Cybersecurity… het heeft de brede aandacht. Sterker nog, het houdt velen in een hype-achtige betovering vast. Maar is het oude wijn in nieuwe zakken of is het écht iets nieuws? Het is heel eenvoudig om te zeggen dat cybersecurity net zo werkt als goede informatiebeveiliging, maar is dat echt zo?
Uiteindelijk vind ik dat niet. Er zijn vier aspecten waarop het zich duidelijk onderscheidt:
1. Cyberdreigingen komen van buitenaf. Informatiebeveiliging moet nog steeds zowel intern als extern zoeken naar bedreigingen;
2. Cyberdreigingen komen voort uit een kwaadaardige intentie. Informatiebeveiliging moet rekening houden met fouten die medewerkers, partners en klanten maken.
3. Cyberaanvalstechnieken zijn universeel. Informatiebeveiliging moet zich wapenen tegen aanvalstechnieken afhankelijk van de bedrijfssector, cultuur, processen en infrastructuur.
4. Cyberaanvallen kunnen bedrijfsinfrastructuur gebruiken zonder het bedrijf direct schade te veroorzaken.
De eerste drie aspecten geven wel aan dat het lijkt alsof cyber security een subset is van informatiebeveiliging. Als dat zo is, dan zou het voldoende moeten zijn om je informatiebeveiliging op orde te hebben om cyberdreigingen aan te kunnen. Juist de groei in het aantal cyberincidenten toont aan dat dit niet het geval is. Collectief falen we om cyber-gerelateerde problemen onder controle te krijgen. Dus, al zou ik accepteren dat het ‘slechts’ een subset is van informatiebeveiliging, dan is het een subset die een additionele, specialistische aanpak vergt.
En natuurlijk zien we hier wel dat problemen in de informatiebeveiliging bij cyberaanvallen gebruikt kunnen worden. Meester beïnvloeder Kevin Mitnick heeft pijnlijk aangetoond dat wij als mens gemakkelijk te misleiden zijn tot het uitvoeren van verkeerd gedrag. We zullen getraind moeten worden om die misleiding te weerstaan. En systemen waarvan de configuratie of toegangsbeveiliging niet goed geregeld is vallen eerder ten prooi aan cyberaanvallen.
Dat verandert niets aan het feit dat de oorsprong van een cyberaanval bij een externe aanvaller ligt en dat deze een bekend arsenaal aan instrumenten gebruikt. Hoe beter we dit assortiment kennen, hoe beter we weten waar we ons tegen moeten wapenen. De open source aanpak doet het hierbij het best: kijk maar naar het Metasploit project en de Nessus scanner. Metasploit kan bekende cyberaanvallen uitvoeren, Nessus kan de kwetsbaarheden hiervoor in een infrastructuur detecteren. De kennis is dus universeel en het best vastgelegd als open source. Informatiebeveiliging baseert juist zijn beveiliging op interne organisatiekennis van risico’s en specificeert voor de organisatie op maat gesneden maatregelen.
Bestrijdingsprobleem
Het laatste aspect legt het fundament voor een bestrijdingsprobleem: waarom zou ik mijzelf beveiligen als ik geen schade heb? In tijden waarin de budgetten krap zijn, moeten we natuurlijk geen geld besteden aan bedreigingen die ons geen schade toebrengen. Dit is een algemeen probleem van de samenleving. We leven steeds meer in een wereld waarin eenieder alleen zijn eigen hachje redt en geen oog heeft voor de potentiële bedreiging van de buurman via eigen ict. Maar er zijn gevallen waarbij het goed is om jouw deel aan bestrijding te doen, terwijl onbekende anderen ervan zullen profiteren.
Een patroon wat de samenleving hiervoor gebruikt is wet- en regelgeving. Door voor te schrijven hoe een bedrijf bijvoorbeeld om moet gaan met persoonsgegevens komt er voor bedrijven een compliancerisico bij, om direct aan te pakken en profiteert de samenleving van het effect. Of culturele druk kan ook reinigend werken: de ongewild betrokkene krijgt bij schade elders zelf te maken met reputatieschade of merkwaarde devaluatie.
Dit werkt als mechanisme goed voor grotere bedrijven, maar kleine zelfstandigen en particulieren laten zich hier niet door afleiden. Botnets bestaan uit hordes slecht beveiligde computers bij kleine partijen en de schade die een botnet aanricht wordt elders geleden.
Het lijkt er dus op dat we er niet aan ontkomen om cyber security naast of onder informatiebeveiliging specifieke aandacht te geven, of we nou onderdeel zijn van een organisatie, groot of klein, of particulier – met een speciale rol voor de overheid.
Ik ben het totaal niet met je eens. In mijn ogen is cybersecurity gewoon een onderdeel van informatiebeveiliging. De reden dat het een aparte naam heeft is meer vanwege de hype dan vanwege het nut. Het is namelijk niet meer dan je wapenen tegen dreigingen van buitenaf waarbij kwade opzet in het spel is. Ik vind je vier genoemde aspecten dan ook geen overtuigende argumenten waarom cybersecurity anders is dan ‘gewone’ informatiebeveiliging. Het komt allemaal neer op het inschatten van het risico van een bepaalde dreiging en het nemen van eventuele maatregelen. Of het nou een boze medewerker van binnenuit is, een cybercrimineel vanuit china of een verveelde hoogbegaafde tiener uit spanje, het gaat in alle gevallen om het maken van een juiste risicoinschatting met bijbehorende maatregelen.
Hugo,
Wat jij beschrijft is een principieel ideaalbeeld en ik kan me daar grotendeels in vinden. Ik constateer echter dat we collectief falen dit beeld neer te zetten en stel vier aandachtspunten ter oplossing waarvan ik denk dat het verantwoordelijken aan zal zetten het beter te gaan doen. Want zij zijn het die de activiteiten die jij beschrijft zullen moeten managen.
De huidige generatie bots (aldus bekend) is ondertussen al zo gecompliceerd dat het uit modulaire onderdelen bestaat en relatief eenvoudig kan worden aangepast naar de wensen van de botnet beheerder. Dus als een systeem besmet is met een bot dan is dat altijd reden om actie op te ondernemen. Los daarvan is het wel een interessant voorbeeld van hoe je een cloud ook zou kunnen gebruiken.
Als er al een argument zou zijn dat cybersecurity toch speciaal genoemd kan worden zou ik voor kunnen stellen dat de uitvoering van cyber hacking/cracking een speciale misdaadbranche is waarbij miljarden per jaar wereldwijd worden gestolen van organisaties.
Dat is heel wat anders dan dat een ontevredenen werknemer de produktie database op een USB stick zet en daar thuis iets mee zou gaan doen. Dus wat dat betreft voegt het zeker een nieuwe dimensie aan de informatiebeveiliging in zijn algemeenheid toe.
Maar als je realistisch kijkt dan zul je moeten constateren dat ‘wij’ de slag om de cybersecurity al lang verloren hebben. Dit heeft bijv. de FBI in de US al eerder aangegeven. En wat betreft is het belangrijk om te realiseren dat we wat dat betreft in dezelfde situatie zitten als we onze auto in een achterbuurt parkeren en er rekening mee moeten houden om niets van waarde in de auto achter te laten.
Waar het om gaat is het het beveiligen van je kroonjuwelen. Daar is het tegengaan van botnets slechts 1 aspect. Gelaagde authenticatie en zicht op wie waar toegang toe heeft is daarbij cruciaal.
Zelf zie ik het ook als een te erkennen aspect binnen informatiebeveiliging als geheel. Vind het daarbij minder relevant of de auteur’s vraag en overdenking nu wel of geen juiste is. Vind persoonlijk de rubricering van Lex op de aanduiding ‘cybersecurity’ op de externe benadrukking een interessante weergave. Hoe we die jungle ook noemen, ongedierte is er altijd. Dat komt naast opzet ook per ongeluk binnen. De hype richt zich vooral op het onder controle brengen van wat er binnen komt (en kan komen) uit die jungle. De vraag is ook wat we er zelf (onbewust) in uitzetten (zich daar verder laten ontwikkelen) en wat we daar welig laten rondtieren, of onbewust laten misbruiken. Vanwege die buitenaf situatie is het een moeilijke kwestie voor burgers van de wereldmaatschappij, waar we met de technologie alleen niet zo veel zullen bereiken.