HITB 2019 – terugblik keynote Runa Sandvik

Donderdag en vrijdag stond de Amsterdamse beurs in het teken van de Hack in the Box security conferentie. De twee dagen volgden op een aantal dagen met trainingssessies die elders werden gehouden. Het conferentie deel telt elk jaar honderden bezoekers en dat komt mede door het interessante programma.

Dit jaar deed de HITB organisatie voor de tiende keer Amsterdam aan. Bij het jubileum is kort stilgestaan, het is immers niet de belangrijkste reden voor bezoekers naar de Beurs van Berlage te komen. Waarom ze dat wel doen is vanwege het volle programma met uiteenlopende talks, de netwerk mogelijkheden en natuurlijk de diverse stands in het HAXPO deel waar onder andere solderen, lockpicking en retrogaming mogelijk was.

Bescherming

De tweede dag startte met de keynote van Runa Sandvik, Senior Director of Information Security bij The New York Times en verbonden aan zowel de Freedom of the Press Foundation als de review board van Black Hat Europe. Sandvik’s talk ging over “securing journalists” (slides). De titel suggereert dat het daarbij gaat om het beschermen van journalisten, maar tijdens de talk werd al snel duidelijk dat de scope breder was.

Sandvik heeft verteld op welke manier nieuwe medewerkers van de NYT de basis principes van veilige communicatie krijgen bijgebracht. Daar was voorheen 60 minuten voor gereserveerd, sinds kort is dat teruggebracht naar 30 minuten. In die beperkte tijd kan nooit alles worden verteld, maar schijnbaar is vele tijd niet het belangrijkste.

Onbruikbare basisregels

Wat ze namelijk ook duidelijk maakte is dat een aantal basisregels voor infosec onbruikbaar zijn voor journalisten. Een simpel voorbeeld is het klikken op onbekende links of reageren op mail van onbekende afzenders. In normale omgevingen is dat sterk af te raden, voor journalisten is het pure noodzaak dat wel te doen. Zonder dat zou de krant (en de website) nooit gevuld raken.

Best practise in plaats van exoten

Waar ze ook bij stilstond was het niveau van veiligheid. Sandvik heeft een pleidooi gehouden voor vertrouwen op bekende protocollen (“industry best practices”) en eigen bouwsels of exoten niet te gebruiken. Niet alleen is de kans op onvolkomenheden te groot, de kans dat alle partijen over de zelfde applicaties en kennis beschikken is gewoon te gering.

Beide adviezen zijn terecht, maar zullen niet door iedereen in de infosec community met open armen zijn ontvangen.

Misbruik tegengaan


Een andere punt waar Sandvik aandacht aan besteedde was het veiliger maken van de bestaande communicatie trajecten en het zorgen voor hotlines of shortcuts met bijvoorbeeld de social media bedrijven. Die verkorte communicatie is nodig om misbruik van accounts snel de kop te kunnen indrukken en vooral ook hack pogingen te voorkomen. Dat er dagelijks dergelijke pogingen worden ondernomen door botnets of individuen spreekt voor zich.

Tenslotte heeft Sandvik nog benoemd wat er nodig is om de vele aanvallen die op journalisten plaatsvinden, zowel fysiek als online, het hoofd te kunnen bieden. Bij de NYT krijgen journalisten te horen hoe ze de digitale sporen naar de privé omgeving structureel en blijvend kunnen verkleinen en wissen.

Meer dan de NYT journalist

Een groot deel van de punten die Sandvik aanstipte waren niet uitsluitend bedoeld om de journalist, als ontvanger en verwerker van tips en nieuws, te beschermen. De bronnen, waar dan ook ter wereld, profiteren er ook van als de ontvanger in staat is meer dan een toepassing op een veilige manier te gebruiken.

Na afloop van de keynote is Sandvik gevraagd of de NYT deze informatie ook deelt met andere kranten, vooral dan de kleinere titels of dat er een vorm van samenwerking is. Zij antwoordde dat de kennis wel wordt gedeeld, maar dat het niet tot de standaard dienstverlening van de NYT hoort de sector op te voeden.

Omdat de NYT journalisten met meer security kennis op pad gaan heeft het echter al positieve invloed op de rest van de sector. De concullega journalisten willen immers niet achterblijven of overkomen als partijen waarmee slechts onveilig is te communiceren. Desgevraagd verwacht Sandvik dat hierdoor uiteindelijk consumenten en bedrijven doorkrijgen dat de basics van “securing journalists” ook voor hen waardevol zijn.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.