Security kan een wonderlijke wereld zijn, zo blijkt wel weer. Stel je een sales pitch voor van een software tool die netwerken en werkstations controleert op malware. Verkoper: “Ik heb hem even aangezet om te laten zien waar we allemaal naar kijken en…uhh…ojee….uhhh….het lijkt erop dat jullie een flink probleem hebben”. Het verhaal gaat dat op deze manier een van de grootste hacks van overheidsdata aller tijden is ontdekt. Een juweeltje voor een vrijdagmiddagblog.
Betere reclame voor het product CyFIR van het Amerikaanse bedrijf CyTech lijkt haast niet denkbaar. Al vraag ik me af of de oorspronkelijke potentiële klant het product nog heeft gekocht. En hoe blij deze nu met CyTech is. Want de betreffende potentiële klant, het Amerikaanse Office of Personnel Management (OPM), wat een landelijke HR-afdeling is voor de Amerikaanse overheid, bevindt zich momenteel in een werkelijk onvoorstelbare ‘shit-storm’.
Het lijkt er nu op dat er een jaar lang malware heeft gedraaid bij de OPM en er in elk geval van 4 miljoen medewerkers personeelsdossiers zijn buitgemaakt, waaronder burgerservicenummer, adres, geboortedatum, loopbaan- en salarisgegevens, ziektekostenverzekering, levensverzekering, pensioeninformatie, leeftijd, geslacht, ras, en lidmaatschap van een vakbond.
Alsof dat nog niet ernstig genoeg is, wordt er ook beweerd of geïnsinueerd dat er compleet ingevulde SF-86 formulieren kunnen zijn gestolen. Die formulieren bevatten extreem gedetailleerde informatie die wordt verzameld voor de security background checks die worden uitgevoerd ten aanzien van werknemers die voor hun functie beschikking krijgen over zeer gevoelige informatie. Zoals ook Snowden vanuit zijn functie beschikking had over zeer gevoelige informatie. Ironisch genoeg zouden deze draconische checks, waar de nodige leugendetectoren aan te pas komen maar waarvan desalniettemin de effectiviteit ter discussie staat, juist een achilleshiel kunnen vormen tegenover vijandige spionagediensten. Wanneer die kroonjuwelen immers door de tegenpartij worden buitgemaakt, worden je agenten uiterst kwetsbaar voor chantage en dubbelspionage.
Het lijkt erop dat we de komende periode Netflix en Homeland niet meer aan hoeven zetten voor spannende spionageperikelen. Life immitating art.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.