Incidenten kunnen grote
gevolgen hebben
9 Achtergrond
RABOBAND NUMMER 22/15 NOVEMBER 1993
Op een verjaardag was de Rabobank onderwerp van gesprek. De bank zou niet zorg
vuldig omgaan met informatie over cliënten. Iemand bleek overzichten van effecten
portefeuilles in zijn bezit te hebben. Uit onderzoek bleek dat het ging om test-output van
gefingeerde portefeuilles en diensten die door onzorgvuldigheid van een derde niet was
vernietigd. Regelmatig komen dit soort incidenten voor. Hoe ga je om met zulke
situaties? Het derde en laatste artikel in de mini-serie over informaticabeveiliging.
In het verleden is ingebroken in het Mira-
systeem en werden er niet geautoriseerde be
stellingen gedaan in Best. 'Dat is een voor
beeld van een incident', zegt lan Willem Slij
per, Information Security Officer Particulie
ren. 'Iedereen heeft wel een gevoel wat er met
een incident wordt bedoeld. Toch valt het niet
mee een incident te omschrijven. Dit komt
omdat er zoveel verschillende soorten inci
denten zijn. De dikke Van Dale omschrijft een
incident als een hindernis of een storend voor
val. Voor de Rabobankorganisatie kan zo'n
incident schade veroorzaken. Een informati-
ca-incident kun je daarom beschrijven als een
een gebeurtenis op informaticagebied waaruit
voor de Rabobank schade kan ontstaan.'
Incident of niet?
'Door samenspanning was bijna ten onrechte
f 87 miljoen overgeboekt naar het buitenland',
vertelt Slijper. 'Doordat een medewerker alert
reageerde en snel aan de bevoegde instanties
meldde dat er iets raars plaatsvond, kon dit wor
den voorkomen. Ook hebben we wel eens een
melding gehad dat er zou worden ingebroken
op ons netwerk. Door snel te reageren is dat
niet gebeurd. Daarnaast hebben we een aantal
keren te maken gehad met virusbesmettingen.
In al die gevallen is het volstrekt duidelijk dat er
sprake is van een incident. Ook als je PC is ge
stolen of een aantal diskettes is ontvreemd, is er
nauwelijks discussie mogelijk. Vaak is het ech
ter niet zo helder of er sprake is van een incident.
Zo kan een PC raar doen, wat kan wijzen op een
Telefoonnummers bij incidenten
>- Meldpost Operationele Ondersteuning
030-908911
>- Crisismanagement en Fraudebestrijding
030-903333
Voorlichting en Externe Betrekkingen
030-902822
Het is volgens Slijper niet altijd makkelijk
om een incident te melden.
mogelijke virusbesmetting. Als bij het aanlog
gen de user-id geblokkeerd is, kan dat erop dui-
den dat iemand geprobeerd heeft je wacht
woord te raden. Ook kun je bij het aanloggen
de datum, die aangeeft wanneer voor het laatst
aangelogd is, een tijdstip aangeven waarop je
niet hebt gewerkt. Dat kan erop wijzen dat er
een computerinbraak heeft plaatsgevonden of
dat een ander van je user-id gebruik heeft ge
maakt. Verder kunnen er onjuistheden in ge
gevens voorkomen. Dit kan veroorzaakt zijn
door fouten in de software, manipulatie of ge-
woon door slordigheid.' Ook signalen uit de
omgeving zijn soms belangrijk. Hoe vaak komt
in een privé-gesprek de Rabobank niet aan de
orde. Slijper: 'Soms hoor je dan zaken waarvan
je denkt dat kan toch niet. Daar zijn we toch te
gen beveiligd, of: Dat had niet mogen gebeuren.
Hoe zijn ze dat nu te weten gekomen.'
Een incident, wat dan?
Wat moet je doen als je merkt dat er sprake is
van een incident? Slijper: 'Stel bij het vermoe
den van een informatica-incident in eerste in
stantie je chef op de hoogte en schakel de be
heerder in van het systeem waarop het inci
dent betrekking heeft. Onderneem met deze
personen verdere actie.' Incidenten komen
volgens Slijper vaak onverwacht. 'Het zijn za
ken waar je als medewerker niet dagelijks mee
te maken hebt. Oplossen is meestal moeilijk.
Ga daarom als je een incident vermoedt nooit
alleen aan de slag, maar schakel deskundigen
in. Hiervoor zijn binnen Rabobank Neder
land diverse afdelingen opgesteld. Voor de
afhandeling van virusincidenten bij de plaat
selijke banken hebben we de meldpost Ope
rationele Ondersteuning. Daarnaast is er de
activiteit Crisismanagement en Fraudebe
strijding. Deze afdeling zorgt voor het afhan
delen van incidenten binnen de Rabobankor
ganisatie. Als het een informaticabeveiligings-
incident binnen Rabobank Nederland betreft,
zijn er ook nog per aandachtsgebied Infor
mation Security Officers beschikbaar.
Niet zelf onderzoeken
Slijper: 'Win als je een incident vermoedt des
kundig advies in. Daardoor kan de schade
worden beperkt. Ga vooral niet zelf op on
derzoek uit. Door ondoordacht handelen in
dit soort situaties wordt de kans op schade
vergroot. Vaak wordt dan onopzettelijk ma
teriaal vernietigd. Hierdoor kan bewijsmate
riaal verloren gaan. Ook kan de reconstructie
van het incident worden bemoeilijkt. Dan is
het problematisch om inzicht te krijgen in de
maatregelen die noodzakelijk zijn om soort
gelijke incidenten in het vervolg te voorko
men.' Het is volgens Slijper niet altijd makke
lijk om een incident te melden. 'Zeker niet als
je het gevoel hebt dat je er schuld of mede
schuld aan hebt. Bijvoorbeeld als het wordt
veroorzaakt door een virus op je PC na het ko
piëren van een spelletje voor de kinderen
thuis. Of door het wachtwoord dat je hebt ver
stopt in je bureaula om het niet te vergeten.
Door deze incidenten niet te melden zijn de
uiteindelijke gevolgen voor de organisatie,
maar ook voor jezelf, altijd groter dan als de
ze direct worden gemeld. Soms is er helemaal
nog geen incident, maar kan er door onzorg
vuldig handelen één worden veroorzaakt. Zo
kan het voorkomen dat door journalisten spe
cifieke vragen worden gesteld over de beveili
gingskwaliteit van een produkt. Onzorgvul
dige informatieverstrekking hierover kan lei
den tot negatieve publiciteit in de pers.'
Nooit zelf naar de pers
Soms is het lastig om na te gaan of een voorval
ernstig is. 'Zo kan je user-id geblokkeerd zijn
doordat iemand anders dat heeft geprobeerd te
gebruiken', zegt Slijper. 'Het is dan dus niet ge
lukt om het wachtwoord te kraken. Maar mis
schien lukt het een volgende keer wel. Ook kan
het zijn dat iemand een lijst met user-id's heeft
die hij systematisch afwerkt. Melding van het
incident kan helpen bij het vaststellen waar zo'n
lijst vandaan komt en wie de inbreker is. Kort
om, bespreek in geval van twijfel de situatie
met de chef en de systeembeheerder.' De laat
ste jaren zijn banken nogal eens in de publici
teit gekomen door perikelen rond de geld
automaten en de privacy van cliënten. Ook ap
plicaties als Telebankieren zijn 'publiciteitsge-
voelig'. Slijper: 'Journalisten kunnen over deze
zaken vragen stellen. Verstrek echter nooit zelf
informatie over incidenten maar verwijs naar
de afdeling Voorlichting en Externe Betrek
kingen van Rabobank Nederland in Utrecht.
Deze afdeling zal de vragen in samenwerking
met een deskundige goed afhandelen.' -<