Als je alle website-hacks, DDoS-aanvallen en datalekken van de afgelopen zes maanden onder elkaar zet, heb je waarschijnlijk nog meer woorden nodig dan deze column. Het indrukwekkende aantal incidenten met dataverlies ten gevolge laat zien hoe het security-landschap de afgelopen twee jaar is verschoven. En nog steeds blijft de vraag: ‘hoe beschermen we onze waardevolle data?’
Het probleem ligt voor een deel bij de manier waarop mensen naar hun eigen veiligheid kijken. We vertrouwen erop dat eenmaal genomen beveiligingsmaatregelen voldoende zijn. Maar als het een keer misgaat zijn we eerder geneigd te denken dat het niet weer zal gebeuren, dan dat we iets aan de beveiliging gaan doen.
Eens veilig, altijd veilig?
Zo werkt het in internetbeveiliging ook. De afgelopen vijftien jaar hebben beveiligingsbedrijven ons een helder beeld gegeven van hoe het web werkt en wat de gevaren zijn. Dat dit beeld inmiddels achterhaald is, vergeten de meeste mensen. We staan niet stil bij de gevaren die tegenwoordig spelen, maar vertrouwen op de genomen beveiligingsmaatregelen tegen de risico's van vroeger.
Onlangs kwamen verschillende partijen in het nieuws vanwege hacking-incidenten. Toch houden de eindgebruikers vast aan de gedachte dat het allemaal wel meevalt, wellicht omdat het gevestigde partijen zijn of omdat ze eigenlijk niet weten wat er aan de hand is. We gaan liever uit van het feit dat het bekende en vertrouwde veilig is, dan dat we verder kijken dan onze neus lang is.
Bewustzijn
Deze enigszins naïeve blik op de wereld moet veranderen. Daartoe moeten we de manier waarop we bewustzijn creëren, aanpakken. Het gezegde ‘je bent nooit te oud om te leren' is hierbij van toepassing: bestaande ideeën moeten worden bijgesteld. De beveiligingsbedrijven moeten niet alleen innovatieve oplossingen bedenken, maar ook gelijktijdig een bewustzijnstraject starten, zodat mensen gaan inzien waar het vandaag de dag om draait.
Als we duidelijk uitleggen hoe deze datalekken ontstaan, en hoe aanvallen eruit kunnen zien, zal men zichzelf gaan afvragen hoe het internet veiliger en beter is te maken. Dat is een heel verschil met de huidige berusting in het feit dat dataverlies er nu eenmaal bijhoort.
‘We’ve got you covered’
Te lang hebben beveiligingsbedrijven security verkocht met het verkoopargument: ‘je hoeft niet te weten hoe het werkt, als je maar weet dat je veilig bent'. Door wel uit te leggen wat security is en hoe het werkt en het jargon te verklaren, of zelfs te vermijden, krijgt de gebruiker een veel beter inzicht in wat er gebeurt en welke rol hij of zij kan spelen om het internetgebruik veiliger en beter te maken.
Door de conversatie tussen bedrijven en publiek veel transparanter te maken, ontstaat er tevens een betere band. Een band die belangrijk is, zeker als het gaat om zaken als databescherming. Uiteindelijk hebben we allemaal voldoende redenen om het internet overeind te houden, dus laten we het dan ook maar gelijk beter en veiliger maken.
“Door de conversatie tussen bedrijven en publiek veel transparanter te maken, ontstaat er tevens een betere band. Een band die belangrijk is, zeker als het gaat om zaken als databescherming. Uiteindelijk hebben we allemaal voldoende redenen om het internet overeind te houden, dus laten we het dan ook maar gelijk beter en veiliger maken”
Helemaal mee eens. De gebruiker hoeft niet alles in detail te weten maar enig inzicht kan op zich zeer handig zijn en een hoop voorkomen. Mits ze er natuurlijk wel interesse voor hebben en er ook echt voor open staan. En dat is niet altijd het geval. Maar het is absoluut het proberen waard.
Beveiling begint en eindigt bij de gebruiker, dus een bewustzijn over de gevaren zoals banken reeds doen is een eerste stap in minder dataverlies. Helaas ligt hier ook direct de zwakste schakel omdat beveiling als lastig ervaren wordt en dus kiezen we voor makkelijke wachtwoorden die we ook nog eens voor verschillende diensten gebruiken. En zoals altijd valt de digitale crimineel als eerste de zwakste schakel aan omdat daar met de minste moeite het grootste rendement te halen is. Niet voor niets zijn er meer virussen, trojans e.d. voor Windows dan een minder populair besturingssysteem op de desktop zoals Linux. Niet dat laatste virus- en risicovrij is maar het gaat hier simpelweg om kwantiteit en niet om kwaliteit.
Nu leidt niet elke aanval tot verlies van informatie maar wel tot schade en deze is berekend op 10 miljard Euro waarmee het terecht is om te stellen dat beveiliging een zorg van iedereen is. Want uiteindelijk wordt de schade vaak weer doorbelast aan de consument waardoor diensten en producten, net als bij winkeldiefstal dus duurder worden. Nu kunnen we technische maatregelen nemen zoals multi-factor authenticatie, encryptie van datacommunicatie e.d. maar deze worden waardeloos als we onachtzaam om blijven gaan met informatie. Social Enginering, waarbij getracht wordt om wachtwoorden of andere nuttige informatie te achterhalen neemt in digitale criminaliteit dan ook een steeds grotere vlucht.
Ook de phising mails worden steeds beter hoewel we nu door informatie van banken toch beter zouden moeten weten. Maar een ander risico is dat criminelen nu ook de sociale netwerken gevonden lijken te hebben en ons via deze kanalen lokken naar websites die allerlei verdachte software proberen te installeren of onze smartphones proberen te laten bellen naar dure nummers. Nieuwe diensten, apparaten en dus andere risico’s laten wel zien dat beveiliging geen statisch domein is. Helaas blijft het nog wel vaak een ondergeschoven kindje waardoor niet alleen gebruikers fouten maken maar ook bedrijven en overheid. De vraag is of de berusting waarover gesproken niet gauw weggenomen kan worden door bewustwording over de kosten die we uiteindelijk zelf weer betalen als consument?
Ik acteer bij flink wat verschillende organisaties en het is een beetje verbazingwekkend hoe laag dit aspect, ’the human aspect’ is geprioriteerd wanneer het op beveiligen aan komt. Kortweg leeft het vrijwel niet omdat menig een denkt dat het allemaal ‘wel is geregeld’.
Dit heeft overigens ook te maken met de kijk en policy van de betreffende organisatie op dit aspect. Doordat men heel veel mensen heeft laten afvloeien, door de recessie ingegeven, in zeer korte tijd, is er een nieuwe generatie aangetreden die een totaal andere focus heeft. Tel hierbij even op dat men meer moet uitvoeren met minder FTE, heel economisch, heel VOC, en je hebt scenario’s waar we de komende jaren gewoon, op vele fronten, last van zullen gaan krijgen.
IT wise zijn daar wel wat oplossingen op te bedenken zodat de gebruikers zich eer en beter bewust worden dat beveiligen van data een zaak voor iedereen is. Men zou kunnen opteren voor een groen boekje bij pc en andere data dragers die kort uitlegt hoe om te gaan met data. Daarnaast zou men kunnen opteren wachtwoorden eens per maand verplicht te laten wijzigen.
Men zou corporate wise eens kunnen denken aan iets als een ‘clean desk’ policy. Gewoon maar een paar eenvoudig te implementeren initiatieven die al veel langer bestaan.
Prachtig artikel die ons op iets essentieels wijst maar die nu nog eens
tussen de oren van de gebruikers van IT moet landen.
Mooi artikel.
Praktijk heeft mij geleerd dat we wel allemaal willen praten over security maar er vooral niets aan willen doen..
Dat blijkt o.a. ook uit de domme uitspraken door de minister van justitie aangaande wat hij ‘hackers’ noemt.
Zolang wij niet bereid zijn om structurele veiligheids maatregelen te nemen die ten koste gaan van ‘domme gebruikers gemak’ het gebruik van bagger software producten, restricties voor niet deskundigen, onzinnige BYOD policy en aanverwant voor de hand liggende zaken, blijft het bij stropdassen geleuter en wordt het systeem er niet veiliger of anderszinds beter op.
Waar we vooral aan moeten werken zijn oplossingen waardoor anderen geen dingen van je af WILLEN pakken en niet zozeer aan oplossingen waardoor anderen geen dingen van je af KUNNEN pakken.
Maar ja, de kapitaalverdeling is te scheef, de verschillen in bezit zijn te groot en we zijn onvoldoende bereid om te delen waar we allemaal in de grond van ons bestaan evenveel recht op hebben. En iedereen wordt grootgebracht met het idee dat indien je kansen weet te benutten het gerechtvaardigd is om ten koste van anderen meer te verwerven en dat niet te delen met de gemeenschap.
De keerzijde daarvan is dat degenen die zich achtergesteld voelen, op onrechtmatige wijze komen halen waar zij evenveel recht op menen te hebben. Verdere morele vervuiling van de maatschappij en algemene acceptatie van vervagend onderscheid tussen mijn en dijn.
Maar genoeg gefilosofeer.
Wij bevinden ons met zijn allen in de groep die zich meer en meer bewust moet zijn (of leren worden) van de risico’s op diefstal, hacking, phising etc. Dat is geen sinecure in die zin dat we niet paranoia willen worden natuurlijk. En de halve wereld is dat helaas al in meer of mindere mate. Het risico is: hoe bewuster, hoe banger. Bewustwording is goed, maar we willen ons niet méér zorgen hoeven maken dan nodig is. Handelen uit angst is zelden goed, behalve voor de portemonnee van beveiligingsbedrijven. Dus moeten we vooral leren bewuster met onze data om te gaan. Het beveiligingsprobleem is dan al een stuk kleiner.
Het is in mijn ogen zeer simpel: beveiliging kost geld en is vaak de sluitpost op de begroting. Ik pleit er voor dat bedrijving beveiling gaan financiëren vanuit marketingbudgetten. Wat als het eenmaal mis gaat, kost het (pas) je goede naam. Voor de rest: beveiliging vereist ver vooruitkijken en dat kunnen gewoonweg de meeste mensen niet (of hebben het niet aangeleerd). Beveiliging vereist ook dat men complexe problemen kan doorgronden en ook dat kunnen de meeste mensen niet. Daarom heeft het ook geen zin die verantwoordelijkheid aan de eindgebruikers te geven. Het moet helaas heel schools worden opgelegd, met eventueel sancties (als we het over binnen een bedrijf spreken). Maar men is in Nederland erg wars van opgelegde regels (in vergelijk met Frankrijk, Duitsland etc.), dat maakt vooral ons land kwetsbaar.. Verder blijkt nu wel dat er ook heel wat essentiële taken van mensen zijn, die niet in hun functieprofiel staan, maar die ze ‘erbij’ deden. Alles terugbrengen tot het bare minimum brengt al deze zaken (vaak te laat) aan het licht.. Outsourcing speelt hier ook een grote rol in, want een outsourcing-partner zal vanwege marktwerking altijd voor het bare minimum gaan… (En lijkt daardoor goedkoper dan het goed intern te beleggen).
Het security-landschap is helemaal niet verschoven. De perceptie er op echter wel. Maar vooralsnog zijn het de security bedrijven die misbruik blijven maken van de onkunde en vaak ook onwil van hun klanten om serieus over security na te denken.
De ICT coördinator van de overheid heeft zelfs al de handdoek in de ring gegooid en toegegeven dat overheids ICT onmogelijk waterdicht te krijgen is. En met het aantal datalekken dat elke week bekend wordt mag je concluderen dat niet alleen de overheid een probleem heeft met het niet dicht krijgen van hun ICT.
Het allerbelangrijkste is om dit structureel in de aandacht van de directie te krijgen. Vaak gaat het over software, hardware, allerlei kosten en dan zal het wel goed zijn……
Nee dus, echte aandacht is nog steeds de beste basis. Ik zeg dan altijd tegen de betrokkenen dat het zonder aandacht niet een kwestie is van òf je in de krant komt, maar enkel wánneer…….. Die boodschap beklijft, want dat wil niemand uiteraard.
‘Iedereen verantwoordelijk’ zou mooi zijn, maar gaat hem niet worden. De genoemde hacking-incidenten zijn een gevolg van fouten bij software-ontwikkelaars en/of opdrachtgevers. Vaak door domweg onvoldoende aandacht te besteden aan beveiligingsaspecten. Met ‘iedereen die werkt binnen de ICT-sector’ zou ik al dik tevreden zijn.