Mensen doen wat ze gewend zijn te doen, ook als het gaat om security. Dat zegt Dirk Geeraerts, regionaal sales directeur van Gemalto, tijdens een interview met Computable. Geeraerts geeft hiermee een verklaring voor het feit dat een groot deel van de ict-beslissers onterecht nog steeds vertrouwt op perimeter beveiliging. Hij spreekt als voormalig sales directeur Safenet over de recente overname van dit bedrijf door Gemalto, over encryptie en over de juiste beveiligingsaanpak.
In augustus 2014 nam ict-beveiligingsbedrijf Gemalto zijn Amerikaanse branchegenoot Safenet over. Dirk Geeraerts was op dat moment regionaal sales directeur bij Safenet en oefent deze functie nu uit bij Gemalto. ‘De overname bevalt erg goed’, meent hij. ‘De twee bedrijven vullen elkaar goed aan: Gemalto focust op beveiliging aan de rand van de organisatie en Safenet juist op security in de core.’ Wel zitten er volgens hem wat cultuurverschillen tussen de organisaties. ‘Safenet is een Amerikaans bedrijf dat is gegroeid uit acquisities. Gemalto heeft eerder een Europese cultuur. Deze samenkomst van culturen zijn goed overbrugbaar, en sluiten bovendien goed aan bij de wereldwijde aanwezigheid van Gemalto.’
Geeraerts is overtuigd van het succes van een gelaagde beveiligingsaanpak. Uit recent onderzoek van Gemalto is echter gebleken dat 88 procent van de ict-beslissers enkel beveiliging aan de rand van het bedrijfsnetwerk effectief genoeg vindt. Dit vertrouwen in enkel perimeter beveiliging snapt Geeraerts niet. ‘Natuurlijk is beveiliging aan de netwerkrand, zoals een firewall, belangrijk. Je moet de deur dan ook niet helemaal openzetten. Maar in de praktijk zie je dat beveiligingsincidenten, ondanks investeringen in beveiliging aan de netwerkrand, blijven toenemen. Deze verstoringen tonen voor mij dus wel aan dat perimeter beveiliging niet voldoende is.’
Toch snapt Geeraerts ergens wel waar het vertrouwen vandaan komt. ‘Mensen doen wat ze gewend zijn te doen. Bovendien is niemand ooit ontslagen om het feit dat hij heeft geïnvesteerd in klassieke beveiliging.’ Geeraerts hoopt dat de betreffende ict-beslissers zich gaan realiseren dat er een andere aanpak nodig is. ‘Gebruik de benodigde perimeter beveiliging, maar ga deze niet verder uitbreiden’, adviseert hij. ‘Focus je in plaats daarvan op datgene wat nog ontbreekt in de core-beveiliging.’
Drie beveiligingsstappen
Volgens Geeraerts bevat een juiste beveiligingsaanpak drie stappen. De eerste stap is het zorgen voor goede authenticatie. ‘Gebruik bijvoorbeeld in ieder geval multi-factor authenticatie’, zegt hij. ‘Het lijkt voor de hand liggend en uit verschillende onderzoeksrapporten is al gebleken dat slechte authenticatie een belangrijke oorzaak voor data-inbraak is. Maar als je dat weet, doe er dan ook wat aan.’
Vervolgens is het belangrijk om encryptie toe te passen om data te beschermen. Geeraerts benadrukt daarbij dat het enkel gaat over de data die kritisch zijn voor de bedrijfsvoering of andere waardevolle data. ‘Zelfs als hackers dan toegang krijgen tot data, hebben zij er niks aan als het is versleuteld.’
De derde stap is ten slotte dat de encryptie-sleutel ook veilig moet zijn opgeslagen. Dat is volgens hem iets waar nog te weinig focus op is. ‘Sla de encryptie-sleutels op een centrale manier op en doe dit op de juiste plaats in de architectuur. Het probleem hierbij is echter dat er maar weinig mensen zijn in de organisatie die diepgaande kennis hebben over de organisatie-architectuur. Hier ligt volgens Geeraerts een taak weggelegd voor het onderwijs. ‘Mensen moeten worden opgeleid om architecturen te kunnen onderzoeken en controleren op, onder andere, zwakke plekken.’
Als organisaties zich aan deze drie stappen houden, moet het volgens Geeraerts heel lastig zijn voor hackers om nog waardevolle data te kunnen stelen. ‘Organisaties moeten hun omgeving zo oninteressant mogelijk maken voor hackers. Het moet voor hackers niet de moeite waard zijn om jouw organisatie te hacken. Wanneer je de juiste beveiligingsaanpak volgt, moeten hackers het opgeven, want er is maar een beperkt aantal bollebozen dat zulke geavanceerde hacks kan uitvoeren.’
Quantum computing
Vanuit verschillende partijen wordt er gesproken over de ontwikkeling van een quantum computer. Zo investeren onder andere overheden en onderwijsinstellingen in deze volgende generatie computer. Deze supercomputer moet zoveel rekenkracht hebben dat huidige encryptietechnologie makkelijk kan worden gekraakt. Wanneer Computable aan Geeraerts voorlegt dat een dergelijke quantum computer een dreiging voor encryptie kan zijn, geeft hij aan geen expert te zijn op dit gebied. ‘Maar ik verwacht dat het nog een lange tijd duurt voordat een dergelijke computer is ontwikkeld. Bovendien wordt encryptie technologie continu verbeterd.’