ORANJESTAD – Verschillende belangrijke organisaties op Aruba zoals water-, stroom- en telecommunicatie-bedrijven lopen onnodig gevaar voor cyberaanvallen. Zelfs de eigen Veiligheidsdienst, Openbaar Ministerie en NCTVI, waarschuwt cyberexpert Erik Jan Koedijk.
U hebt een onderzoek gedaan naar verschillende cruciale bedrijven. Hebt u deze Arubaanse organisaties gehackt?
“Nee. Dat wil ik echt benadrukken: ik heb niets gehackt. Want dat zou ook illegaal zijn. Ik heb gebruik gemaakt van door de Nederlandse overheid gecreëerde of mede bedachte scanningsmogelijkheden. Deze zijn openbaar te vinden via onder andere internet.nl.”
En wat zijn uw bevindingen?
“Van de 25 organisaties heb ik van ongeveer 10 à 15, een rapportje gemaakt. Die kunnen ze gewoon van mij krijgen en met adviezen om het te repareren. 25 procent zijn details die in een paar minuten zijn op te lossen. Er staat gewoon en klein dingetje verkeerd ingesteld. Maar bij 75 procent is de e-mailveiligheid niet goed ingericht. Dus daar is meer aan de hand en heb je wellicht een paar uur nodig om het goed in te richten. Maar gewoon te doen en niet kostbaar.”
Kunt u specifieker zijn?
“Ik heb vooral gekeken naar de veiligheidsinstellingen voor e-mail. Dit is een hot topic. Want heb je dat niet goed ingesteld, dan kunnen cybercriminelen meer succesvol zijn in het implementeren van bijvoorbeeld ransomware (gijzelsoftware) bij organisaties of inwoners.”
“Tijdens die scans kwam ik ook andere, onveilige zaken tegen. Zoals systemen die publiekelijk bereikbaar zijn. Maar wat ik vooral heb gezien, is dat criminelen de naam van de organisaties kunnen misbruiken waardoor inwoners en organisaties kwetsbaar zijn voor hen. Bijvoorbeeld, criminelen kunnen zich voordoen als een werknemer en dan mailt die crimineel namens die organisatie. Zoals het geval is bij de Veiligheidsdienst van Aruba.”
‘Een cybercrimineel kan namens de Veiligheidsdienst Aruba mailen’
De Veiligheidsdienst, zegt u. Maar die doet juist bewustwordingscampagnes over cybersecurity op Aruba?
“Ja, maar die heeft dus een paar instellingen die verbeterd kunnen worden. Een cybercrimineel kan namens de Veiligheidsdienst* mailen naar een andere organisatie of burgers met: ‘we adviseren dit te doen om je te beveiligen, klik op dit linkje’. Mensen vertrouwen dat. Dit probleem is op te lossen in een paar minuten; daarna is het onmogelijk om voor cybercriminelen te misbruiken.”
Hoe zit dat bij de andere belangrijke organisaties die u hebt onderzocht?
“Hetzelfde. Zoals bij overheid.aw (portaal van de Arubaanse overheid, red.), maar ook de organisaties die grote hoeveelheden data van burgers verwerken. Zoals de belastingdienst, zorgverzekeraar AZV en ook het Nationaal Centraal Bureau Terrorismebestrijding, Veiligheid en Interpol (NCTVI). Die heeft geen website, maar hun email is ook niet goed beveiligd. Je kunt waarschijnlijk gewoon namens de NCTVI gaan e-mailen. Hetzelfde geldt voor het ziekenhuis.”
Het Horacio Oduber Hospitaal is al een keer slachtoffer geweest van een ransomware-hack met miljoenen aan schade. Hebben ze het nog steeds niet op orde?
“Een aantal dingen niet, nee. Ik ben langs geweest om uit te leggen wat de verbeteringen daar moeten zijn. Kijk, beveiligd zijn, is een breed begrip. Ik zeg niet dat het ziekenhuis zijn deur open heeft staan voor hackers. Maar ook hier waren de e-mailinstellingen niet correct ingesteld en dan kunnen criminelen dus bijvoorbeeld inwoners misleiden. In een tijd waar iedereen het nog steeds over corona heeft, een belangrijke maatregel om te treffen, vind ik.”
‘Bij het ziekenhuis waren de e-mailinstellingen niet correct ingesteld’
“Op een gegeven moment moeten deze organisaties echt gaan verbeteren. Want anders heeft het helemaal geen zin om bewustwording naar je inwoners te gaan doen. Je moet eerst je eigen spullen op orde brengen.”
Wie is Erik Jan KoedijkErik Jan Koedijk is nu crisismanager ICT en databeveiliging van het overkoepelde orgaan van de GGD. Hij heeft ook zijn eigen bedrijf waarmee hij al vele jaren trainingen en lezingen geeft, onder meer over cyberveiligheid. Hij zit ook in het adviesorgaan van de Nederlandse politie. Sinds de uitrol van internet (jaren 90) is hij bovendien bezig met het veiliger maken van scholen, bedrijven en andere organisaties. |
Waarom vond u het nodig om dit te doen?
“Ik kreeg vorig jaar tijdens een van de Cyber Crime Awareness Masterclass die ik voor een organisatie gaf, een vraag hierover. Of ik ook wat kon zeggen over de staat van de organisaties op Aruba. Ik heb geen onderzoeken kunnen vinden, dus beloofde in maart dit jaar er tijd voor vrij te maken. Dat heb ik gedaan.”
“Maar gaat me ook gewoon aan het hart. Want je ziet aan de ene kant dat bijvoorbeeld overheden burgers verplichten om digitaal te communiceren. Dat moet je dus aan de andere kant als overheid je zaakjes ook op orde hebben.”
Wat waren eigenlijk de reacties op uw onderzoek?
“Zorgwekkend en aanvallend, de meesten schoten meteen in verdedigingsmode. Berichten die op Facebook rondgaan. Dit zijn rode vlaggen. Want waarom niet openstaan voor kritiek en de dialoog aangaan? Het gaat om het beschermen van burgers en ik heb juist in mijn onderzoek iets kleins proberen aan te pakken. Deze reactie betekent dat ze het niet weten en wellicht ook niet willen weten.”
‘De eilanden zijn al targets. De hack op het ziekenhuis van Aruba, en nu weer GEBE op SXM voor 52 miljoen gegijzeld’
Lokale experts vinden dat u van Aruba nu een doelwit hebt gemaakt voor hackers.
“Dat zou zijn gebeurd, als ik de zwakheden van de organisaties zomaar had gepubliceerd. Maar ik heb ze juist de kans gegeven om het eerst te repareren voor te publiceren. Ik heb ook makkelijk vindbare dingen gezocht die ook niet afhankelijk zijn van budget en vrijwel direct kunnen worden opgelost.”
“Daarbij, de eilanden zijn al targets. De hack op het ziekenhuis van Aruba, zoals je al zei. En nu weer GEBE (het enige water- en stroombedrijf Sint-Maarten), gegijzeld voor 52 miljoen dollar door hackers met de dreiging tot verdubbeling van dat bedrag als er niet snel betaald zou worden.”
“Daarom ben ik mijn onderzoek ook begonnen met veiligheidsinstellingen van email, de basis en hoe hackers dus meestal binnenkomen. Die basis moet eerst op orde. En de overheid en vitale organisaties moeten dat allang op orde hebben, vind ik.”
Lees ook: Lopen cruciale bedrijven gevaar voor cyberaanvallen? Arubaanse experts ontkennen |
Bent u deskundiger dan de Arubaanse experts?
“Nou, ik denk dat ik best veel achtergrond heb in digitale beveiliging. Je ziet bij deze organisaties dat het vaak ook te maken heeft met de diensten van hun ICT-leveranciers.. Als jouw kraan lekt, bel je de loodgieter, en als het goed is, blijft het erna droog. Dan heeft de loodgieter zijn werk goed gedaan en dat is heel zichtbaar. Bij digitale veiligheid is het anders, je moet er dan bij een leverancier vanuit gaan dat er de juiste kennis wordt geleverd..”
“Ik heb ook naar leveranciers op Aruba gekeken, maar daar doe ik verder geen uitlatingen over. Dat is niet de scope van mijn verhaal. Ze mogen me zeker bellen over wat ik bij hen of hun klanten heb gevonden.”
Maar u wordt gezien als een buitenstaander, had u deze reacties verwacht?
“Ik kom al sinds 2017 op Aruba om trainingen te geven. En nee, ik wil niet overkomen als een of andere macamba die het allemaal beter weet. In Nederland is ook nog niet alles op orde. Maar in Nederland gaan we het gesprek aan, leren van elkaar en zijn we dankbaar als er dingen worden aangekaart. De Nederlandse overheid geeft je zelfs een T-shirt met ‘I hacked the Dutch Government and all I got is this lousy t-shirt’. Die is erg gewild, dus helpt de community graag!”
Reacties van onderzochte organisatiesDe bevindingen van Koedijk over ministeriejustitie.com, nctvi.aw, gobierno.aw, webaruba.com, elmar.aw en setar.aw zijn door deze organisaties voornamelijk afgedaan als ‘niet waar, niet belangrijk of van laag risico’. OM slachtoffer van spoofing “Het Openbaar Ministerie houdt zich aan de uitgangspunten cybersecurity van de overheid. Het OM werkt hiertoe nauw samen met het NCTVI en andere cyberveiligheidspartners en heeft cybersecurity als hoogste prioriteit.” Veiligheidsdienst |