Internet of things (IoT) koppelt inmiddels grote aantallen mensen, applicaties, bedrijven en machines aan elkaar. Dat levert data op. Veel data. En hiervan zijn cybercriminelen zich ook bewust. Deze ontwikkeling vereist flinke verbeteringen in de security – en privacy – strategieën van Nederlandse organisaties. Een blik op cybersecurity in 2015.
De ene wearable is nog niet aangekondigd of er zijn alweer vijf nog nieuwere en innovatievere apparaatjes op de markt gebracht. In retail zijn iBeacons al niets nieuws meer en de zorgsector is al helemaal futuristisch bezig met hun wearable tattoos, cyberpillen, elektronische anticonceptie en genezende computerchips.
Aanvallen op de dingen van het IoT nemen dus alleen maar toe, zo stelt ook Sophos met hun Security Threats Trends 2015. We zullen daardoor een verschuiving zien in het soort attacks. Waar eerst grote organisaties meer dan eens het slachtoffer vormden, zijn nu ook individuen een aantrekkelijk doelwit voor hackers. Via de wearable devices, smartphones en tablets is namelijk zeer waardevolle data te stelen. En hoe meer data ergens te halen valt, hoe beter. Bovendien kunnen cybercriminelen grote schade aanrichten als ze toegang hebben tot persoonlijke informatie, naw-gegevens of data over de aankoopgeschiedenis van een consument. Gevoelige informatie komt zo op straat te liggen. Of erger: hele identiteiten kunnen gestolen worden.
Awareness creëren in de boardroom
Het probleem is – vooral in Nederland, maar ook elders – dat we denken al alles op alles te zetten om onze assets te beschermen en daar redelijk succesvol in zijn. Maar die gemakzucht en lichte arrogantie gaat ons de kop kosten. Vaker nog zijn we immers helemaal niet op de hoogte van de risico’s die we lopen en van de dreigingen die er op de loer liggen. ‘Ons overkomt dat niet’ of ‘dat hebben we allemaal afgedekt met onze beveiligingsmaatregelen’ zijn dan uitspraken die ik vaak voorbij hoor komen. De ervaring leert echter iets heel anders.
Het topmanagement is in veel gevallen helemaal niet bewust van de schade die hackers hun bedrijf kunnen toebrengen en op welke wijze ze vandaag de dag te werk gaan. Een eerste stap in het beveiligen van je organisatie is awareness creëren. Cybersecurity is in 2015 al lang en breed geen taak meer van alleen de it-afdeling. C-level managers, oftewel de boardroom of de directieleden, zijn degenen die uiteindelijk bedrijfsbrede beslissingen kunnen en mógen nemen.
Om de boardroom bewust te maken, kunnen cyber incident simulaties helpen. In 2014 werden deze al in toenemende mate bij grote bedrijven ingezet. Maar ook voor het mkb of eenmansbedrijven helpt het om eens een dergelijke simulatie te ondergaan. In 2015 zullen we deze markt zien groeien. Hierdoor leer je namelijk welke situaties zich eventueel voordoen, welke beslissingen er genomen moeten worden en hoe je er als bedrijf adequaat op kunt reageren. Is die kennis er bij je ceo, cto en cio, dan staat de organisatie niet meer voor verrassingen in het geval er daadwerkelijk een cyber incident (aanval, chantage, en dergelijke) plaatsvindt.
Monitor en leer
Met alleen handige technische tools redden we het niet. Zeker niet als we niet eerst het hoe, wat en waarom van een potentiële cyberaanval achterhalen. Alleen door de zwakke punten in de beveiliging (zowel in fysieke systemen en netwerken als in de strategieën erachter) onder de loep te nemen, leren bedrijven over hun kwetsbaarheden en kunnen ze gericht maatregelen treffen.
Het inzetten van security-middelen zonder eerst deze kennis te vergaren, is dan ook zinloos. Een stapel zandzakken tegen de voordeur werkt ook niet als de overstroomde rivier aan de achterkant je huis binnenstroomt. Doe daarom eerst kennis op en pak de zwakheden stuk voor stuk aan. Op de spreekwoordelijke ‘vinger in de dijk’-manier zijn veel meer aanvallen te weren, dan door het aanrukken van goede beveiligingstechnologie die voor verkeerde doeleinden wordt ingezet.
Mijn tip voor 2015 op het gebied van cybersecurity is dan ook: neem een stap terug en overzie de huidige situatie eerst. Denk niet dat je bedrijf onkwetsbaar is. Maar bekijk waar zwakheden liggen en waar ze ontstaan. Pak deze vervolgens effectief aan. Bittere noodzaak hierbij is: het creëren van awareness, monitoring en het continu updaten van systemen, toepassingen en netwerken. Cybersecurity is nooit compleet optimaal. Het blijft een voortdurend verbeterproces.
Bravo voor dit artikel! Informatiebeveiliging begint met inventarisatie. Als je niet weet wat je aan informatie in huis hebt kun je het ook niet beschermen. Onveilig gedrag van gebruikers van ICT middelen zijn de oorzaak van 40% van de security incidenten. Security moet op de agenda van iedere werknemer staan. Dit betekent vaak het veranderen van gedrag. Bewustzijn en gedragsverandering bereik je niet door het personeel elk jaar 10 vinkjes te laten zetten in een “Security Awareness audit”. Het wordt tijd dat bedrijven dit inzien en dat digitale inbraak geen “ver van hun bedshow” is wat alleen bij anderen gebeurt. Mijn enige toevoeging aan dit artikel zou zijn dat de tip voor 2015 ook zou moeten bevatten “continue updaten van systemen, toepassingen, netwerken en mensen”. Mensen hebben ook updates nodig! Met vriendelijke groet, Rob Koch (Sebyde BV)
Een goed artikel met een solide advies. De huidige ontwikkelingen op het gebied van beveiliging zijn: analyse & mitigatie van zwakheden in de infrastructuur versus event-detectie. Hoewel het laatste erg sexy (en duur) is, is het uiteindelijk mosterd na de maaltijd. Het analyseren van de ICT infrastructuur en het wegwerken van zwakheden erin is uiteraard veel doelmatiger. Als je outsourcingpartner daartoe in staat is, tenminste.
Een goed artikel, met een goed advies, maar zitten de bestuurders daar op te wachten. Bestuurders verwachten security by design en security by architecture en zitten echt niet te wachten op risico analyses over mogelijk exploits die mogelijk schade toebrengen.
Laat alle security experts nu eens beginnen met het implementeren van een paar principes voor security, projecten daarop actief controleren en zorgen dat securitymanagement de gewoonste zaak van de wereld is. Security management is een Itil proces, dus implementatie rijp.