Er is een oud gezegde: “de zoon van de schoenmaker loopt altijd op blote voeten.” Het is een vreemde wending van het lot dat degenen die het dichtst bij de bron staan, vaak de voordelen mislopen. In een hedendaagse echo van dit spreekwoord bevond de Cybersecurity and Infrastructure Security Agency (CISA) zich in een lastig parket.
Wat is de reden achter het CISA-datalek?
In februari ontdekten ze dat twee van hun systemen waren gehackt. De dader? Kwetsbaarheden in Ivanti-producten. Dit dwong CISA tot het nemen van de drastische stap om deze systemen af te sluiten, die naar alle waarschijnlijkheid een sleutelrol speelden bij de ondersteuning van de Amerikaanse infrastructuur.
CISA is niet zomaar een bureau. Het is de waakhond van het land voor cyberveiligheid. Het werd in november 2018 opgericht onder het Department of Homeland Security en was een directe reactie op de toenemende alarmering over cyberdreigingen en de veiligheid van de vitale infrastructuur van het land. Het idee was eenvoudig maar ambitieus: de Amerikaanse verdediging in de digitale wereld versterken.
Een woordvoerder van CISA bevestigt de inbreuk en wijst op het toegangspunt van de hackers: kwetsbaarheden in Ivanti’s interne tools. Ivanti, met hoofdkantoor in Utah, is een belangrijke speler in de IT-beveiligingssector en biedt zijn systeembeheer- en beveiligingssoftware aan een indrukwekkende lijst van 40.000 klanten. Deze variëren van zwaargewichtorganisaties tot overheidsinstanties verspreid over de hele wereld, zoals op de website wordt vermeld.
CISA kwam snel in actie om de schade te beperken.
“De impact bleef beperkt tot twee systemen, die we meteen offline hebben gehaald. We blijven onze systemen upgraden en moderniseren, en er is op dit moment geen operationele impact”, aldus CISA. Ze hielden de kaarten echter dicht bij hun borst, niet onthullend of er toegang tot gegevens was verkregen.
Het record was de eerste die de bonen op de bres morste. Ze kregen de primeur van een deskundige, die onthulde dat de cyberindringers zich een weg hadden gebaand naar twee systemen die integraal deel uitmaakten van de Infrastructure Protection (IP) Gateway. Deze gateway is geen gewone database; het is een schat aan kritische gegevens en hulpmiddelen die cruciaal zijn voor het opschalen van de infrastructuur van het land. En de Chemical Security Assessment Tool (CSAT)? Dat is waar de VS zijn best bewaarde industriële geheimen bewaart, waaronder de lijst van chemische fabrieken die als risicovol zijn gemarkeerd en gedetailleerde veiligheidskwetsbaarheidsbeoordelingen.
Toch is er een beetje een duister gebied. CISA heeft het idee dat deze specifieke systemen uit het elektriciteitsnet zijn gehaald, niet expliciet bevestigd of weggewuifd. De identiteit van de aanvallers blijft gehuld in mysterie, maar het pad van de inbreuk was duidelijk, waarbij gebruik werd gemaakt van recente gaten in het pantser van Ivanti Connect Secure VPN en Ivanti Policy Secure-producten. En wie heeft deze kwetsbaarheden opgemerkt? CISA zelf, in een wending die een beetje ironisch is.
CISA had de softwareproblemen van Ivanti al ruim vóór dit incident in de gaten. Op 1 februari werd er niet alleen een vlag gehesen; het vaardigde een richtlijn uit aan alle Amerikaanse overheidsinstanties om de snoeren van Ivanti Connect Secure en Ivanti Policy Secure door te snijden. Daar bleef het niet bij, een paar weken later werd er alarm geslagen dat dreigingsactoren actief misbruik maakten van een drietal Ivanti-kwetsbaarheden, met de tags CVE-2023-46805, CVE-2024-21887 en CVE-2024-21893. Het is alsof CISA de onweerswolken zag samenpakken, maar toch in de regen terechtkwam.
Niemand is immuun voor cyberdreigingen
Het is een dilemma in het digitale tijdperk dat een universele waarheid onderstreept: niemand is immuun. De uitdaging voor industrieën over de hele wereld is niet alleen om te reageren op inbreuken, maar om ze te anticiperen en te dwarsbomen, en zo het tij te keren in deze voortdurende strijd om cyberveiligheid.
Een selectie van zwaargewichtnamen uit verschillende sectoren – denk na Cencora, Prudentieel financieel, bank van Amerika, HPE, leningDepot, Trello, Metro, Voetbal Australië, GezondheidECEn Fidelity Nationale Financiële– zijn in 2024 allemaal verstrikt geraakt in het net van gegevensbeveiligingsincidenten.
Afbeeldingscredits: Kerem Gülen/Midjourney
