Afmeldcodes, adresgegevens en alarmstatus van duizenden alarmsystemen waren door een beveiligingslek een jaar lang voor kwaadwillenden toegankelijk via een niet goed beveiligde server. Dit betekent dat kwaadwillenden alarmmeldingen konden afmelden en daarmee ongemoeid toegang konden krijgen tot supermarkten, banken en bijvoorbeeld een drukker van waardepapier. Dat meldt BNR, dat door een softwareontwikkelaar over het probleem werd ingelicht.
'Criminelen kunnen door fouten in app voordeur openzetten', vertelt Ad Buckens, CGI Nederland.
Het aan het internet koppelen van systemen zonder adequate maatregelen brengt risico's met zich mee. Soms omdat het interessant is om bijvoorbeeld de opbrengst van je zonnepanelen te zien. In andere gevallen, omdat het noodzakelijk is om op afstand de beveiliging van diverse objecten te kunnen waarborgen. In die gevallen is het zaak voldoende beveiligingsmaatregelen te treffen en deze ook periodiek te testen.
Voor cybercriminelen is het een potentieel nieuw businessmodel om digitale kwetsbaarheden te gebruiken om fysiek in te breken. Het is al lang geen uitzondering meer dat digitale systemen ook de mogelijkheid geven een fysiek effect te hebben. Dit voorbeeld maakt het heel concreet.
Hoe nu verder? Het lek is gedicht en naar zeggen zijn de afmeldcodes gereset. Zoals Kamerlid Kathmann aangeeft is het belangrijk om het Security by Design toe te passen. In de praktijk komt het erop neer dat organisaties ieder systeem dat ze in gebruik nemen veilig moeten ontwikkelen, beheren en gebruiken. Awareness is daarbij belangrijk, maar gaat zeker grotere organisaties onvoldoende helpen, omdat iedereen een fout kan maken. Om tijdig te kunnen reageren op dit soort incidenten, moeten de technische maatregelen op orde zijn en moeten de processen achter coorinated vulnerability disclosure adequaat functioneren.