Cybersecurity in Amerika – een leerzame uphill battle

In juni 2015 maakte het Amerikaanse Office of Personnel Management (OPM) bekend slachtoffer te zijn geworden van een kwaadwillig datalek. Als omvang van het lek werden 4 miljoen records genoemd, enkele weken later bleek 21 miljoen een juistere inschatting te zijn.

Zoals zo vaak bij falende overheidsdiensten werden er snel wat mensen de laan uit gestuurd in de hoop dat een andere leiding zou zorgen voor een betere cultuur. Nu ruim een jaar later is er een update gegeven voor het Congres. Dat levert een aantal voorspelbare quotes op die alles zeggen over de impact op langere termijn van echt professionele hacks en de snelheid waarmee een overheid in staat is te reageren. In hoeverre dit beeld ook opgaat voor bijvoorbeeld de Nederlandse overheid is niet te zeggen.

Om te beginnen heeft de diefstal er toe geleid dat men werk is gaan maken van encryptie. De bedoeling was de “social security numbers” van alle geregistreerden voor het eind van 2017 encrypted te hebben. Wat daar dus staat is dat OPM de SSN’s unencrypted kon opslaan en dat dat voor een onbekend deel van de database ook is gebeurd. Hoe dat mogelijk is dat het systeem die “optie” kent blijft onbekend – fascinerend is het wel.

Een andere mooie quote afkomstig van de CIO van defensie die gevraagd werd naar de actuele status van de cybersecurity bij OPM is “Right now it is an uphill fight”, maar voegde hij er aan toe, we hebben inmiddels wel overal 2FA doorgevoerd. Ook daar staat dus weer tussen de regels dat het voorheen niet het geval was.

De indruk van de hoorzitting is dat er bij OPM echt heel veel houtje-touwtje oplossingen waren, geen duidelijke structuren en vooral veel achterstallig onderhoud op de meest essentiële punten. Dat heeft geleid tot een datalek van grote omvang, een reputatie die deuken heeft opgelopen en – heel voorspelbaar ook – op delen leegloop van de organisatie. De CIO heeft het met zoveel woorden gezegd: van de goede mensen die ik had zijn er de nodige vertrokken en ik heb niet de middelen en mogelijkheden gelijkwaardig talent binnen te halen.

Dat laatste is iets dat de lezer mag onthouden: personeel dat de deur achter zich dicht trekt in reactie op een datalek. Ook dat hoort bij de impact van een dergelijk incident en het kan je bedrijfsvoering hard raken.

About the author

Avatar

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.