Bescherming tegen onveilige USB-sticks

Met regelmaat maken media melding van beveiligingsincidenten waarin USB-sticks centraal staan. Meldingen van verlies van USB-sticks met gevoelige gegevens zijn algemeen bekend. Minder bekend zijn incidenten waarbij gemanipuleerde USB-sticks zijn gebruikt om systemen te besmetten en gegevens te stelen. Naast het verlies van (gevoelige) informatie of infectie met schadelijke virussen kunnen dergelijke incidenten ook imagoschade tot gevolg hebben.

Dit rapport analyseert de risico’s van USB-sticks en geeft verschillende technische oplossingen om de risico’s te beperken. De beschreven maatregelen geven op zich geen 100 procent veiligheid en hebben pas effect als zij worden ingebed in een sluitend stelsel van organisatorische, procedurele en technische beveiligingsmaatregelen.

Dit onderzoek naar de risico’s van onveilige USB-sticks is primair verricht voor netwerkbeheerders van rijksoverheidsorganisaties. Gezien het belang van de materie is besloten dit rapport voor een bredere doelgroep ter beschikking te stellen.

Samenvatting
Bedrijfssystemen kunnen met behulp van onveilige USB-sticks eenvoudig worden besmet en gegevens kunnen vervolgens worden gestolen. Het risico is het grootst voor Windows systemen waarop de ‘autorun’ en ‘autoplay’ functies standaard actief zijn. Bij dergelijke systemen is de dreiging aanwezig dat onbedoeld schadelijke software wordt gestart. Een USB-stick is een populair medium voor cybercriminelen, omdat het op eenvoudige wijze toegang verschaft tot systemen en netwerken:

een nietsvermoedende gemeenteambtenaar steekt, tijdens een (Bibob)intakegesprek, een daarbij door een vergunningsaanvrager of -houder overhandigde, onveilige USB-stick in het gemeentelijke systeem om digitaal aangeleverde documenten te kopiëren, waarna schadelijke programma’s direct en ongemerkt worden uitgevoerd, of

een gebruiker wordt verleid schadelijke programma’s van de stick te starten zonder dat hij zich hiervan bewust is.

Om deze specifieke dreiging weg te nemen adviseert het NBV om de ‘autorun’ en ‘autoplay’ functionaliteit uit te schakelen. Afhankelijk van de aanwezige infrastructuur en aanwezige beveiligingsapplicaties zijn hiervoor de volgende oplossingen mogelijk:

1.gebruik veilige registerinstellingen of group-policies voor Windows systemen
2.gebruik beveiligingsfuncties van reeds aanwezige beveiligingsprogrammatuur (‘end point protection’)
3.gebruik specifieke beveiligingsprogrammatuur gericht op mobiele gegevensdragers.

Het NBV heeft de eerstgenoemde oplossing getest en vastgesteld dat deze effectief is tegen het onbedoeld starten van schadelijke software. Dit rapport presenteert de oplossing van gebruik van veilige registerinstellingen of group-policies voor Windows systemen, inclusief de testresultaten. Verder wordt de effectiviteit van de oplossing 2 en 3 besproken.