Computable-experts schetsen het security-landschap voor 2016. En dat landschap is nogal aan het veranderen. De afhankelijkheid van it is groter en er wordt meer geld en aandacht besteed aan it en informatiebeveiliging. Er ontbreekt echter focus op het technische aspect van security. Beveiligingsbewustzijn wordt dan ook een belangrijk thema voor 2016. Daarnaast komen ook nieuwe vormen van omgaan met encryptie aan bod.
Security-landschap
Marcel Bosgra, lead architect bij ION-IP:
Het landschap van internet bedreigingen is aan het veranderen: waren het in de jaren negentig vooral virussen en rond het jaar 2000 vooral de wormen, nu zijn het de botnets en advanced persistent threats. Het is niet meer de vraag óf maar wanneer je wordt aangevallen en of je dit als organisatie inzichtelijk hebt. Was vroeger een antivirus-pakket en een netwerk-firewall voldoende, nu is het zaak met behulp van next generationf firewalls real time inzicht te hebben in vreemde communicatiestromen van en naar internet en proberen om de kill chain van advanced threats te ontmantelen.
Martijn Minnen, it-architect bij Dimension Data:
Door de verregaande digitalisatie van primaire bedrijfsprocessen neemt de afhankelijkheid en het belang van technologie verder toe. Eigendom van it-middelen verschuift meer naar gebruik van it, waarbij er sprake is van integratie van verschillende diensten. Als bedrijf kom je steeds meer in een regierol terecht, echter de eindverantwoordelijkheid voor de beveiliging van (persoons)gegevens verdwijnt hiermee niet.
Een grote uitdaging zal zijn om deze complexe en heterogene infrastructuren te beveiligen met near real-time inzicht in de status. Daarnaast is vanaf 1 januari 2016 de meldplicht datalekken verplicht, welke niet alleen impact heeft op de techniek maar ook op de organisatie. Denk aan zaken als scholing, een incident response proces, chain of command, risk assessment, etc. De vraag naar een nieuwe generatie security oplossingen (Security as a Service) en goed geschoold personeel (war on talent) zal hierdoor nog verder toenemen.
Martijn van Lom, general manager Kaspersky Lab Benelux & Nordic:
APT’s gaan letters verliezen, maar winnen aan kracht.
Er zal een dramatische verandering optreden in de structuur en werking van APT’s: Ik verwacht een verminderde nadruk op ‘persistence’ te zien, met een grotere focus op geheugenresidente of bestandsloze malware. Dit zal voor minder achtergelaten sporen zorgen op een geïnfecteerd systeem, met als gevolg een kleinere detectiekans. In plaats van te investeren in bootkits, rootkits en aangepaste malware die wordt ontmaskerd door onderzoeksteams, verwacht ik een toename in het herbestemmen van panklare malware.
Dieven in de tv en/of criminaliteit in het koffiezetapparaat.
Ransomware zal terrein winnen bij bank-trojans en zal zich naar verwachting uitstrekken tot nieuwe terreinen zoals OS X-apparaten, die vaak in het bezit zijn van rijkere en dus meer lucratieve doelen, naast mobiele apparaten en het internet der dingen.
Nieuwe manieren om gebruikers te laten betalen.
Alternatieve betalingssystemen zoals ApplePay en AndroidPay zullen samen met aandelenbeurzen in toenemende mate doelwitten worden voor financiële cyberaanvallen.
Een gelekt leven.
2015 zag een stijging in het aantal gevallen van DOXing (openbaar maken van persoonlijke documenten), openlijke shaming (openbaar maken van gemaakte fouten) en afpersingsaanvallen. Ik verwacht dat deze praktijk helaas exponentieel zal stijgen in 2016.
Data-encryptie
Harry Driedijk, sales director Noord-Europa bij A10 Networks:
Het probleem voor security is vaak dat veel security devices niet met SSL-verkeer om kunnen gaan, zeker niet als het gaat om veel verkeer en als het verkeer extra versleuteld (encrypt) is (4K keys). Firewalls, IDS/IPS, SIEM, etc hebben graag niet-versleuteld verkeer zodat zij dit direct kunnen inspecteren. Ik zou daarom graag het topic SSLi (SSL insight aka Intercept) willen aandragen. Het betreft hier de mogelijkheid om uitgaand encrypted verkeer eerst te kunnen inspecteren voordat het wordt verstuurd.
John Veldhuis, Senior System Consultant bij Sophos:
In plaats van het probleem van vertrouwelijkheid te benaderen vanuit de it-infrastructuur, zou men het ook kunnen benaderen vanuit de data zelf. Dit betekent dat op het moment dat vertrouwelijke gegevens het werkgeheugen van een computer verlaat, met andere woorden, opgeslagen wordt, men al moet weten hoe goed deze data zal zijn beveiligd op deze opslaglocatie. Wanneer mijn data automatisch kan worden versleuteld, met sleutels die onder mijn controle staan, maakt het voor de vertrouwelijkheid niet meer uit waar deze staat. Ook veroorzaken voorheen rampzalige inbreuken minder schade. Wanneer alle bestanden die gelekt zijn via usb, browser, firewall, laptop, backup tape, etc goed versleuteld zijn, kan er geen sprake zijn van een lek, alleen nog van minder optimaal functionerende infrastructuur.
Lex Borger, Principal Consultant bij I-to-I:
Microsoft heeft zijn security na jaren wel op orde: het heeft secure coding opgenomen in het ontwikkelproces en een goed beheer van kwetsbaarheden. Ook andere software leveranciers beginnen het goed te snappen. Nu zien we dat dit geheel wordt verpest door onveilige praktijken bij hardware leveranciers, in 2015 zagen we Lenovo en Dell uitglijden, beiden door een eigen certificaat op de laptop te installeren zodat beheer op afstand makkelijk wordt. Je zou het een beginnersfout kunnen noemen. En we hebben in Nederland het SUWInet, dat de gemeenten met een aantal instanties verbindt. Ook hier horen we dat beveiliging onder de maat is en pas achteraf ingebouwd wordt. Het wordt tijd dat iedereen gaat begrijpen wat secure coding inhoudt en hoe cryptografie geïmplementeerd moet worden. 2016 is het keerpunt.
Security in de boardroom
Jesse Thiel, sales & business development director bij Diligent:
Het belang van security is inmiddels bij iedereen bekend. Vaak betekent dit dat er meer geld en aandacht wordt besteed aan it en informatiebeveiliging. Maar een focus op het technische aspect van security is niet genoeg. Beveiligingsrisico’s moeten meer op strategisch niveau worden aangepakt. Om het security-niveau te verhogen moeten dus zowel technische als organisatorische maatregelen genomen worden. Maatregelen die onder andere cultuur, bewustzijn, leiderschap, governance, maar ook een goed detectie- en responsbeleid omvatten. Dit betekent dat security in 2016 écht een verantwoordelijkheid van de boardroom is. Een goed security-beleid kan alleen opgetekend worden als de complete bedrijfsvoering gericht is op het voorkomen van incidenten.
Dennie Spreeuwenberg, security awareness specialist bij NextTech Security:
In de praktijk blijkt veiligheid bij een groot deel van de organisaties niet te leven op bestuurlijk niveau. ‘Wij hebben toch firewalls en end-point security in huis?’ wordt dan gezegd. Dit zou anders moeten. In veel gevallen blijkt er niets tot nauwelijks iets gedaan wordt aan de menselijke kant van informatiebeveiliging. Uit onderzoek blijkt namelijk dat meer dan 70 procent van alle it-security-incidenten te wijten zijn aan het toedoen van eigen medewerkers. Gelukkig wordt dit steeds meer erkend. Wij verwachten dan ook dat organisaties in 2016 meer aandacht gaan besteden aan Awareness programma’s en fysieke pentesten (Social Engineering onderzoeken).
Gerard Stroeve, manager Security & Continuity Services bij Centric:
Een van de drie belangrijkste security-thema’s voor 2016 is beveiligingsbewustzijn. Dit is een lastig thema, maar een enorm belangrijk onderdeel van informatiebeveiliging. Awareness bij zowel de medewerkers als het bestuur is in feite het vangnet voor security en de olie in de securitymachine. De uitdaging is om continu nieuwe manieren te vinden om de medewerkers het belang van informatiebeveiliging op het hart te drukken.
Wat is er nieuw aan deze punten? Het zijn allemaal voorspellingen die al in de voorgaande jaren zijn uitgekomen c.q. uit hadden moeten komen. Achterhaald en raken niet de kern van wat er moet gebeuren.
De Wet bescherming persoonsgegevens is gebaseerd op de Grondwet en heeft is in 2001 tot stand gekomen! Recent aangepast met nieuwe aangescherpte regels vanuit Europa.
De security best-practices zijn voor het grootse deel van de vorig eeuw.
Ook de best-practices rondom bewustzijn en bedrijfsvoering (Plan Do Check Act) dateren van die tijd. In al de ISO/NEN normen is dit de basis, die ook terug te vinden in Voorschrift Informatiebeveiliging Rijksoverheid (VIR 2007), de latere varianten voor de overheden (BIR en BIG) en de gezondheidszorg (NEN7510).
Waar ik naar toe wil:
Als je voor het jaar 2016 toe voorspellingen wilt doen, dan is het voldoende om terug te kijken naar al die goede richtlijnen en best-practices en gaan nadenken waarom deze niet zijn opgepakt, omarmt en toegepast?
Stop met voorspellen, langs de lijn roepen, een soort van Agile benadering en zie Informatiebeveiliging niet als Cybersecurity, waar diverse experts hun voorspellingen op loslaten, maar gewoon als BEDRIJFSVOERING (Plan DO Check Act).
Andere industrieën gingen ICT al voor. De Automotive branche (zelfs/vooral bij Volkswagen) is daar een goed voorbeeld van.
Het niet tijdig en goed oppakken van beveiliging als bedrijfsvoering geeft de wetgever nu de kans, in het kader van de Meldplicht Datalekken, de achterblijvers op te sporen en om royaal boetes uit te delen.
Wie pakt de uitdaging op om gewoon vakmatig goed aan de slag te gaan?
Dus niet wachten of de voorspellingen uitkomen, maar onderzoeken, risico’s afwegen, kiezen, implementeren en borgen. Dus gewoon doen!
Succes,
Norman van Es
@norman: inderdaad, als de beveiliging bij Volkswagen niet in orde was geweest was die sjoemelsoftware er waarschijnlijk nooit doorgekomen.. 😉
@Norman
Inderdaad, beveiliging is een bedrijfsproces en geen incidenteel terugkerend de-escalatie project.