Het afgelopen jaar zijn er veel zaken op informatiebeveiligingsgebied in beweging gezet, die in 2015 naar verwachting van Computable experts zullen worden doorgezet. Security-oplossingen zijn in 2014 al een stuk intelligenter geworden, maar in 2015 zullen er meer oplossingen bijkomen en komt de focus onder andere op identity management en access management te liggen.
Intelligentere securityoplossingen. Cybercriminelen doen in 2014 niet meer onder doen voor de ‘offline’ georganiseerde misdaad, zegt Henk van der Heijden, managing director (a.i.) bij Comsec Consultany NL en partner & oprichter van TecHarbor. ‘De klassieke ‘end-point’-beveiliging blijkt dan ook kwetsbaar.’ De security issues die volgens Gerard Stroeve, manager security & continuity services bij Centric, in 2014 dan ook in het oog sprongen zijn Heartbleed, Poodle, Shellshock en de Schannel bug. ‘Voor veel van deze kwetsbaarheden geldt dat zij al vele jaren in de implementaties aanwezig waren, soms wel al 25 jaar. Al die tijd zijn ze onopgemerkt gebleven, althans, door de gebruikers van de systemen. En als ze nog niet bekend waren bij kwaadwillenden, dan waren ze dat na de vele publicaties over de kwetsbaarheden uiteraard wel.’ Stroeve meent dan ook dat in dergelijke gevallen er snel maar beheerst dient te worden gehandeld. ‘Het belang van een goede registratie van de aanwezige infrastructuur, continue security monitoring en een adequaat patch-managementproces is hiermee opnieuw onderstreept.’
Ondanks dit gegeven, zijn securityoplossingen volgens Henk Schotman, business development manager Benelux bij Mobotix, in 2014 ook ‘intelligenter’ geworden. ‘Dit komt zowel door sensoren die automatisch afwijkend gedrag of omstandigheden detecteren, als door slimme software. Die combinatie zorgt ervoor dat zo’n oplossing effectiever werkt en het aantal loze alarmen tot een minimum reduceert. Ook integraties van slimme ip-camera’s met toepassingen voor toegangscontrole of het monitoren van productieprocessen, hebben securityoplossingen het afgelopen jaar intelligenter gemaakt.’
Internet of Threats. En sprekend over sensoren en slimme devices: dit jaar is er ook toenemende aandacht geweest voor de beveiliging van het internet of things (IoT), meent Marc Jepkes, sales manager bij Fortinet. ‘Het afgelopen jaar zag je dat steeds meer hard- en software bedrijven allianties zijn aangegaan om ervoor te zorgen dat internet of things geen internet of threats wordt.’ Dit moest ook wel, want ‘met de beveiliging van consumenten- en huisautomatisering, beveiligingssystemen en webcams is het vaak droevig gesteld.’ Ook Pieter Lacroix, managing director bij Sophos, beargumenteert dat het afgelopen jaar veel bewijs is gezien dat ontwerpers van de nieuwste IoT-apparaten totaal geen rekening houden met de beveiliging van die betreffende connected devices. ‘Deze apparaten zijn nog te vaak helemaal niet beveiligd tegen aanvallen van buitenaf. Ofwel heeft men niets geleerd van de lange geschiedenis aan virussen, trojans, cyberaanvallen die de it-branche al lang kent, of in hun haast de nieuwste gadgets op de markt te brengen, kan het hun weinig schelen.’
Awareness op de kaartgezet. Ten slotte hebben verschillende ontwikkelingen plaatsgevonden in de verschillende normkaders als VIR, BIWA, BIG en andere waarbij awareness als kernelement op de kaart is gezet, zegt Hans Labruyére, directeur commercie van LBVD Consultancy. ‘leidinggevenden moeten aware zijn dat medewerkers niet aware zijn en medewerkers moeten aware worden gemaakt. En dat alles moet kunnen worden geborgd: kwantificeren van houding & gedrag
Voorspellingen voor 2015
Awareness. De door Hans Labruyére genoemde ontwikkeling zal zich, volgens hem, ook in 2015 blijven voortzetten. Dit zal bijvoorbeeld aangejaagd worden door het feit dat verzekeraars nu polissen beginnen aan te bieden op het gebied van informatiebeveiliging, zegt Labruyére. ‘Dat kunnen ze alleen maar doen, als ze inzicht hebben in de kosten die het meebrengt als je het niet doet. Dus is er blijkbaar een rekensom te maken over wat het kost en dus ook wat het oplevert.’ Labruyére verwacht dat die rekensom voor de Informatiebeveiliging nog veel plezier opleveren: ‘ waren we tot nu toe vooral geholpen door toezichthouders, die de factor móeten beïnvloeden, nu gaan we worden geholpen door de Raden van Bestuur, die met het werkwoord wíllen aan de slag gaan. Als dat geen awareness is.’
Meer oplossingen. Deze nadruk op awareness die in 2014 al is gestart, zal in 2015 leiden tot de doorbraak van de cyber intelligence-markt, signaleert Steven Dondorp, managing director bij Northwave. Een andere oorzaak voor deze doorbraak is volgens hem de vervolgacties die organisaties moeten nemen. ‘Zo moeten business ondersteunende afdelingen zich permanent bezighouden met wie het op hen heeft gemunt en welke scenario’s er op hen af kunnen komen.’ Voor 2015 was dit op digitaal gebied vaak nog complex, extreem duur maatwerk en een security elitaire aangelegenheid, legt Dondorp uit, maar nu komen er op dit vlak steeds meer oplossingen op de markt om cyberintelligence relevant te structureren tot use cases voor organisaties. ‘Dit kan via diensten, maar straks ook via diverse oplossingen. Fabrikanten spelen erop in om hiervoor platformen te ontwikkelen. Die zijn nu wereldwijd nog bijna op één hand te tellen.’ Als voorbeeld noemt Dondorp dat er in Nederland het Made-in-Holland Intelworks platform wordt ontwikkeld. ‘Het feit dat fabrikanten, naast de huidige dienstverleners, er nu ook op inspringen, kan een teken van business awareness voor dit thema op security betekenen.’
Identity & access management. Maar niet alleen zullen er nieuwe oplossingen komen, ook zal security het komende jaar op een andere manier moeten worden aangevlogen, aldus Henk van der Heijden. ‘De focus zal in 2015 meer en meer liggen op systemen voor identity & access management, aangezien passieve defensiemechanismen het afgelopen jaar kwetsbaar bleken. Alleen door heel fijnmazig te bepalen welke identiteit, welke actie probeert uit te voeren, op welke informatie, is een bescherming tegen de steeds complexere aanvallen mogelijk.’ Om die reden zullen identity management en data beveiliging volgens Van der Heijden veel verder moeten gaan dan eenvoudige wachtwoordbescherming.
Real time data-encryptie & Threat monitoring. Aan de andere kant gaat real-time data-encryptie een grotere rol spelen, zo gaat Van der Heijden verder. ‘Met het toenemende belang van data zal ook de criminele interesse hierin aanzienlijk groeien. Aan continue vercijfering van bedrijfsdata is daarmee haast niet te ontkomen.’ Verder zegt Van der Heijden dat threat monitoring een belangrijke verdedigingsstrategie zal zijn. ‘Alleen door continu alle verdedigingslinies te bewaken en nieuwe aanvalsmethoden te onderzoeken en rapporteren, kunnen organisaties cybercriminelen slim af zijn. Ethical hackers zullen ten slotte nodig blijven om de systemen continu te testen op zwakke plekken en onvoorziene ingangen.’
Nieuwe malware. Zoals uit bovenstaande voorspellingen wel blijkt, staat datasecurity in 2015 centraal. En niet alleen organisaties zien de waarde van data, ook hackers nemen deze trend waar, waarschuwt Marc Jepkes. ‘Na Scareware en Ransomware wordt Blastware in 2015 de volgende trend in malware. Met Blastware kunnen hackers systemen binnendringen, gegevens verzamelen en deze vervolgens volledig verwijderen van systemen en harde schijven. Zo wissen de hackers hun sporen en belemmeren ze forensisch onderzoek.’ In de toekomst zal Advanced Persistent Threat (APT)-malware volgens Jepkes ook steeds vaker voorzien zijn van een zelfvernietiging die op een bepaald moment of tijdstip activeert. ‘Hackers zullen Blastware bovendien gebruiken om systemen te gijzelen en te dreigen alle gegevens te vernietigen, tenzij er losgeld wordt betaald.’
Fysieke beveiliging. Ondanks het belang van datasecurity, is dit toch niet de enige hoek waarin belangrijke ontwikkelingen verwacht worden. Edwin Roobol, regional director Middle Europe Axis Communictions, onderbouwt met onderzoek van IHS Research dat de fysieke beveiligingsmarkt waarschijnlijk jaarlijks zal groeien met 20 procent. De belangrijkste technologische trends daarbij zijn volgens hem onder andere video surveillance-as-a-service (VSaaS) en cloud computing. ‘Deze technologieën zijn van nut bij het beheren en archiveren van videobeelden die door bewakingscamera’s in de cloud zijn opgeslagen. Daarbij verwachten veel deskundigen in de video beveiligingssector dat de nieuwe hd-standaard ‘4K Ultra HD’ een belangrijke nieuwe ontwikkeling zal blijven en de vanzelfsprekende volgende stap zal zijn naar gedetailleerdere, kwalitatief hoogwaardige beelden.’ Bovendien zullen beveiligingsafdelingen meer informatie uit meer bronnen kunnen verkrijgen, doordat netwerkcamera’s beelden met hogere resolutie kunnen leveren en overal en op elk moment ingeschakeld kunnen worden, aldus Roobol. ‘Zo kan men op basis daarvan doordachte beslissingen nemen.’
Internet of things. Ten slotte zal de trend van toenemende aandacht die er in het afgelopen jaar is geweest voor het internet of things zich in 2015 voortzetten, voorspellen Pieter Lacroix en Edwin Roobol. Zoals Lacroix al noemde was het met de beveiliging van de IoT-devices in 2014 niet goed gesteld. Maar hoewel aanvallen op deze toestellen tot nu toe slechts proof-of-concept waren, zullen organisaties volgens Lacroix in 2015 ook de eerste mainstream aanvallen gaan zien. ‘Zonder betere beveiliging zullen aanvallen op dit soort apparaten een hele vervelende impact hebben op ons dagelijks leven. Denk aan de slimme thermostaat, slimme auto, et cetera. Je moet er niet aan denken dat dit soort apparaten worden gehacked.’ Volgens Lacroix is het dan ook cruciaal dat ontwikkelaars en verkopers van dit soort apparaten het belang van goede security gaan erkennen en dat ook de consument zich hiervan bewust wordt. ‘Dit is nodig zodat security een standaard vereiste bij fabricatie wordt en niet een opmerking achteraf van ons, de security vendoren.’