Nederland werd dit jaar opgeschrikt door de grootste polderhack ooit. Russische criminelen maakten via het botnet ‘Cybervor’ 1,2 miljard inloggegevens buit, gestolen van meer dan 3200 websites. Nooit eerder werden we op die schaal het slachtoffer van brute digicriminelen. De boodschap is duidelijk: hackers zijn hun hobbyfase inmiddels ruimschoots voorbij. Maar de digitale verdedigingslinies blijven vaak rammelen.
De hack heeft één ding klip en klaar gemaakt: it is minder vaak dan nodig berekend op zeer complexe, gericht uitgevoerde aanvallen. Voor veel te veel organisaties staat de digitale onderwereld met 3-0 voor als het gaat om techniek, uitvoering en professionaliteit.
Ergens is dat niet zo verwonderlijk. Hackers zijn enorm gedreven. Door geld, soms door politieke motieven. Het is voor hen – helaas – hun dagelijks brood, hun kostwinning, hun eer en roem. Dat terwijl it en zeker de beveiliging daarvan in de ogen van veel C-level-managers puur een kostenpost is. Een cto of it-manager kan wel willen, als de grote baas ‘nee’ zegt, gebeurt er weinig.
Een misvatting die pijnlijk duidelijk wordt wanneer de digitale dijken doorbreken, met alle ernstige gevolgen van dien. Een grootschalige hack en dito dataverlies kan zomaar het faillissement van een organisatie betekenen. Of in een ‘gunstig’ geval fors gezichtsverlies.
Het roer moet om
Het roer van de it-beveiliging moet in 2015 voor veel bedrijven en overheden drastisch om. ‘Dat overkomt mij niet’ is een houding die echt niet meer past bij deze tijd. De hacks van dit jaar hebben geleerd dat de focus van hackers van banken en corporates verschuift naar ook het mkb en het mid-segment. Beveiliging moet nog veel hoger op de agenda komen, zowel bij de politiek, als bij it’ers. En last but not least: in de boardroom.
Benodigd wapenarsenaal
De benodigde security-middelen in 2015? Duidelijk is dat een enkele oplossing niet meer voldoet. Anti-malwaresoftware en firewalls alleen gaan het niet redden, daarvoor ligt het tempo aan de verkeerde zijde van de lijn te hoog. Ontwikkelingen als big data en byod vragen om een holistische aanpak. Identity & access-management en data beveiliging wordt steeds belangrijker. It moet continu, op iedere data-actie antwoord kunnen geven op de vragen ‘door wie, wat precies, en waarom’. Zowel hardware als best practices moeten continu onder de loep. Voldoen ze nog? Waar zitten eventuele lekken?
Threat monitoring
Daarnaast gaat threat monitoring aan belang winnen. Verdediging tegen hackers is helaas geen set-and-forget-verhaal meer, continue waakzaamheid is bittere noodzaak. Ethical hackers in gaandat licht een druk jaar tegemoet: hun expertise is in veel organisaties meer dan welkom of zou dat in ieder geval moeten zijn. Zij weten als geen ander hoe hackers denken, hoe ze te werk gaan en welke tools ze gebruiken. Goede ethical hackers zijn de helden van de it-afdeling, het equivalent van een goede undercover CIA-agent.
Laat 2015 niet het jaar van de verbroken cybercrime-records worden. Met een combinatie van de juiste tools, mindset en menselijke expertise maken we absoluut een kans tegen de digitale duisternis.
Threat Monitoring en SIEM systems zijn misschien nu in de mode, maar de geschiedenis laat zien dat elk systeem waar een continu inspanning is vereist, uiteindelijk niet de oplossing wordt. Elke event moet worden opgevolgd met een maatregel en dat kon weleens te kostbaar blijken. Bovendien is de colleratie tussen de events veelal niet zo geslaagd.
Een grotere focus op preventie lijkt mij persoonlijk doelmatiger.
Prima artikel. Het roer moet inderdaad om. Ik ben het roerend eens met het commentaar van “kj”: Een grotere focus op preventie is noodzakelijk. Nog steeds wordt 40% van de security incidenten veroorzaakt door menselijk handelen. Goede training waarin mensen worden gestimuleerd en gemotiveerd naar veilig gedrag zorgt voor en juiste cultuur in de organisatie met betrekking tot de informatiebeveiliging en zal het aantal incidenten verkleinen. EEn goed security awareness programma gaat gepaard met gedragsverandering van mensen in de organisatie. Alleen door security op de agenda te zetten van de hele organisatie krijg je duurzame weerbaarheid in je bedrijf. Training, gevolgd door regelmatige refresh (opfris) sessies zijn nodig om te voorkomen dat er wordt teruggevallen naar het oude (onveilige) gedrag. Met vriendelijke groet, Rob Koch (Sebyde Academy)
Helemaal met je eens Henk. Awareness is vaak nog ver te zoeken in de gemiddelde boardroom en daar begint het wel allemaal mee. Ik zou zelfs nog wat verder willen gaan dan sec het bedrijfsleven. Beveiliging van data is thuis ook altijd al aan de orde geweest, maar met de komst van IoT, BYOD en daarmee het vervagen van de scheidslijn tussen werk en prive wordt het thuisfront een steeds zwakkere schakel in het geheel. Kortom, ook thuis zullen we op onze hoede moeten zijn.
OEPS “het equivalent van een goede undercover CIA-agent” gezien het folterschandaal dat nu openbaar wordt een wel erg ongelukkige vergelijking.
100% zekerheid bestaat niet. Het is zaak af te wegen wat het risiko is en wat de gevolgen zijn en op basis daarvan een strategie uitzetten.
Preventie is daarbij zoals kj zegt het eerste. Simpliciteit is voorwaarde voor de aanname van security-management. Wordt het te ingewikkeld dan zullen gebruikers niet mee doen.
Om de open deur nog maar eens voor de miljoenste maal in te trappen, security is een proces, geen status.
Zolang gebruikers voor ieder suikerklontje (spelletje o.i.d.) hun smartphone besmetten blijft het dweilen met de kraan open. Daar is de keuze voor cloud/web-applikaties een betere weg als je tenminste de toegang aan strenge voorwaarden knoopt.
Aardig verhaal, maar een nog beter voorbeeld van het gebrek aan beveiliging is de hack bij Sony. Deze hack is een complete bedreiging voor het voortbestaan van een grote multinational.
In bovenstaand verhaal wordt gesproken over tooling, maar zover mij bekend, zijn vrijwel alle tools bedoeld om achteraf vast te stellen dat er een hack was. Iedere keer dat er een nieuw type aanval komt, is het weer mis en heb je weer dezelfde ellende. Bestaande tools zijn in staat om bekende aanvallen te herkennen, maar daar houdt het dan ook mee op. Wanneer gaan we investeren in actieve monitoring/tooling?
Reactief is nogal passief wanneer het aankomt op het voortbestaan van een organisatie.
Het roer moet om, Benodigd wapenarsenaal, Threat monitoring, het lijkt wel een reclame campanje voor een politieke partij !
Ervaring heeft me geleerd dat je op management nivea niet moet zeiken over security. ‘We hebben toch een firewall’
Etical hackers zijn echt geen helden. bugs die zelfs door amateurs binnen vijf minuten gevonden kunnen worden en die veelal gewoon gedocumenteert zijn vallen niet onder heldendom maar onder slecht werk.
Echt hackwerk vereist iets meer moeite dan een scriptje schrijven dat een url in een loopje aanroept.
Fear Sales
Ook hier weer. Voor 2015. Iets wat mij betreft standaard tussen de oren van menig IT professional moet zitten, immers, het na blijven denken, het in overweging blijven houden van zaken zoals security, moet gewoon standaard zijn. Wat mij betreft komt dit veel te weinig terug in alle onderliggende IT disciplines. Maar wie ben ik!
Als er al iets is dat ik heb geleerd in al die jaren in IT, dan is het ‘Devide and Conquer’. Verdeel en Heers. Wat doet men? Men gaat koppelen. Koppelen dat het een lieve deugd is. Wij gaan data centraliseren. Heel erg handig. Natuurlijk… voor mensen zoals hackers.
EPD
Al vanaf het begin stelde ik dat je data zo verspreid mogelijk moet houden maar moet nadenken over toegangs protocollen. Immers, wanneer iedereen verantwoordelijk is voor eigen in house data, zijn de kosten van beveiligen lager en intrusion. Je hoeft dan hoogstens nog maar te spreken over de wijze en waarmee je gaat beveiligen.
Uiteraard is beveiliging natuurlijk altijd weer een kat en muist tussenbeveiliger en hacker. Een ethische hacker, leuk en aardig idee. Waar het uiteindelijk telkens weer op aan komt is betrouwbaarheid. En dan is er nog de vraag betreffende continuiteit. Want waar blijf je als je voor een dubbeltje alles wil hebben maar als werkgever, opdrachtgever of overheid zelf, professionals weinig tot geen perspectief wenst te bieden.
Omdat dat zo particperend en ecomisch staat? 2015 zal het tegendeel op veel vlakken bewijzen, waaronder uiteraard ook security. Mark my words.