Smoke on the water en security-incidentafhandeling

Door Robert Metsemakers 17 dec 2019

In 'Smoke on the water' tonen de leden van de hardrockformatie Deep Purple zich ware riskmanagers, want ze volgen nauwkeurig de template voor een risicoanalyse. De beschreven en werkelijk plaatsgevonden brand leert securityprofessionals ook andere nuttige zaken.

De titel is voorbeeldig. Door zich daarin te beperken tot de objectief waarneembare rookwolk boven het water, vermijden ze te gehaast genoemde vermoedelijke oorzaken, verantwoordelijkheden, ‘schuldigen’ en daaruit resulterende financiële aansprakelijkstellingen. Een ‘neutrale’ titel verhoogt ook bij een security-incident de bereidheid bij een breed lezerspubliek om achteraf een incidentrapport te bestuderen en ervan te leren.

De eerste zin meldt duidelijk waar een en ander zich afspeelt (als eerste punt van de wat, waar, wanneer, waarom, wie en hoe die in een goede risico-analyse aan bod moeten komen). Dat is in Montreux, een kleine stad met ruim 25.000 inwoners. Zwitserland is op zich al geen goedkope plek - hun lage inkomstenbelasting moet immers ergens gecompenseerd worden - maar aan het meer van Genève wordt het zeker duur. Het staat op meerdere plaatsen in het lied: tijd is geld, een race tegen de klok en snelheid van handelen is geboden. Dit kennen wij van het managen van security-incidenten.

Deep Purple wilde met het album ‘Machine head’ hun uitstekende live-reputatie benutten. Van de Rolling Stones (een andere band – mocht u bij generatie X, Y of Z horen) hadden ze een mobiele opnamestudio gehuurd. Deep Purple wilde in het Casino van Montreux het album opnemen, live gespeeld, maar zonder publiek. Ze arriveerden een dag eerder en werden uitgenodigd op 4 december het optreden op het Montreux Jazz Festival van Frank Zappa & the Mothers of Invention bij te wonen. In datzelfde theater, maar helaas - zo bleek later - met publiek.

Gehuurde apparatuur in een vrachttruck, en dus buiten het pand, is een heel vroege vorm van cloudtoepassing. De achternaam van bandleider Frank bevat ‘app’ en zijn begeleidingsband, vernoemd naar ‘necessity is the mother of invention’ van Griekse filosoof Plato, hield zich met andere woorden bezig met resultaatgerichte ‘innovatie’. Dit zijn maar liefst drie IT-toepassingen waar security officers vaak de handen vol aan hebben. Dit omdat de toepassers ervan in hun enthousiasme de ermee samenhangende security- en privacyrisico’s weleens onderschatten. Of zelfs compleet vergeten, zodat de afdeling ‘security’ om 5 voor 12 nog even beveiliging moet toevoegen.

Tijdens het nummer ‘King Kong’ van FZ&TMOI schoot volgens het lied een fan een vuurpijl af, die in het houten dak van het Casino terecht kwam. Maar ooggetuige Peter Schneider schreef in 2009 dat het vermoedelijk geen vuurpijl uit een seinpistool was. Hoewel er toen minder gefouilleerd werd bij concerten dan nu was het ook niet zo dat men allerlei vuurwapens bij zich had. Volgens Peter gooide de aanstichter brandende lucifers in de lucht of schoot hij met zijn rechterwijsvinger een met de kop omlaag en verticaal op het strijkvlak met de linkerduim vastgeklemde lucifer weg. Hoe dan ook, de balken hingen laag boven de plaatsen achterin en zo vloog het houten dak in brand.

Toen de om zijn excentrieke humor bekende Frank Zappa in het Engels het publiek aanmoedigde om het pand rustig te verlaten, deed men dat - met de toenmalige taalbarrières in 1971 in Zwitserland - gelukkig massaal. Niet door de grote deur naast het podium, want het was onduidelijk of deze deur voor laden en lossen van apparatuur afgesloten was tijdens het concert. Het Casino had een glazen wand over de volle breedte van het pand, zoals ook een organisatie een uitgebreide internetzichtbaarheid kan hebben via web en app. Vaak is er dan een ‘cyberautoriteit’ aanwezig die bij een grote calamiteit zelfstandig en zonder bemoeienis van de directie kan besluiten om die internetzichtbaarheid tijdelijk geheel uit te zetten, totdat het securityprobleem voldoende is opgelost.

Een Zwitserse brandweerman brak met zijn bijl van binnenuit de ruiten, zodat het publiek kon vluchten door een halve of hele verdieping naar beneden te springen. Dus ‘people first’ qua prioriteit, zoals we dat leren uit het dikke CISSP-boek. Wonder boven wonder vielen er geen doden. Er waren wel snij- en brandwonden, maar slechts een klein aantal personen moest ermee naar het ziekenhuis. Wat betreft de attributie van het incident: de vermoedelijke dader uit Oost-Europa vluchtte na enkele dagen Zwitserland uit. Bij veel security-incidenten (cybercrime, BEC, dDOS, ransomware, spyware) speelt opzet of een menselijke fout een rol en ik adviseer tijdens de incidentafhandeling sporen en aanwijzingen over verantwoordelijke personen duidelijk te registreren. Of in elk geval de aanwezige logging niet uit te wissen bij het opnieuw installeren van de server(s).

‘Funky’ Claude Nobs, directeur van het Montreux Jazz Festival, hielp mee om mensen te evacueren. Ook bij een security-incident is het goed als het management zich betrokken toont en met hun aanwezigheid het moreel steunt van de securityspecialisten die een nacht of weekend moeten doorwerken om de IT-zaak weer aan de gang te krijgen. En het is naar mijn mening beter om die betrokkenheid niet te tonen door nieuwe verbeteracties te starten of lopende te stoppen, of door als (totale) leek op andere wijze nieuwe prioriteiten in de incidentoplossing op te leggen aan deskundige, ervaren security-experts.

Kort nadat iedereen uit het pand was, bereikte het vuur de verwarmingsruimte waarna een grote explosie volgde, daarna de uitslaande brand en toen, door de wind, kwam de rook boven het meer van Genève. Dat inspireerde bassist Roger Glover tot de titel SOTW, waar gitarist Ritchie Blackmore ter plekke de simpele gitaarriff bij bedacht. Eenvoudig, maar wereldberoemd, omdat iedere gitarist hem kan spelen en toepassen.

Door de brand moest Deep Purple uitwijken (nog een securityonderwerp) naar het Grand Hotel in Montreux om daar toch iets ‘op tape’ te krijgen. Toen analoog op bandrecorders, nu digitaal op een harddisk. Muzikanten en vooral hardrockbands zijn berucht om hun losse seksuele moraal aangaande ‘groupies’ (de fanatieke vrouwelijke fans). Toch gaat het tekstdeel ‘red lights, old beds, place to sweat’ over iets anders. In het Grand Hotel, de uitwijklocatie, waren de in geluidsstudio’s gebruikelijke signalering (rode lamp = opname loopt, dus stil zijn) geluidsisolatie en demping van de kamerecho niet aanwezig. De ruimte was koud, kaal en leeg en dat wil je niet horen in je opname. Met oude matrassen en rode lampen werd iets geïmproviseerd, wat leidde tot een succesvol album. Ook bij een security-incident, zeker wanneer uitwijk nodig is, is het verstandig om op die andere locatie aanvullende systemen voor signalering en monitoring in te richten en de uitwijklocatie zo goed mogelijk te isoleren van haar omgeving.

Uit de eindstrofe blijkt dat er een evaluatie van het incident was. Hoe het verder zal gaan en of het incident nog eens zal gebeuren blijft onzeker, maar dankzij die evaluatie zullen de mannen van Deep Purple nooit vergeten wat ze in Montreux hebben geleerd. Zoals dat wanneer je ’s nachts hardrockmuziek opneemt in een luxe hotel, andere gasten gaan klagen over geluidsoverlast. En dat je ‘roadies’ (sjouwers en geluidstechnici) dan de deuren moeten dichthouden om – gezien de tijdsdruk – te vermijden dat de opgetrommelde politie als ‘externe toezichthouder’ de opnames midden in een nummer stillegt. Dus een beschermingslaag rondom de uitwijklocatie, die extra is ten opzichte van de normale werksituatie. In plaats van in de uitwijk juist minder securitymaatregelen te gebruiken. Ook dat is een waardevolle les voor ons bij security-uitwijk.

Het was een echte pechweek voor Frank Zappa. Zes dagen later sprong een enthousiaste fan op het podium van het Rainbow Theater in London en duwde hem per ongeluk achterover in de betonnen orkestbak. De zanger-gitarist-componist-schrijver moest bijna een jaar in een rolstoel revalideren. Bizar genoeg overleed Frank exact 22 jaar later, op 4 december 1993.

Over de auteur:

Robert Metsemakers schrijft op persoonlijke titel en is als ervaren IT-auditor en informatiebeveiligingsexpert beschikbaar voor security-advies en (algemene) schrijfopdrachten via robert.metsemakers@gmail.com.