Bij een inbraak in het ict-systeem van bedrijven is in veel gevallen de basisbeveiliging niet in orde. Vaak wordt bij hacks op bedrijf-ict gesproken over APT (advanced persistent threats), terwijl het merendeel van die aanvallen helemaal niet zo geavanceerd is. Dat stelde een panel van security-experts tijdens een rondetafeldiscussie van Computable over APT en de beveiliging van bedrijfs-ict.
Beveiligingsexperts Kees Plas (director security services Terremark), Patrick Dalvinck, (Benelux-directeur Trend Micro), Thijs Bosschert, (principal consultant forensics and investigative response Verizon Business Security Solutions) en Corné van Rooij (District Manager Benelux & Zwitserland bij RSA) bogen zich over een aantal stellingen.
Gebrekkige basisbeveiliging
Tijdens de bijeenkomst ontspon zich een discussie over het begrip 'APT'. De aanwezigen concludeerden dat het paraplubegrip voor grote, ongrijpbare en gerichte aanvallen op bedrijfs-ict vaak onterecht wordt gebruikt. Thijs Bosschert : 'In 90 procent van de gevallen zijn aanvallen op bedrijfs-ict helemaal niet zo geavanceerd. De inbraak is vaak een gevolg van gebrekkige basisbeveiliging.'
De aanwezigen concludeerden dat de gevolgen van alle kleine hacks bij elkaar samen vele malen groter zijn dan gevolgen van APT's, omdat die vaak op één bedrijf zijn gericht. Corné van Rooij (RSA): 'Bovendien houden bedrijven kleine hacks vaak onder de pet en daardoor komen die gevolgen niet naar buiten.' Hij benadrukt dat alleen al de financiële schade na kleine inbraken vaak enkele tienduizenden tot honderdduizenden euro's bedraagt.
Patchbeheer blijft uitdaging
De aanwezigen concludeerden dat bedrijfs-ict constant gemonitord moet worden op zwakheden en aanvallen. Daarbij doelden ze ook op de schijnveiligheid van jaarlijkse security-audits. Die test geeft veel bedrijven een veilig gevoel, maar dat is het in feite niet. 'Je moet constant monitoren en patchen, die jaarlijkse audit is onvoldoende. Eigenlijk moet je als organisatie naar real-time monitoring, maar dat wordt uit kostenoverweging vaak vergeten.'
Volgens de deelnemers blijft patchmanagement een uitdaging voor veel bedrijven. Daarbij vormen bijvoorbeeld fusies en overnames een groot risico, omdat er in die overgangsperiode vaak geen overzicht is.
Risico’s opsporen
De beveiligingsexperts concludeerden overigens ook dat technologie niet altijd de oplossing is. Volgens Plas wordt door bewustwording van beveiliging (security awareness) 80 procent van de risico's geadresseerd. Daarbij werd aangetekend dat die trainingen vaak onderdeel zijn van de introductieperiode van nieuwe werknemers en het daarna vaak ontbreekt aan vervolgstappen om medewerkers constant op de hoogte te houden van beveiligingsrisico's.
Sessies
Voor donderdag 3 november 2011 zijn er opnieuw Computable-sessies gepland. Dan praten verschillende experts over cloudstorage, industriële beveiliging en de risico's van het bring your own device-beleid.
Ik kan mij helemaal vinden in de conclusies van het panel! Nu maar hopen dat de klanten (overheid) dit ook gaan beseffen…