De huidige aanpak van informatiebeveiliging is niet effectief meer. Organisaties werken meestal met tientallen verschillende producten en diensten, afkomstig van een groot aantal leveranciers. Dit is uitgegroeid tot een onhoudbare situatie: er zijn voortdurend updates nodig en het gebrek aan integratie leidt tot beveiligingsgaten. Bovendien is de personele belasting te groot geworden – zowel de benodigde mankracht als de benodigde kennis zijn niet meer toereikend.
Cybercrime is vergaand geautomatiseerd en geïndustrialiseerd. Waar nog bijkomt dat de cybercriminelen in sommige gevallen ondersteuning krijgen van overheden. In deze veranderende wereld is informatiebeveiliging zeer complex geworden. Daarom is een fundamenteel andere aanpak vereist.
Security als bedrijfsproces
Deze andere aanpak gaat uit van een securityarchitectuur op basis waarvan de beveiliging kan worden ingericht als een bedrijfsproces. Binnen dit proces moeten de beveiligingscomponenten (producten, diensten) tezamen een platform vormen, zodat zij naadloos informatie kunnen uitwisselen. Nieuwe beveiligingscomponenten moeten hier ook zonder problemen ingevoegd kunnen worden. Het beveiligingsbedrijfsproces en het platform moet zo worden ingericht dat het hele aanvalscontinuüm – vóór, tijdens en na een aanval – wordt afgedekt. Van het tegenhouden en detecteren van aanvallen tot afslaan ervan, plus de (forensische) analyse van wat er gebeurd is en het bepalen welke impact de aanval heeft gehad. Het op een fundamenteel andere manier aanpakken van de beveiliging is allereerst nodig om de dreigingen van vandaag en morgen het hoofd te bieden.
Regelgeving
Maar de overheid stelt in toenemende mate ook eisen aan organisaties en hun beveiliging, in eerste instantie vanuit het besef dat cybercriminelen ook kritieke infrastructuren, zoals onze mainports, de energievoorziening en de financiële wereld, kunnen aanvallen. Er is een meldplicht in de maak en er komen boetes als organisaties zich niet aan de regels houden. Andere organisaties zullen met specifieke regels voor informatiebeveiliging te maken krijgen. Zoals ziekenhuizen die nu snel digitaliseren en daardoor doelwit worden voor het stelen en/of manipuleren van gevoelige data. Mede door deze regelgeving moet cybersecurity uit de hoek van het netwerk- en it-beheer komen. Informatiebeveiliging is een zaak van het topmanagement, het komt daar immers ook terecht als het misgaat met de beveiliging.
Samenwerking
Waar de Nederlandse overheid in actie is gekomen – met wet- en regelgeving, maar ook met het organiseren van de Cybertop in Den Haag – is er internationaal nog een lange weg te gaan. Afstemming over aspecten zoals privacy, kosten tijd omdat lang niet alle overheden hier hetzelfde over denken. Cybercrime is een internationaal verschijnsel en zal dus ook internationaal moeten worden aangepakt. Maar dat wil niet zeggen dat er in Nederland niet meer kan gebeuren. Zo kan de overheid, in samenwerking met het bedrijfsleven, tot een security-ecosysteem komen en nog meer stimuleren dat organisaties adequate beveiligingsmaatregelen nemen. En wellicht werkt stimuleren, bijvoorbeeld in de vorm belastingvoordeel voor bedrijven die hun security aantoonbaar op orde hebben, beter dan het vooruitzicht op torenhoge boetes.
Gezamenlijke verantwoordelijkheid
Cybersecurity is een gezamenlijke verantwoordelijkheid, van overheid, bedrijven en consumenten. Maar ook securityleveranciers dragen hier een maatschappelijke verantwoordelijkheid. Voor het verbinden van mensen, processen, data en dingen (het internet of everything) is security cruciaal. Samenwerking en bijdragen uit de security-industrie zijn onmisbaar om tot deze essentiële bescherming tegen cybercrime te komen.
Rob de Wildt, directeur Publieke Sector bij Cisco Nederland
Dit artikel is ook te lezen in GOV magazine nummer 8.
Fear Sales act 1001
Alleen met de aanhef en het laatste alinea, ben ik het wel eens. Alhoewel in het laatste ook flink wat open deuren worden ingetrapt. Voor de rest is een aanzienlijk deel van dit probleem aan commercie te wijten.
Byod, Hiod, GottotGot, Saas, Maas, Paashaas
Alles moest uit commerciële overweging razendsnel anders. IT moest weer worden losgetrokken van de door de bankencrisis en totale incompetente overheid veroorzaakte inzinking dus gaan we, whats new, oude wijn in nieuwe zakken doen. We gaan als een razende allerlei producten ontwikkelen en roepen om het hardst dat iedereen toch vooral maar mee moet, nee je moet, geen weg terug, enz. enz.
Consequenties
De consequenties moge duidelijk zijn. Een grote verwatering van tal van noodzakelijkheden waarvan security er eentje van is. De grootste gemene deler? De mens. Ik zie vrijwel niemand dat aspect echt adresseren waardoor mensen zoiets hebben als, ach, als ik nou maar die of gene app download, zit ik er weer warmpjes bij.
Luiheid troef
Je merkt dan ook in de praktijk dat een app, hype en commercie vele malen belangrijker is als bijvoorbeeld veiligheid. Internet crime neemt daardoor hoge vluchten en de dooddoener dat we eigenlijk de strijd tegen de cybercrime hebben verloren hoor je dan ook steeds vaker.
Common sense
Wat ik mis is een hand in eigen boezem van de IT professional. Ik blijf het nog steeds vinden dat er een taak is weggelegd in ‘opvoedkundige’ zin dat gebruikers, al is het eindeloos, moeten worden gewezen op de gevaren van het gebruik van internet. Dat het IoT de nodige gevaren met zich mee zal brengen. Dat de dwang en drang van banken geen cash meer te gebruiken maar de bankapp consequenties heeft.
Dat je je klant op de nadelen van connectiviteit moet wijzen wanneer zij cloud en byod implementeren en dat dat veiligheidsaspect inderdaad steeds zwaarder dient te wegen in afwegingen dan tien jaar geleden.
En nu juist dit laatste ziek ik maar zeer summier terug in de praktijk. Uiteraard zal dit voor de vele individuele IT professional natuurlijk niet gelden. Die hebben hun zaakjes natuurlijk hardstikke goed op orde.
Uiteraard.
Saai en inspiratieloos verhaal waarbij allerlei verschillende security-gerelateerde problemen op één hoop worden gegooid en er vervolgens wat algemeenheden en gemeenplaatsen worden opgesomd.
Computer beveiliging is inderdaad een enorm probleem: Complex, divers, ingrijpend. De meeste bedrijven hebben helemaal _andere_ aanpak nodig, het zou al leuk zijn als ze überhaupt een aanpak hadden!