De meeste bedrijven zijn niet in staat zelfstandig een volwassen security-operatie te draaien. Dat vereist specifieke en zeldzame skills, zoals van een poolvos die zijn gravende prooi onder sneeuwvlaktes opspoort en vangt met een gerichte duik.
Ronald Prins is directeur en medeoprichter van Fox-IT. Hij studeerde Technische Wiskunde aan de TU Delft en heeft zich daarna gespecialiseerd als cryptograaf. Bij het Nederlands Forensisch Instituut was hij werkzaam als wetenschappelijk onderzoeker. In het kader hiervan heeft hij vele beveiligingen doorbroken waar de politie tegenaan liep bij het uitvoeren van hun onderzoeken. Daarnaast is hij medeverantwoordelijk voor de inzet van nieuwste methoden om digitale informatie voor rechercheonderzoeken te verkrijgen. In 1999 heeft hij samen met Menno van der Marel Fox-IT opgericht.
We hebben in Nederland maar een paar bedrijven die zelfstandig een volwassen security-operatie draaien. Het zelf runnen van zo’n security-operatie is namelijk veel meer dan het hebben van een firewall, dan het hebben van een SIEM-systeem (Security information and event management). Ik vergelijk het – natuurlijk – met een vos: de poolvos. Die is speciaal toegerust om kleine knaagdieren op te sporen, die verborgen zitten onder een dik pak sneeuw en zeer gericht te pakken.
Zelf willen doen
Wij hebben meestal pas engagement met organisaties ná een security-incident. Vaak willen klanten dan zélf de capability opbouwen en voortaan hebben om zichzelf beter te beschermen. In de praktijk komt dat helaas neer op het bouwen van een soort meldkamer waar mensen dan drie jaar gaan zitten wachten op het volgende incident. Het zelf runnen van een volwassen security-operatie is veel meer dan dat en het is moeilijk.
In de Verenigde Staten zijn bedrijven daar een stuk verder in dan wij hier in Europa. Die voorsprong is deels te danken aan de tikken die de Amerikaanse overheid uitdeelt. Zoals boetes die flink kunnen oplopen. Hier in Nederland heeft KPN bijvoorbeeld een boete van nog geen vier ton gehad voor een security-incident. Ik denk dat bedrijven zich meer zorgen maken over publiciteit dan over zulke boetes.
Vier gevaren
Ondertussen neemt de complexiteit van dreigingen toe. In wezen zijn er vier soorten: ‘gewone’ hackers (inclusief de Brenno’s en zijn vrienden), criminelen, hacktivisten zoals eerst Anonymous maar nu ook activisten tegen boringen in Arctisch gebied, en tot slot de nation state actors. De eerste soort dreiging kun je zelf redelijk aan, de overige drie zijn van een hele andere orde.
Veel organisaties leven nog met de misvatting: ‘Maar ik doe toch niets spannends? Ik ben dus geen doelwit.’ Tegenwoordig is eigenlijk iedereen een doelwit. De hack bij JP Morgan Chase was een logische; een bank, daar valt wat te halen. Terwijl JP Morgan een half miljard heeft geïnvesteerd in security. Maar grote hacks als die bij Target, via de POS-systemen (point-of-sale, elektronische kassa’s – red.), en Sony lijken minder logisch. En wat denken van de inbraak bij Gemalto en van hacks bij driver-leveranciers voor industriële camera’s? Doelwitten zijn niet per se zelf het doelwit, maar vaak juist een middel voor aanvallers.
Weerstand opbouwen
De kernvraag is hoe hou je ze tegen? Ik merk dat er nog altijd een neiging is om veel ‘dozen’ neer te zetten. Dat is natuurlijk commercieel interessant voor de security-industrie, en het helpt ook wel wat. Maar een volwassen security-operatie vereist veel meer. Het vereist dat je proactief te werk gaat, dat je dreigingen kunt zien aankomen. Daarvoor heb je uiteindelijk een SOC (security operations center – red.) nodig en daarvoor heb je mensen met skills nodig plus intelligence over threats plus goede tools.
Nog één belangrijk ingrediënt: je hebt voldoende security-incidenten nodig om weerstand op te bouwen. Ik zie dan ook een verschuiving in de security-industrie naar meer managed security-diensten. In Europa is dit wat moeilijker om van de grond te krijgen. Daar ligt een rol voor de overheid, die het in landen als Duitsland en Frankrijk goed doet op dit gebied. Internationaal zetten de grote netwerk- en computerleveranciers allemaal in op managed security, terwijl de telecombedrijven dat al langer doen. Nu komen ook de Big 4 (Deloitte, PwC, Ernst & Young en KPMG) met managed security services.
Per ongeluk gehackt
Het lijkt steeds meer te leven dat je het niet zelf kunt en het dus beter aan een specialist kan uitbesteden. Vergeet niet: veel hacks gebeuren ‘per ongeluk’. Aanvallers hebben het heus niet altijd gemunt op een specifieke organisatie. Ze kijken gewoon en geautomatiseerd waar er een kwetsbaarheid is. Zo ook die 17-jarige hacker die in 2012 binnen was gekomen bij KPN. Hij wist niet eens dat ‘ie KPN hackte, hij had gewoon een scriptje laten draaien en de volgende ochtend had hij toegang tot 800 servers, ergens.
De poolvos heeft een specifieke set skills om op eindeloze vlaktes zijn stiekeme prooi op te sporen en met een gerichte actie te vangen onder de dikke lagen sneeuw:
Helemaal eens, hoge sancties maar vooral ook productaansprakelijkheid en aansprakelijkheid voor gevolgschade van klanten moet nog zwaarder worden ingezet in wetgeving. Organisaties moeten gecertificeerd worden door onafhankelijke securityauditors, een soort keurmerk dat waarborg geeft dat de organisatie de security goed op orde heeft.