Onlangs vond voor het tweede opeenvolgende jaar de security-lunch van Pinewood plaats met vertegenwoordigers van verschillende beveiligingsbedrijven. Er werd zowel teruggeblikt op de ontwikkelingen op security-gebied in 2010, als vooruitgekeken naar security-verwachtingen voor 2011. Belangrijkste conclusies zijn dat cloud computing en mobility ook in 2011 een grote rol zullen spelen. Daarnaast moet personeel zich veel meer bewust worden van de noodzaak van beveiliging.
Natuurlijk werd er direct gerefereerd naar WikiLeaks en de door ‘Anonymous’ geïnitieerde DDoS-aanvallen die volgden op de arrestatie van Julian Assange. De beveiligingsbedrijven waren het erover eens dat hard moet worden opgetreden tegen de aanvallen die onder meer sites van PayPal, Visa en Mastercard platlegden. Arjan Aelmans, se manager Benelux van Check Point, noemt het een wake-up call voor veel mensen. "We hebben met het nieuws rondom WikiLeaks nu gezien waartoe onvoldoende beveiligde systemen en security-lekken kunnen leiden." Hans Doornbosch, eigenaar van Pinewood, waarschuwde dat de technologie ons langzaam maar zeker boven het hoofd is gegroeid: "De cyberwar is nu echt begonnen. Inmiddels heeft niemand meer overzicht. Systemen worden lukraak aan elkaar geknoopt, maar niemand heeft werkelijk controle."
Beveiligingscrisis niet te vermijden
De terechte vraag werd gesteld of voorvallen zoals WikiLeaks en eerder al Stuxnet te voorkomen zijn. Renske Galema, regional director Benelux van McAfee, gaf te kennen dat je wel maatregelen kunt nemen, maar dat incidenten zoals WikiLeaks eigenlijk niet te voorkomen zijn. Je kunt je beveiligen tegen risico’s, maar beveiligingsproblemen kun je nooit 100 procent vermijden. Corné van Rooij, country lead Benelux en Zwitersland bij RSA, is van mening dat eerdergenoemde voorvallen te maken hebben met het gemak dat bedrijven nastreven en het feit dat ze zaken als security vaak uitbesteden en erop vertrouwen dat het dan wel goed zit. Arthur van Vliet, sales manager van Pinewood: "Het moet vooral eenvoudig zijn en daarom willen veel bedrijven alle informatie zo snel mogelijk online hebben."
Sommige beveiligingsmaatregelen, zoals het versleutelen van informatiedragers, zijn eenvoudig te implementeren, maar in Nederland lopen veel bedrijven achter op dit gebied. Los van het feit dat er veel technische middelen voorhanden zijn, is bewustwording volgens de aanwezigen nog steeds het grootste probleem. Een sluitende beveiliging kan alleen bereikt en gehandhaafd worden indien alle verantwoordelijken, niet alleen de it-afdeling maar ook de rest van het personeel, zich bewust zijn van bedreigingen.
Verantwoordelijkheid bij bedrijven zelf
De meeste partijen zijn van mening dat de it-afdeling vaak ten onrechte verantwoordelijk wordt gehouden voor beveiliging. Patrick Dalvinck, regional director Benelux van Trend Micro, vult aan dat daarnaast de security-partner vaak ten onrechte de eindverantwoordelijkheid krijgt voor de veiligheid. Hans Doornbosch hierover: "Beveiliging moet vanaf het begin worden meegenomen. Voorop moet blijven staan dat informatiebeveiliging geen it-feestje is maar de verantwoordelijkheid is van de business zelf. We hebben behoefte aan een informatiearchitect of security officer die echt wat te vertellen heeft." Deze laatste wordt nu nog te vaak gezien als rem op het proces. Een ander probleem is dat security nog steeds vaak een sluitpost is. Budget en tijd samen met functionaliteit zijn nog steeds leidend. Daarna komt pas de vraag naar security en dat moet veranderen. Volgens Jeremy van Doorn, manager systems engineering van VMware, is het vooral zaak dat informatie geclassificeerd wordt, omdat het ondoenlijk is om alles dicht te timmeren.
Een oplossing die door verschillende partijen aan tafel wordt voorgesteld is het veto-recht voor een security officer, waardoor hij wordt meegenomen in de besluitvorming. Daarnaast een oproep voor flinke straffen als regels niet worden nageleefd bij het beschermen van belangrijke data.
Volgens Arthur van Vliet is het vooral van belang dat er allereerst beleid komt op basis waarvan je vervolgens technische maatregelen kunt nemen. Hierbij is bewustwording dus ook van groot belang. De mens blijft de zwakste schakel als het op security aankomt.
Vooruitblik
Op het gebied van bewustwording ligt er voor 2011 een flinke uitdaging. WikiLeaks heeft veel mensen wakker geschud, maar er is nog veel vooruitgang te boeken met betrekking tot dit onderwerp. De malware van vandaag de dag is niet meer te vergelijken met de virussen die eerder bestonden. Momenteel groeien de bedreigingen sneller dan de ontwikkelingen. Patrick Dalvinck noemt bijvoorbeeld 2500 nieuwe unieke bedreigingen per uur. Reactieve beveiliging is niet genoeg meer en een virusscanner van een week oud is totaal nutteloos, hoewel consumenten die vaak nog steeds betrouwbaar achten. Proactieve maatregelen zijn dus onmisbaar. Bedrijven maken dezelfde fout en zien beveiliging ook nog te vaak als verzekeringspolis, iets wat ook hopeloos achterhaald is.
Hetzelfde bewustwordingsproces is bijvoorbeeld te zien bij dé it-ontwikkeling van 2010: cloud computing. De gevolgen van die technologie worden langzaam maar zeker duidelijk en mensen gaan nu pas nadenken over wat de beveiligings- en juridische aspecten ervan zijn. Volgens Corné van Rooij is security op dit moment het grootste obstakel voor bedrijven om naar de cloud te gaan. Cloud computing zal in 2011 meer en meer worden gebruikt, waarmee ook de vraag naar de juiste beveiligingsmaatregelen zal toenemen.
Ten slotte zal ook mobility in 2011 een groot issue zijn. Er zijn inmiddels beveiligingsoplossingen voor mobiele apparaten, maar iedereen rent alleen achter de ontwikkelingen aan en zo herhaalt het scenario zich dat hiervoor is beschreven. Eerst komen apparaten zoals de iPad op de markt, pas daarna gaan mensen zich druk maken om beveiliging.
Bekijk voor de volledige terugblik op 2010 en vooruitblik op 2011 de video.
