Onthullingen van Edward Snowden, Angela Merkel die wordt afgetapt, DDos-aanvallen, Heartbleed; elke dag worden er nieuwe achterdeuren ontdekt waardoor gegevens bloot komen te liggen, zoals bij de Nederlandse Zorgautoriteit. Dus ook de ontwikkelingen voor het komende half jaar kunnen nog alle kanten opgaan volgens CEO Yuri Bobbert van B-Able en lector aan NOVI University of Applied Sciences.
Hij geeft een voorbeeld: ‘Door veel overheden is materiaal aangeschaft die heel toegankelijk is. Nu er duidelijk is geworden dat Angela Merkel is afgetapt, worden mensen heel paranoia en willen zij opeens geen Amerikaanse producten meer. Terwijl we al twintig jaar weten dat er een achterdeur zit in de meeste firewalls. Dat was ook bekend bij Justitie en de verschillende ministeries.’
Dit komt volgens Bobbert doordat de mensen die nu de it-beslissingen nemen onvoldoende weten wat de implicaties zijn van zo’n beslissing. Er ontbreekt een business case en de generatie die nu leidinggeeft is beperkt opgeleid met een informatica en security-achtergrond, laat staan dat zij diepgaande kennis hebben over nieuwe technologiebewegingen zoals big data, social media of cloud computing. ‘Wat is dat en wat verandert dat nou daadwerkelijk voor mijn bedrijfsvoering, zijn vragen die nauwelijks worden gesteld. Ik vind de NZA-case symbolisch voor hoe de mensen aan de top nu nog denken. Alsof we nog in de jaren vijftig leven. ‘Dit gaat wel aan ons voorbij.’ In veel Raad van Besturen en commissariaten is veel vergrijzing, met als gevolg dat security wordt genegeerd. Bijvoorbeeld met betrekking tot DDoS-aanvallen; dat weten we wel, maar er wordt gewoon niets aan gedaan. Dat geldt ook voor zo’n Heartbleed. We weten al jaren dat dit kan gebeuren.’
Onderzoek
Uit onderzoek van de Universiteit van Antwerpen blijkt bovendien dat in de helft van de gevallen geen business case wordt opgesteld bij een it-investering. Dit vindt Bobbert ongelofelijk. ‘Als een bedrijf iemand aanneemt of een activa koopt, wordt er altijd gekeken of de kosten wel opwegen tegen de baten. Maar bij een it-investering wordt dat niet altijd gedaan. En met betrekking tot security is het nog dramatischer gesteld. Meestal wordt dan gezegd, ‘ik moet een firewall hebben’. Vervolgens wordt die gekocht en half geconfigureerd neergezet. Dat terwijl bedreigingen vanuit internet heel dynamisch zijn. We weten dus dat zo’n apparaat continu gefinetuned moet worden, maar dat gebeurt bijna niet. Omdat nergens is vastgelegd wat de initiële investeringen zijn en wat het periodieke onderhoud ervan kost.’ Dit heeft volgens Bobbert te maken met een verouderde manier van leiding geven aan mensen binnen een hypermoderne technologie.
‘Bedrijven die DDoS-aanvallen laten gebeuren zijn niet proactief bezig. Natuurlijk zijn er wel initiatieven; banken praten met elkaar, telecombedrijven praten met elkaar, eigenlijk alle organisaties die veel kritische infrastructuur hebben en dezelfde problemen delen. Politie, justitie, maar commerciële organisaties niet of te weinig.’ Terwijl ze wel openstaan voor die kennisuitwisseling.
Opleiding wordt steeds belangrijker
Daarom wordt opleiding volgens hem de komende tijd nog belangrijker. ‘In it-opleidingen moet heel veel veranderen. Ze moeten nog beter gaan aansluiten op het bedrijfsleven. Daar is nu een grote stap in gezet met het European e-Competence Framework (e-CF). Op Europees niveau zijn er afspraken gemaakt en profielen opgesteld. Deze zijn vervolgens doorvertaald door bijvoorbeeld het Platform van Informatie Beveiliging (PvIB) en worden geadopteerd door onder andere de LOI Hogeschool. Dit maakt de benodigde skills die it-professionals moeten hebben heel duidelijk voor een hr-manager. Ook met betrekking tot security.’
‘Er wordt binnen het Framework bijvoorbeeld onderscheid gemaakt tussen security engineer, een medewerker op operationeel niveau, een security specialist, die zich richt op een specifiek gebied van security of een security officer. Nu wordt de engineer wel eens een officer genoemd terwijl een officer zich bezighoudt met beleid uitzetten en mensen bewegen om maatregelen te treffen en besluitvorming te doen om de bedrijfsvoering te verbeteren en veiliger te maken. Veel meer gericht op het proces.’
De jonge vraagbaak
Langzamerhand vindt er ook binnen organisaties een verschuiving plaats. ‘Nog steeds zitten ze bij een Raad van Bestuur niet te springen om een dertigjarige op te nemen. Maar zij zien ook het voorbeeld van Microsoft en Google, waar respectievelijk een ceo van in de veertig rondloopt en het de dertigers zijn die bepalen. Die bedrijven hebben de oude garde zoals Phillips al lang ingehaald. Dus kennelijk kunnen ze iets heel goed’, legt Bobbert uit.
‘Daardoor wordt het dus steeds logischer om toch jongeren in de bestuurskamer toe te laten. Ervaring is in dit vakgebied nu eenmaal ondergeschikt omdat beveiliging continu verandert en een zeer jonge discipline is. Adoptief vermogen en analytisch vermogen zijn belangrijke competenties. Ik zie dan ook steeds meer dat een bestuurskamer een jongere als vraagbaak inzet die hier heel veel vanaf weet en de essentie heel makkelijk kan uitleggen.’
Overheidsinmenging en bestuurlijke aansprakelijkheid
Ook de overheid helpt mee aan de kentering in bewustwording. Bedrijven maken zich klaar voor allerlei security & privacy wetgeving die nu wordt geëffectueerd. ‘De mensen op bestuurlijk niveau zien in dat zij iets moeten doen. Bij overtreding van de privacywet geldt bestuurlijke aansprakelijkheid en een boete van 2 procent van de jaaromzet. Daarvoor komen ze wel in beweging. Wat ik hieraan belangrijk vind is dat de bestuurder zich nu afvraagt: ‘Wat doen we eigenlijk aan het beschermen van privacy, toetsen wij onszelf wel op het lekken van gegevens?’ De security manager moet die vraag kunnen beantwoorden en kunnen verantwoorden waarom zij dat wel of niet doen, wat dat kost en welk potentieel risico er nog steeds is.’
‘Ook de utiliteitensector wordt verplicht om frequent hun assets te meten, waar die staan, en of die gevaar lopen. Zodat niet zomaar op afstand een gemaal opengezet kan worden en de Noordoostpolder onder water loopt. Of een energiecentrale buiten gebruik wordt gesteld.’
‘Heel veel van deze wetgeving komt voort uit het Diginotar-incident. Dit was heel serieus en heeft Nederland heel erg geraakt. Ik denk dat de NZA-case ook een hele grote impact gaat hebben, maar meer op de bestuurlijke aansprakelijkheid van security. Het mag toch niet zo zijn dat jij je werknemer gaat negeren en dat er vervolgens zoiets gebeurt. Ik zou daar nu niet graag bestuurder zijn.’
Meten is weten
Als de bestuurlijke aansprakelijkheid groter wordt, dan moet de boel beter worden onderbouwd met een business case. Dat kan alleen maar met feiten, dus de ontwikkeling naar alles meetbaar maken, wordt volgens Bobbert steeds duidelijker. ‘Worden wij aangevallen en hoe vaak? Is dat vijf keer per dag of vijfhonderd keer per dag. En bij Bol.com is dat wat belangrijker dan bij de stenenfabriek op de hoek. Die gegevens moet je uit de apparatuur halen en je vervolgens afvragen: Hoe doen wij het? Zo wordt bewustzijn gecreëerd.’
‘De essentiële data moet dus beter worden geïnterpreteerd. Dit kan betekenen dat je geen firewall neer hoeft te zetten. Misschien zijn intelligente switches wel voldoende. Maar de gemiddelde it’er denkt: Ik wil die laatste blauwe firewall met al die lampjes. De security manager moet echter vanuit zijn kennis zeggen: maar wat houdt die firewalltegen en hoe kan dat onze bedrijfsdoelstellingen helpen? Dus veel meer vanuit een business idee. Dit lijkt heel logisch, maar het gebeurt nog bijna niet’, aldus Bobbert. ‘Vanuit de wetenschap is er veel onderzoek gedaan naar business case criteria. Die criteria gebruiken wij in de praktijk bij bedrijven maar deze worden ook binnen de security-opleidingen behandeld. Daarmee kunnen bestuurders en managers op basis van feiten uit de business case hun besluitvorming doen.’
Op basis hiervan kan bijvoorbeeld gericht worden bepaald of bijvoorbeeld mobile computing toegelaten kan worden of wel of niet alles in de cloud onder te brengen. Hij zegt: ‘Als je een gemeente bent, kun je prima mobile toelaten want gemeentedocumentatie is vaak publiek, dus waarom ga je dan moeilijk doen en dit verbieden? Maar voor Europol of de NATO ligt het wat gevoeliger.’
Maar eigenlijk zijn security officers hiervoor te veel met andere dingen bezig, legt Bobbert uit. ‘Uit een heel grootschalig onderzoek van de Universiteit van Antwerpen onder 48 security officers met meer dan vijftien jaar ervaring kwam onder andere naar voren dat ongeveer de helft intern bezig is te voldoen aan checklijstjes, dus ISO en audits en niet met de buitenwereld. De security officer anticipeert onvoldoende op mogelijke bedreigingen. Een strategie ten aanzien van ongecensureerde media en hoe daarop te reageren, is er niet. Dat vind ik zo schokkend. Want het gebeurt toch echt buiten: DDoS, internet, cyber, spionage. Het is vergelijkbaar met als de politie alleen maar op kantoor zou zitten.’
De belangrijkste security trends en ontwikkelingen volgens Yuri Bobbert:
1. Nasleep afluisterpraktijken Merkel voelbaar bij overheden
2. Opleiding wordt steeds belangrijker
3. De jongere generatie doet zijn intrede in bestuurskamer als vraagbaak
4. Overheidsinmenging d.m.v privacy wetgeving zorgt voor bestuurlijke aansprakelijkheid
5. Meten is weten: met als doel bewustwording en verantwoording (reporting)
Securitytrends volgens de Computable-experts
Founder en partner bij Kahuna Rhett Oudkerk Pool: ‘De belangrijkste ontwikkeling zal zijn dat bedrijven zich gaan klaar maken voor allerlei security & privacy wetgeving. Hiervoor is het nodig om echt forensisch klaar te zijn. Je moet kunnen zien of er onregelmatigheden in je infrastructuur gebeuren, anders kun je nooit zeker zijn dat bijvoorbeeld privacy gevoelige gegevens op straat komen te liggen. Serieuze boetes en plichten. Security is eindelijk een boardroom issue.’
Algemeen directeur Realopen IT Bram Haasnoot: ‘Organisaties hebben te maken met een constante verandering in hun it-landschap terwijl het bedrijfsrisico met deze verandering toeneemt. Veelal gedreven door krimpende budgetten en toename van toezichthouders rond wet en regelgeving is de belangrijkste trend voor 2014 het veilig en gecontroleerd toegang kunnen aanbieden en beheersen vanaf verschillende locaties en devices. Nu wordt I&AM al gebruikt bij grote organisaties, veel onderwijsinstellingen en ziekenhuizen, maar ik verwacht dat deze oplossing steeds vaker ingezet wordt om veiligheid en flexibiliteit van de groei van identiteiten, apps en devices te waarborgen.’
Government crypto specialist bij Compumatica secure networks Ad Koolen: ‘De security affaire bij Diginotar heeft duidelijk gemaakt dat de overheid strenger moet toezien op het verstrekken van overheidscertificaten waarmee de authenticiteit van een gebruiker wordt bevestigd. Deze certificaten (pki-overheid) worden ook toegepast in de nieuwe digitale identiteitsdocumenten zoals het paspoort en de ID-kaart, maar ook kentekenbewijzen en straks de nieuwe e-ID die het huidig DigID zal gaan vervangen. Er zijn in Nederland vier commerciële bedrijven die overheidscertificaten uitgeven, echter, deze certificaten zijn allen gebaseerd op een buitenlands moedercertificaat. Het gebruik van een Nederlandse root-CA zal niet alleen door de Nederlandse overheid worden toegejuicht, andere Europese landen en bedrijven zullen hier graag gebruik van willen gaan maken.’
Zelfstandig security adviseur Michiel Steltman: De belangrijkste trend in de tweede helft van 2014 is voor mij de ‘security crisis’. Naar mijn mening wordt deze crisis veroorzaakt door het convergeren van een aantal problemen. Na Heartbleed weten we dat open source toch niet zo veilig is als we dachten, na Oauth weten we dat authenticeren met passwords niet langer houdbaar is. De overheid holt met haar gedrag het vertrouwen in adequate bescherming van onze informatie en privacy steeds meer uit. De huidige frameworks zoals ISO27001 geven ons onvoldoende garanties en bedrijven weten dat we meer in security moeten investeren, maar niemand wil er zelf voor betalen en niemand weet hoeveel er echt nodig is.
Security manager bij Mirabeau Sander Nieuwenhuis: ‘Privacy gaat steeds meer issue worden. Accepteren bezoekers van website dat gegevens kwetsbaar zijn en worden gebruikt voor profiling, of slaat de trend om naar meer vraag om veilig omgaan met privacy?
Principal security consultant bij Madison Gurkha Hans van de Looy: ‘Als Edward Snowden iets heeft losgemaakt bij het algemene publiek is het wel de roep om het beschermen van de privacy. De komende maanden zal er steeds vaker aandacht worden gevraagd door allerlei consumentenorganisaties voor het goed of nog beter beschermen van persoonsgegevens en andere vertrouwelijke informatie. Goede beveiliging kan dan ook nooit een optie zijn die je achteraf kunt toevoegen aan een oplossing. Het is een inherent onderdeel van die oplossing en moet als zodanig vanaf het prille begin worden meegenomen in het bouwen ervan. En daar kunnen bijna alle organisaties nog het een en ander leren.’