Beveiligingsleveranciers beginnen door te krijgen dat het om meer gaat dan alleen geld blijven uitgeven aan oplossingen. Op de RSA Conferentie in Nice klinkt voorzichtig een nieuw geluid: eerst auditen, dan pas uitgeven.
Volgens Art Coviello, voormalig ceo van RSA en nu vice president van de beveiligingsdivisie van EMC, moeten de problemen vooral wat intelligenter worden aangepakt. “Domweg meer geld investeren in informatiebeveiliging heeft geen zin. Waar we ons nu als industrie en als gebruikers mee bezig moeten houden, is investeringen efficiënter inzetten. Om erachter te komen waar we meer aandacht aan moeten besteden zijn risico-analyses nodig."
Met deze uitspraak volgt hij een trend die ook aan de klantzijde steeds vaker te horen is. "Tot nu toe hebben we misschien te veel als kippen zonder kop achter de leveranciers aangelopen", bekende een bezoeker van Coviello's openingstoespraak op de RSA Conferentie.
Coviello is ervan overtuigd dat het beveiligen van de perimeter eigenlijk al niet meer interessant is. “De slechteriken zijn namelijk allang binnen. De enige manier om ze dan nog tegen te houden, is het beveiligen van de data zelf door middel van encryptie. Daarbij moeten we goed overwegen welke delen van het systeem we zwaar moeten beveiligen en welke delen om meer gebruiksvriendelijkheid vragen."
"Er moet daarnaast meer aandacht komen voor het opzetten van goede procedures. Procedures die niet alleen binnen de organisatie worden gehandhaafd maar door iedereen binnen het ecosysteem van partners dat gebruik maakt van de bedrijfsinformatie."
Bruce Schneier van Counterpane Internet Securities, net overgenomen door British Telecom, meent dat we verder op een andere manier naar de aanvallers moeten kijken nu het een criminele bedrijfstak is geworden “De aanvalstechnieken veranderen dus moeten we ook onze beveiligingsstrategie aanpassen."
"De werkelijke reden dat zelfmoordterroristen zo gevaarlijk zijn, is dat we ze niet goed begrijpen. De oude response was gebaseerd op het gedrag van daders die na hun daad terug zouden keren. Als zij daar zelf geen rekening mee houden, moeten we een andere verdedigingsstrategie gaan gebruiken. Dat geldt ook voor aanvallen op onze data.”
Uri Rivner, hoofd nieuwe technologie van RSA, demonstreerde die professionaliteit door te laten zien dat digitale fraudeurs inmiddels gebruik maken van in Flash gemaakte advertenties om hun gestolen creditcardgegevens aan de man te brengen. "Dit heeft alles weg van een nieuwe bedrijfstak waarbij ze gebruik maken van serieuze marketing en op eBay gebaseerde ratings om de bruikbaarheid van hun waren aan te tonen."
