmaal niks mee en lang niet iedereen heeft de nodige expertise in huis. Ook grote bedrijven niet, ontdekte het Amerikaanse beveiligingsbedrijf Wandera.

Wandera maakte deze week bekend dat de mobiele websites van zeker zestien grote bedrijven, waaronder Aer Lingus en EasyJet, informatie naar hun server sturen zónder die te versleutelen. Op die manier bestaat het risico dat de persoonsgegevens en creditcardgegevens van de klanten in handen vallen van derden.

Een ander ernstig lek ontdekte IT-beveiligingsconsultant Sijmen Ruwhof bij toeval toen hij voor zichzelf een nieuw telefoonabonnement ging afsluiten bij Phone House. De winkel in Utrecht, gevestigd in een filiaal van Media Markt, bleek erg onvoorzichtig om te gaan met wachtwoorden.

Enkele maanden eerder had Ruwhof een verkoper er al op gewezen dat het misschien niet zo’n goed idee is om het wachtwoord van de computers op een briefje aan de monitor te hangen. Dit keer opende de medewerker van de winkelketen voor zijn ogen een spreadsheet met de wachtwoorden van dealer-portaalsites van alle grote telecombedrijven. Terwijl hij de gegevens opzocht, kon Ruwhof onopvallend een foto van het scherm maken.

Om later niet aangeklaagd te kunnen worden voor wat bij de rechter 'computervredebreuk' heet, heeft Ruwhof niet zelf ingelogd bij de portals, maar medewerkers van Phone House bevestigden dat hij met de gevonden gegevens overal bij zou kunnen.

Phone House is de grootste dealer van telefoonabonnementen, zodat de NAW-gegevens (naam, adres en woonplaats) plus hier en daar kopieën van paspoorten en rijbewijzen te vinden zouden zijn van miljoenen Nederlanders met een mobiele telefoon.

Veel klunzige beveiligingsfouten

Dat grote bedrijven zulke klunzige beveiligingsfouten kunnen maken, zou je niet geloven als het niet zo vaak voorkwam. Op Sijmen Ruwhofs weblog staan veel voorbeelden van Nederlandse bedrijven die de mist ingaan. Hij werkt als freelancer en in deeltijd voor de Rabobank als 'ethische hacker'; hij onderzoekt de beveiliging van bedrijven door te kijken hoe moeilijk of makkelijk hij in kan breken in hun computers.

Hoe staat het volgens hem in Nederland met de computerveiligheid? “Het staat er eigenlijk best heel slecht voor. Ik doe dit werk al zeventien jaar, maar ik kom wekelijks iets tegen dat me verbaast.” In tachtig procent van de gevallen zijn er 'onacceptabele beveiligingsrisico's'. “Bij een derde van de onderzoeken vind ik een kritisch beveiligingslek zoals bij Media Markt, dus een gapend gat waardoor je rechtstreeks de database in kan.”

Hoe veilig zijn apps?

Ruwhof twijfelt er niet aan: als het onderzoek van het Amerikaanse bedrijf hier herhaald zou worden, dan zou je precies hetzelfde vinden. Ook grote Nederlandse bedrijven hebben immers apps en mobiele sites waar je al je gegevens achterlaat om producten te bestellen.

"Veel ontwikkelaars hebben nauwelijks kennis van het bouwen van mobiele websites en apps, maar ze krijgen wel die vraag van opdrachtgevers. Ze houden vervolgens geen rekening met de speciale eigenschappen van dat platform", aldus Ruwhof. "Je kunt wel https-verbinding opzetten met de server, maar controleert de mobiele telefoon wel of het certificaat dat je gebruikt geldig is? Op de computer ziet de eindgebruiker nog een rood kruis in de adresbalk, of een waarschuwing, maar die controles heb je niet als je je bankieren-app start. Je hebt geen idee hoe veilig de verbinding is. App-bouwers moeten daarvoor extra stappen zetten."

Bewustzijn vergroten

Het bewustzijn van beveiligingsrisico's moet drastisch verbeteren, vindt Ruwhof. “Het lijkt wel alsof de situatie erger wordt. Dat is ook niet verwonderlijk, omdat we als samenleving ontzettend hard aan het digitaliseren zijn. Alles wordt aan internet gekoppeld, zelfs onze elektriciteitscentrales."

De systeembeheerders die dat aan elkaar knopen, lopen volgens Ruwhof zwaar achter. "Zij zijn alleen bezig met de nieuwste technieken, terwijl het echt een dagtaak is om beveiliging bij te houden. Dat kun je ook niet van ze verwachten. Maar dat betekent wel dat kwaadwillenden hele grote schade kunnen aanrichten, zoals bijvoorbeeld sluizen openzetten. Voor mij worden het steeds leukere tijden, maar als burger maak ik me ernstig zorgen.”

Tips voor betere beveiliging

In zijn lange blogpost over het lek bij Media Markt en Phone House geeft Ruwhof 26 tips aan de betrokken bedrijven. De meeste zouden veel bedrijven ter harte kunnen nemen: zorg dat werknemers of dealers alleen sterke wachtwoorden kunnen aanmaken en dat interne beheerportalen niet van buitenaf toegankelijk zijn. “Het maakt me bedroefd dat al die tips niet gewoon de praktijk zijn voor bedrijven in 2015.”

Het ongelofelijke is dat het probleem bij de Phone House-winkels nog steeds niet is opgelost. Afgelopen week, ook nadat Ruwhofs onthulling al flink wat aandacht had gekregen, bleken er nog steeds Phone House-medewerkers te werken met het wachtwoordenbestand dat ook voor klanten zichtbaar is.

Sinterklaas niet gecontroleerd

Bedrijven moeten goed nadenken over hoe ze de risico's managen, adviseert Ruwhof. “Mogen klanten meekijken op schermen of niet? Houdt bij de rokersingang iedereen de deur voor elkaar open, of wil je een cultuur dat iederen toch maar even zijn pasje moet laten zien?”

Een van zijn favoriete voorbeelden, is dat mensen van een testbedrijf een keer in Sinterklaaspak naar een financiële instellingen gingen. “Iedereen moet een pasje hebben om het gebouw in te mogen. Maar ja, je gaat Sinterklaas niet om een id vragen. Die mocht dus gewoon doorlopen.”

Ruwhofs voornaamste advies is om een testbedrijf in te huren om een goed overzicht te krijgen van de risico's. Die markt heet security testing. Er zijn bedrijven actief zoals Madison Gurkha en Securify, maar ook KPMG en Deloitte hebben ethische hackers in dienst. “Laat maar eens zo'n bedrijf uitzoeken wat een aanvaller in een week zou kunnen uitrichten. Daar komt vaak een rapport uit met tientallen risico's en lekken. Met zo'n dik rapport kan de IT-afdeling budget gaan claimen om iets te gaan doen aan beveiliging.”

Boetes voor ernstige datalekken

Dat is natuurlijk waarom security een lastig onderwerp is: het kost geld, maar levert niet op. “Beveiliging draagt niet bij aan de winst, maar kan wel een gigantisch verlies voorkomen. Als je ziet wat een incident je kost als je gehackt bent, dat is niet te onderschatten. Zeker als je met vertrouwelijke klantgegevens werkt. Toen in oktober uitkwam dat de Britse telecomprovider TalkTalk was gehackt, kelderden de aandelen met dertig procent. Een grote breuk in vertrouwen kan heel veel ellende opleveren.”

Die afweging wordt binnenkort misschien een stuk makkelijker voor veel ondernemers. Vanaf 1 januari 2016 zijn nieuwe regels van kracht die de Autoriteit Persoonsgegevens (voorheen College Bescherming Persoonsgegevens) meer slagkracht moet geven. De nieuwe wet verplicht bedrijven beveiligingsincidenten te melden bij de overheid. Bedrijven kunnen een boete krijgen van maximaal 820.000 euro als ze ernstige privacyschendingen niet melden. Als de problemen bij Phone House en Media Markt niet gauw opgelost worden, zou dat weleens een dure vergissing kunnen worden.

Ruwhof is blij met de nieuwe wet. "Beveiliging wordt zo een veel makkelijker verhaal, niet meer zo vrijblijvend. Een test is veel goedkoper dan een boete. Dan wordt het ineens een business case."