U gebruikt een verouderde browser. Wij raden u aan een upgrade van uw browser uit te voeren naar de meest recente versie.

Bij Security is angst een slechte raadgever

Gepost 2017/11/13

Op 31 oktober jongstleden presenteerde ik de visie van Pb7 Research op IT security tijdens de Amsterdam Security Expo. Tussen alle slimme slotenmakers en fysieke beveiligers deed ik mijn bijdrage aan het slaan van de brug tussen fysieke en IT beveiliging, het thema van dit jaar. Dat deed ik niet door de bedreigingen te benadrukken, maar door vooral te kijken naar de waarde van datgene dat organisaties willen en ook moeten beschermen. Pas als duidelijk wordt waarom iets beschermd moet worden, kun je bepalen hoe je het wil beveiligen.

Digitale afhankelijkheden

In een waar digitale transformatie hoog op de agenda staat, worden organisaties in snel tempo afhankelijker van digitale processen en ontwikkelen ze steeds meer digitale producten en diensten. Een toenemend deel van de omzet komt daar uit voort en is afhankelijk van het goed en veilig functioneren van IT. Als cybercriminelen de IT infrastructuur weten plat te leggen, hebben organisaties snel een financieel probleem, iets waar ransomware sterk op inspeelt. Daarbij wordt alsmaar meer data geproduceerd, die ook steeds grotere waarde vertegenwoordigd. Aan de ene kant is steeds meer IP digitaal vastgelegd, waarmee je je als organisatie mee probeert te onderscheiden van de concurrentie. Anderzijds verzamelen organisaties steeds meer data over hun klanten en potentiële klanten, om zo goed mogelijk commercieel in te spelen op de kansen die daar liggen.

Waar het voor veel organisaties vanzelf lijkt te spreken dat IP goed beschermd dient te worden, wordt er nog altijd vaak wat laks omgegaan met de bescherming van de gegevens van klanten. Dat er klantgegevens kunnen verdwijnen wordt eigenlijk als een acceptabel bedrijfsrisico beschouwd. Heel vervelend, maar het is een risico van het vak. Zelfs de mogelijke imagoschade wordt door de meeste organisaties als acceptabel op de koop toegenomen: als het de beste kan overkomen en ook zichtbaar overkomt, dan kunnen wij het zeker doorstaan. We zijn zelfs best bereid om een melding te doen als we gevoelige klantdata verliezen. Als iedereen af en toe wat meldt, valt onze melding immers ook niet meer zo op. En met boetes valt het in de praktijk ook heel erg mee.

Die houding vindt Europa problematisch. Terwijl veel Europese overheden alsmaar hun bevoegdheid om persoonsgegevens te verzamelen proberen uit te breiden, vindt men dat we als burger wel beschermd moeten worden tegen bedrijven en andere cybercriminelen die misbruik willen maken van onze persoonsgegevens vanuit commerciële dan wel criminele overwegingen. Dat betekent dat er beperkingen worden gesteld aan de ongebreidelde verzameling en koppeling van gegevens en eisen aan de veilige opslag daarvan. Dit vindt zijn weerslag in de Europese Algemene Verordening Gegevensbescherming (AVG) die in mei van 2018 van kracht wordt. In de AVG krijgt de burger meer privacyrechten en krijgen organisaties die persoonsgegevens verzamelen of verwerken – alle organisaties dus – een duidelijke zorgplicht. En als die niet nagekomen worden, kunnen er meer boetes worden opgelegd: tot 20 miljoen euro, of tot 4% van de wereldwijde omzet, net wat er meer is. Wellicht nog belangrijker: bestuurders van organisaties worden daar persoonlijk voor verantwoordelijk gehouden. De boodschap is duidelijk: het speelkwartier is voorbij, het is tijd om privacy en databeveiliging serieus te nemen.

Meer deuren

En dat is lastig. Want data is steeds meer onderweg. Data zit allang niet meer opgesloten binnen de muren van een computerruimte. Data bevindt zich in de cloud, verhuist van virtuele server naar virtuele, wordt verstuurd. En zodra data onderweg is, kan het onderschept worden. Maar waar het pas echt vaak mis gaat, is bij alle apparaten die aan het einde van dat netwerk hangen. De beveiliging van smartphones en tablets blijven vaak al achter bij die van bijvoorbeeld laptops. En terwijl die beveiliging steeds vaker redelijk op orde begint te komen, komen we bij een hele reeks rafelranden waar de digitale en de fysieke wereld bij elkaar komen. Een concreet voorbeeld is de printer: via een printer die jarenlang draait op de voorgeïnstalleerde software zonder enige patch kan een hacker zonder al te veel problemen het netwerk binnendringen. Of hij kan documenten uit het werkgeheugen lezen die geprint of ingescand zijn. En als er vervolgens geprint is, willen gevoelige afdrukken ook nogal eens door de verkeerde worden opgehaald. De printer is bij veel organisaties nog een blinde vlek: wie is er eigenlijk verantwoordelijk voor de beveiliging? 

Een mooi voorbeeld over hoe fysieke en IT beveiliging elkaar nodig hebben, maar niet vinden, is de USB-stick die recentelijk werd gevonden in Londen met alle beveiligingsplannen van luchthaven Heathrow. Zonder enige vorm van encryptie. Of de horloge met GPS-tracker om je kind in de gaten te kunnen houden, maar waarmee ook anderen je kind kinnen lokaliseren. Op het gebied van het Internet der Dingen zijn er tientallen voorbeelden van productontwerpen die, laten we het netjes zeggen, niet ontworpen zijn op basis van secure-by-design.

Cybercrime

En zo komen we uiteindelijk toch uit bij cybercrime. Als de digitale zakelijke belangen en verantwoordelijkheden snel toenemen en de mogelijkheid van dataverlies groter wordt doordat data zich over steeds meer schijven verplaatst, wordt de business case voor cybercrime veel sterker. Zo sterk dat hele overheden zich ermee gaan bezighouden en uitermate geavanceerde aanvallen opzetten. Maar ook voor een scholier die een onvoldoende heeft gekregen en zijn zakgeld gebruikt om wraak te nemen met behulp van een DDOS-aanval. Cybercrime is niet langer het exclusieve domein van techneuten: cybercrime as a service tiert welig. Als organisatie zou je moeten weten dat je de dans niet meer kan ontspringen: vroeg of laat kom je aan de beurt en dan kan je maar beter voorbereid zijn.

  

Kan IT security mee?

De toehoorders van mijn sessie heb ik drie overwegingen mee naar huis gegeven. De belangrijkste is dat angst een slechte raadgever is. Laat je als organisatie niet leiden door de waan van de dag. Natuurlijk is het goed als ransomware-incidenten in de Rotterdamse haven worden aangegrepen om een goed ransomware-plan op te stellen. En natuurlijk is het goed als de komst van de AVG wordt aangegrepen om een privacy officer aan te stellen en de databeveiliging op orde te krijgen. Maar als voorbij gegaan wordt aan het structurele belang en de structurele risico’s van IT security, dan sorteren dergelijke maatregelen hooguit een tijdelijk effect.

De tweede overweging is dat door de hogere innovatiesnelheid op het digitale vlak, IT security veel proactiever te werk zal moeten gaan. IT security is er niet om een hek te plaatsen, maar dient betrokken te zijn bij het ontwerp van digitale producten en processen. Steeds meer organisaties hebben wel de mond vol van private en secure by design en agile en devops waarbij IT security een onderdeel van een productteam kan worden, maar maken vaak nog te selectief gebruik van deze middelen en laten het niet na om af en toe een bochtje af te snijden. Zorg er in ieder voor dat er een duidelijk proces is om te bepalen welke betrokkenheid van IT security noodzakelijk is.

De laatste overweging is dat IT securityafdelingen zich er van bewust moeten zijn dat IT security niet meer is als het geweest is. Denk verder vooruit: denk na over hoe IT beveiliging er over 5 tot 10 jaar uit moet zien. En kijk welke competenties daarvoor nodig zijn. Welke ontbreken er en hoe ga je die ontwikkelen? Kan je dat zelf, of heb je daarvoor hulp nodig. Steeds meer organisaties zien zich genoodzaakt om securitytaken uit te besteden. Maar wat ze niet willen, is het verliezen van de controle. Als je dat kwijt bent, is het over en uit.