Het is slecht met cybersecurity gesteld, maar zo hoeft het niet te zijn, stelt de cto van Trend Micro, Raimund Genes, in een interview met Computable. Het gaat volgens hem voor een deel om de instelling van de autoriteiten. Zolang zij gebruiksgemak boven veiligheid stellen, wordt cybercrime niet bestreden, meent hij. Sterker nog: ‘op die manier wordt cybercrime ondersteund.’
De tools om bedrijfsnetwerken beter te beveiligen zijn al vijfentwintig jaar geleden ontwikkeld, ze worden alleen nog niet geïmplementeerd, legt Genes uit. Dit komt volgens hem voornamelijk door gemakzucht en het belang dat er wordt gehecht aan gebruiksgemak. Volgens Genes wordt gebruiksgemak vooral in Amerika als belangrijker gezien dan cybersecurity. ‘Amerikaanse banken willen bijvoorbeeld niet overgaan op beter beschermde creditcards. Zij zijn namelijk bang dat consumenten dan beter na zullen denken, voordat zij geld uitgeven, omdat zij dan meer stappen moeten nemen om een aankoop te doen, zoals een pincode invoeren, licht hij toe. ‘Hierdoor ondersteunen Amerikaanse banken cybercriminaliteit.’
Beschikbare tools worden dus niet ingezet, terwijl de it-afdeling de ingebruikname van deze tools wel voorlegt aan de cio. Mocht er dan een data-inbraak plaatsvinden, dan komt de it’er in de problemen. Genes raadt it’ers dan ook aan om goed te documenteren wanneer zij de cio op de hoogte hebben gesteld van nieuwe tools. ‘Laat de cio een document zien met daarin alle risico’s van het niet implementeren van de beveiliging en laat dit document door de cio ondertekenen. Dit is een vorm van risk management. Beveiliging moet van twee kanten komen.’
Naast het feit dat er door gemakzucht vaak niet voor de beschikbare, betere beveiliging wordt gekozen, begrijpen veel organisaties de risico’s van nieuwe technologieën ook niet altijd even goed, volgens Genes. Zo gelooft hij niet dat internet of things en de bijbehorende wearables in de nabije toekomst algemeen geaccepteerd zullen worden binnen bedrijven. ‘De fout die veel bedrijven maken zit hem in het idee dat hackers het IoT-device zullen hacken of overnemen en daaraan gekoppeld het idee dat daar zo weinig controle op is’, legt Genes uit. ‘In werkelijkheid is het niet het toestel dat wordt gehackt, maar de server, de backend, die door de cybercriminelen wordt aangevallen.’
Wearables verbieden is geen oplossing
Vanuit deze onwetendheid besluiten organisaties dan maar om wearables helemaal te verbieden op kantoor, maar dat is geen oplossing, zegt Genes. ‘Een verbod of niet, werknemers zullen de toestellen toch mee naar het werk nemen en een manier vinden om toegang tot internet te krijgen.’ Hij wijst erop dat zij dit niet met kwaadaardige bedoelingen doen, maar dat werknemers dit soort dingen nou eenmaal doen om hun werk goed uit te kunnen voeren. Bovendien is een dergelijk beleid niet handig wanneer organisaties jong, nieuw talent willen aantrekken, denkt hij. ‘Jonge werknemers willen gebruikmaken van deze technologie en willen dus bij een bedrijf werken dat hen toestaat hiervan gebruik te maken.’
Organisaties vergeten dit interne gevaar dan ook vaak volgens Genes. ‘Deze organisaties hebben het intranet afgescheiden van het internet door een bescherming in de vorm van een firewall. Maar deze beveiligingsmethode is oud en werkt niet meer voldoende.’ Hij noemt als voorbeeld de Franse televisiezender TV5 die een aantal weken geleden werd gehackt. ‘Ook zij hadden geen middelen om bedreigingen tijdig te detecteren. Daarnaast hadden ze ook geen backup-plan voor het moment dat er daadwerkelijk een hack plaats zou vinden.’
Overheid moet meer doen aan cybersecurity
Maar als organisaties door gemakzucht de implementatie van betere en nieuwere beveiliging laten zitten, op welke manier kan cybersecurity dan toch worden verbetert? Volgens Genes speelt de overheid en de regelgeving hier een belangrijke rol in. ‘Op dit moment doen overheden nog niet genoeg om securitystandaarden te verbeteren of om wetten te ontwikkelen. Pas als er boetes worden uitgedeeld, zal cybersecurity serieuzer worden genomen.’ Genes kijkt daarom ook uit naar de aankomende Europese dataprotectie wetgeving. ‘Cybercrime zal hierdoor niet volledig worden gestopt, maar het wordt wel een stuk moeilijker gemaakt.’
De stappen die organisaties dan moeten nemen om de beveiliging te verhogen, zijn volgens Genes de volgende:
- Ten eerste moeten organisaties een ‘zero-trust environment’ creëren. Dit houdt in dat organisaties volledig accepteren dat er geen scheidslijn meer is tussen het intra- en het internet. Dit heeft onder andere als gevolg dat bedrijven hun werknemers moeten dwingen om two-factor authenticatie te gebruiken.
- Verder moeten organisaties beveiliging hebben geïmplementeerd om data inbraken tijdig te detecteren. Het is ontzettend belangrijk om dit soort inbraken te ontdekken voordat de autoriteiten dit ontdekken.
- Tot slot vergeten veel organisaties dat deze detectiemechanismes op zichzelf ook niet voldoende zijn. Er moeten uiteraard ook mensen worden aangenomen die dit moeten monitoren.
Ik heb met stomme verbazing het gekakel aangehoord en gelezen van het niveau… zij vinden, u moet… doet u het niet dan bent u te laat en loopt u achter de feiten aan.
Even sec kijken of wij elkaar begrijpen.
Uw zienswijze…
Grote investeringen in soft en hardware de toelating van ‘wearables’ en andere externe IT op de netwerken omdat…. ‘zij’ dit zo leuk vinden want anders komt dat ’talent niet bij u werken. Calculeer even mee het verlies in tijd en productiviteit dat die ‘wearables’ en externe HNW IT peripherals veroorzaken en dan natuurlijk nog het financiéle plaatje dat alles te onderouden. Het verder implementeren en ondergouden van regels en procedure waarvan je je af moet vragen of die nieuwe yupjes dat dan ook doen en de financiële zijde die die naleving dan ook met zich mee zal brenegen….
Mijn zienswijze…
Ik maak uit wie er voor mij komt werken en met welke instrumenten dat dat gebeurd die ik zelf ter beschikking stel met bestaande standaarden. Ik heb gescheiden wifi waarbij alleen mijn IT peripherals toegang toe hebben en wenst men gebruik te maken van externe bronnen of de sociale media is dat fysiek gescheiden.
Digitale productie kan niet naar buiten of men moet daar fysiek werkelijk moeite voor doen. Uiteraard is niets volkomen maar eenvoudig loggen doet al veel. Als er een dag thuis gewerkt moet worden worden er verbindingen mgelijk gemaakt die al bestaan en waar verder niet over hoeft worden nagedacht.
Ik hoef niets te bedenken en me ook niet druk te maken over die yup met een nog niet uitontwikkelde concentratiespan en visie die vaak de drempel van de zaak nog niet eens overschrijd in de wetenschap dat de meesten van die yuppen op woensdag al met het weekend bezig zijn. (whats new?)
Zullen wij de maandelijkse prijskaartjes vergelijken of heeft u oog voor … ‘realiteiten’ en het doel waarvoor je IT ook alweer wil inzetten? Een ieder mag van mij roepen en vinden wat die wil uiteraard. Maar laat mij even een moment en ruimte u gewoon een ‘andere realiteit’ onder ogen te brengen.
You be the judge.
De bijdrage van de Genes en de drie (3)door hem genoemde stappen lijken sterk op promotie van de tooling van zijn organisatie Trend Micro.
Misschien is dit een punt van aandacht bij het overnemen van content.
En wat de opmerking betreft: “Overheid moet meer doen aan cyber security
Maar als organisaties door gemakzucht de implementatie van betere en nieuwere beveiliging laten zitten,….”
Waar komt deze “wijsheid” vandaan?
Voor Nederland zie de VIR 2007.
http://wetten.overheid.nl/BWBR0022141/geldigheidsdatum_05-10-2011
Daar begint het verhaal voor de Overheid over
* Definities: Informatiesysteem en Informatiebeveiliging
* Verantwoordelijkheid LIJN management (Eigenaarschap, risicoafweging, classificeren, e.d.
Navolgende de details.
Artikel 1. Begripsbepalingen
In dit besluit wordt verstaan onder:
a. Informatiebeveiliging: het proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen;
b. Informatiesysteem: een samenhangend geheel van gegevensverzamelingen, en de daarbij behorende personen, procedures, processen en programmatuur alsmede de voor het informatiesysteem getroffen voorzieningen voor opslag, verwerking en communicatie.
Artikel 2. Plaatsbepaling en reikwijdte
1.Dit voorschrift geldt voor de Rijksdienst waartoe gerekend worden de Ministeries met de daaronder ressorterende diensten, bedrijven en instellingen.
2.Dit voorschrift geldt voor het gehele proces van informatievoorziening en de gehele levenscyclus van informatiesystemen, ongeacht de toegepaste technologie en ongeacht het karakter van de informatie.
3.Informatiebeveiliging is een lijnverantwoordelijkheid en vormt een onderdeel van de kwaliteitszorg voor bedrijfs- en bestuursprocessen en de ondersteunende informatiesystemen.
Artikel 3. Informatiebeveiligingsbeleid
De secretaris-generaal van een Ministerie stelt het informatiebeveiligingsbeleid vast, draagt dit uit en legt verantwoording hierover af. Het beleid omvat ten minste:
a. De strategische uitgangspunten en randvoorwaarden die het Ministerie hanteert voor informatiebeveiliging en in het bijzonder de inbedding in, en afstemming op het algemene beveiligingsbeleid en het informatievoorzieningsbeleid;
b. De organisatie van de informatiebeveiligingsfunctie, waaronder verantwoordelijkheden, taken en bevoegdheden;
c. De toewijzing van de verantwoordelijkheden voor ketens van informatiesystemen aan lijnmanagers;
d. De gemeenschappelijke betrouwbaarheidseisen en normen die op het Ministerie van toepassing zijn;
e. De frequentie waarmee het informatiebeveiligingsbeleid wordt geëvalueerd;
f. De bevordering van het beveiligingsbewustzijn;
Artikel 4. Verantwoordelijkheden lijnmanagement
Het lijnmanagement is verantwoordelijk voor de beveiliging van zijn informatiesystemen. Het lijnmanagement:
a. Stelt op basis van een expliciete risico afweging de betrouwbaarheidseisen voor zijn informatiesystemen vast;
b. Is verantwoordelijk voor de keuze, de implementatie en het uitdragen van de maatregelen die voortvloeien uit de betrouwbaarheidseisen;
c. Stelt vast dat de getroffen maatregelen aantoonbaar overeenstemmen met de betrouwbaarheidseisen en dat deze maatregelen worden nageleefd;
d. Evalueert periodiek het geheel van betrouwbaarheidseisen en beveiligingsmaatregelen en stelt deze waar nodig bij.
Daarnaast zijn er vele best-practices beschikbaar.
Denk hierbij voor Nederland, aan NEN 7510, BIG, BIR, ISO 27000 (en de daarvan afgeleide ITIL security management).
Daarnaast stellen de diverse toezichthouders en (externe) accountants diverse (security gerelateerde eisen).
Er is al genoeg, maar je moet wel (met verstand) keuzes maken, implementeren en periodiek bijhouden (PDCA cyclus).
N.B. In NL komen (voor zover ik dit heb kunnen ervaren) de banken niet weg met mogelijke) gedrag als van hun Amerikaanse collega’s.