Wat een normale dinsdagochtend voor de webcare-medewerkers van PostNL leek te worden, werd een grote heksenketel. Via Twitter waren duizenden volgers die nacht bestookt met kwaadaardige links die leidden naar malafide sites. Met alle gevolgen van dien. Ook de ict'er had niet de beste ochtend van zijn leven. Hoe kon dit gebeuren? Helaas blijkt ook hier dat je kwetsbaarder bent dan je denkt, zelfs als je denkt alles voor security te hebben gedaan.
Security is niet alleen een zaak van software, van hardware, van oplossingen, van beheer en control. Security is meer en meer een zaak van ‘samen’. Samen werken, samen verantwoordelijkheid dragen en samen verantwoord ondernemen. Daarmee doel ik op meer dan alleen de traditionele relatie tussen ict-leveranciers en afnemers.
Eigenlijk is er allang geen sprake meer van de gescheiden termen ‘leverancier’ en ‘afnemer’, want zeker op securitygebied draagt de gebruiker ook weer zijn steentje bij. Nieuw ontdekte dreigingen of onbekende bestanden komen automatisch terecht in een geanonimiseerde cloudomgeving waar andere gebruikers weer voordeel van hebben. Zo kunnen we samen nieuwe dreigingen in de kiem smoren.
Zwijgen laat voortwoekeren
De tegenwoordig benodigde samenwerking voor security gaat, zoals gezegd, verder dan alleen die zakelijke relatie tussen beveiligingsbedrijf en beveiligingsbenutter. Hoe technisch complex bovenstaand securityvoorbeeld ook is, het blijft een relatief eenvoudig gegeven: samenwerking moet ook actieve kennisdeling omvatten. Samenwerking moet ook uitgebreide informatievoorziening betreffen en samenwerking moet openheid van zaken geven.
Security-incidenten worden namelijk nog te vaak verzwegen. Enerzijds omdat het slechts een incident was, waarbij tijdig is ingegrepen en er dus niets aan de hand lijkt te zijn. Anderzijds omdat het een incident was waarbij schade is aangericht, waar een slachtoffer zich dan voor lijkt te schamen. Terwijl dat onterecht is; iedereen kan gehackt worden. Bepalend is wat je daarna doet.
In het geval van een afgeslagen hack kan kennisdeling en openheid juist helpen om herhaling te voorkomen. Bij jezelf en bij anderen. De afgeslagen inbraak bij de één kan immers de onvermoede succesaanval bij de ander zijn. In het geval van een succesvolle security breach valt er nog veel meer te leren. Voor jezelf en voor anderen. Al was het maar om nu even extra alert te zijn. Verzwijgen laat het kwaad voortwoekeren.
Business ‘as usual’
Het is immers niet alleen security dat een serieuze business is. Cybercrime is dat tegenwoordig ook. Daarbij werken de bad guys vaak goed samen. Ze doen dat zelfs op efficiënte wijze: compleet met ecosystemen van ontwikkelaars, afnemers, dienstverleners en onderaannemers. Alleen dan niet voor gewone zakelijke doeleinden, maar voor malafide doeleinden. Bad business dus, die loont.
Natuurlijk, de lange arm der wet – bijgestaan door security-onderzoekers zoals die van ons – reikt ver en weet heus wel eens kwaadwillenden in de kraag te vatten. Alleen betreft het daar vaak slechts de onderaannemers. Arrestanten zijn meestal de uitvoerende cybercriminelen die de middelen voor hun malafide werkzaamheden betrekken van derden die op de achtergrond blijven. Vaak blijven zij buiten bereik, om hun criminele werkzaamheden weer voort te zetten.
Blijf alert online
Zoals zij samenwerken aan de andere kant van de wet, zo moeten wij samenwerken om tegenwicht te bieden. Dat kan op ‘hoog niveau’ door details over malware en aanvalsmethoden te delen. Maar het kan ook op ‘normaal niveau’ door gewoon goed te letten op digitale veiligheid, die van je ‘buren’ en van jezelf. Verbeter je eigen veilige gedrag, hou je beveiligingskennis bij, deel jouw inzichten met anderen.
Iedereen heeft een verantwoordelijkheid voor security. Neem die verantwoordelijkheid. En weet dat je dat niet alleen doet. Samen moeten we sterk staan, juist digitaal. Mooi dat er daarom initiatieven zijn zoals Alert Online (maandag 26 oktober 2015 start de vierde editie van Alert Online, de landelijke awareness campagne over cybersecurity) die ons daar op blijven attenderen. We kunnen het namelijk niet alleen. Wij niet als leverancier, maar ook jij niet als onderneming. Hoe dan wel? Samen! Simpel gezegd, niet zo simpel gedaan.
