Vorig jaar zijn er 110 miljoen sets aan persoonlijke informatie gestolen bij de hack van Target, de Amerikaanse versie van de V&D. Deze hack is groter dan de hack van TJ Maxx in 2007. Alleen de hacks van Adobe (ook in 2013) en Heartland (in 2008) waren groter. Wat de Target hack zo bijzonder maakt, is dat de aanval werd uitgevoerd door de point-of-sale-apparaten (POS), de kaartscanners, te besmetten met malware. De gegevens van iedereen die in de kerstperiode een kaart heeft gebruikt of aangevraagd in een van de winkels, zijn gestolen. De andere drie grote hacks richtten zich op de centrale databases.
De grens van het netwerk is, sinds er computernetwerken bestaan, de belangrijkste beveiligingslaag, zoals de muren rondom het oude Jericho. De gedachte hierachter klinkt heel logisch: ‘zolang de ‘bad guys’ maar niet op het netwerk kunnen komen, zijn we veilig’. Zo dachten de inwoners van Jericho ook dat ze veilig waren achter hun muren. Hoe dat afliep, is genoegzaam bekend. Inmiddels raakt de beveiligingswereld ervan doordrongen dat poorten, muren en slotgrachten aan de grenzen niet werken. Want als de hackers eenmaal door de netwerkgrens zijn gebroken, hebben ze volledig vrij spel. Aan dit inzicht heeft de in 2004 opgerichte denktank met de toepasselijke naam het Jericho Forum, het zijne bijgedragen. Hun missie is kennelijk geslaagd, want het Forum heeft zichzelf inmiddels ontbonden.
Centrale databases mogen dan beter beveiligd zijn, de vele randapparaten blijken nog een gevaarlijke achilleshiel. Gegevens werden gestolen vóór ze vercijferd in een database werden opgeslagen. Het gemak waarmee de POS-systemen bereikt konden worden – ook in het geval van andere hacks op winkelketens – is schrikbarend. Bij Target bleek de leverancier van de klimaatbeheersing in de winkels toegang te hebben tot het centrale netwerk van Target. Via deze route zijn de hackers binnengekomen. Dit is het keteneffect. Je beveiliging is dus zo sterk als die van je zwakste toeleverancier.
Met deze vaststelling voor ogen mag duidelijk zijn dat uitsluitend een beveiliging aan de grens zijn beste tijd heeft gehad. Na een grensdoorbraak moeten de hackers nog andere barrières slechten om apparaten te bereiken die zich binnen dat netwerk bevinden. Het is als bij moderne schepen. Dankzij de compartimentbouw zinkt het niet direct bij één lek. Systemen moeten qua beveiliging tot op zekere hoogte zelfredzaam zijn. Er moet veel meer encryptie worden toegepast. Alle gevoelige informatie hoort zo snel mogelijk vercijferd te worden of ‘tokenized’, vervangen door een voor de hacker betekenisloze referentie.
Of de ontbinding van het Jericho Forum ons gerust moet stellen, valt te betwijfelen. Het verhaal over de oudtestamentische stad leert ons weliswaar dat muren schijnveiligheid bieden. Het leert ons niet hoe we zwakke schakels in een keten moeten versterken.
