Maar weinig Nederlandse bedrijven hebben hun eigen security goed op orde zonder externe dienstverlening. Het lukt de grote banken al nauwelijks, dus hoe moet dat dan bij het MKB? Ik ben heel benieuwd of de Meldplicht datalekken vanaf 1 januari tot veel meldingen gaat leiden, of dat het wel meevalt. MKB-bedrijven weten vaak niet eens dat er data is gestolen, dus hoe kunnen ze het dan melden? Ik denk dat er meer voor nodig is om bedrijven te motiveren om hun security te verbeteren.
Over deze blogger
Ronald Prins is directeur en medeoprichter van Fox-IT. Hij studeerde Technische Wiskunde aan de TU Delft en heeft zich daarna gespecialiseerd als cryptograaf. Bij het Nederlands Forensisch Instituut was hij werkzaam als wetenschappelijk onderzoeker. In het kader hiervan heeft hij vele beveiligingen doorbroken waar de politie tegenaan liep bij het uitvoeren van hun onderzoeken. Daarnaast is hij medeverantwoordelijk voor de inzet van nieuwste methoden om digitale informatie voor rechercheonderzoeken te verkrijgen. In 1999 heeft hij samen met Menno van der Marel Fox-IT opgericht.
Je kunt je afvragen of de Meldplicht datalekken wel een goede incentive is voor bedrijven om hun informatiebeveiliging op orde te krijgen. Ik ken bedrijven die er helemaal geen zin in hebben om precies te weten wat er op hun netwerk gebeurt, want dan krijgen ze allerlei toezichthouders op hun dak. Ze willen het natuurlijk wel weten als er intellectueel eigendom wordt gestolen, want dat raakt hen in de portemonnee. Maar bij het lekken van persoonsgegevens is dit niet direct het geval, waardoor de prikkel ontbreekt om er iets aan te doen. Ik verwacht daarom dat er iets nodig is als een grote verstoring van kritische infrastructuur of bijvoorbeeld een deel van het internet, om iets aan die situatie te verbeteren.
Kritische infrastructuur
Wat mensen als geen ander wakker kan schudden op security-gebied, is iets dat hen direct raakt. Bijvoorbeeld als er iets stuk gaat of wordt lamgelegd bij een energiebedrijf, bank, netwerkprovider of andere kritische infrastructuur. Of dit nu per ongeluk gebeurt, door hackers, een nation state actor of misschien zelfs terroristen, door zo’n gebeurtenis kan de angst al snel toeslaan. Een goed voorbeeld is de TV5Monde-hack in Frankrijk, waarbij dit jaar een hele tv-zender op zwart ging omdat een hacker in de systemen wist door te dringen. Iets dergelijks zou ook Nederland heel wat teweeg brengen en initiatieven voor betere security sterk bevorderen.
Malware en botnets
We zijn inmiddels zo afhankelijk geworden van het internet en de digitale wereld, dat de gevolgen van een verstoring van een stuk kritische infrastructuur in Nederland of wereldwijd grote gevolgen zal hebben. Als een vitaal bedrijf in de communicatie, verkeer of energievoorziening uit de lucht gaat door een computerstoring of hack zijn de gevolgen niet te overzien. En de gevaren komen uit allerlei hoeken, van hacktivisten, buitenlandse inlichtingendiensten en terroristen tot jongetjes op zolderkamertjes. Er is nog wel kritische infrastructuur die op legacy-systemen draait, maar dat is eigenlijk niet zo erg. Die zijn over het algemeen stabieler dan computers waar we tegenwoordig de meest kritische systemen op laten draaien. Ik ken bijvoorbeeld energiebedrijven die met een rood lintje een Windows 2000-machine hebben afgeschermd, want die doet het al tien jaar. Zij vinden continuïteit belangrijker en als er verder toch geen hacker bij kan komen, dan is dat op zich een prima oplossing. Er is echter wel een les die we kunnen leren van de manier waarop deze systemen redundant zijn opgebouwd. Als er vroeger een transformatorhuisje uitviel, dan was er bijvoorbeeld altijd nog een andere. Het dubbel uitvoeren van systemen in de digitale wereld is echter een stuk lastiger. Als er een virus rondgaat of er een specifieke storing optreedt, dan vallen beide uit, want die systemen zijn meestal gewoon kopieën van elkaar. Ik pleit er daarom voor om een back-upsysteem altijd op te bouwen op basis van een andere architectuur. Dat maakt het voor hackers lastiger, maar ook als een systeem omvalt, heb je minder risico dat een back-upsysteem hetzelfde probleem heeft.
Zorg voor een plan B
Security is een heel gespecialiseerd beroep, dat zeker door bedrijven met kritische systemen uitbesteed zou moeten worden. In Amerika is die trend al ingezet, en ik denk dat die ook in Nederland gaat doorzetten. Er zijn ook in Nederland al MKB-bedrijven die hun volledige security en monitoring uitbesteden. Denk aan bedrijven die onderdelen voor rakettechnologie ontwikkelen en weten dat ze een doelwit zijn voor buitenlandse staatsgedreven actoren. Maar voor een normaal MKB-bedrijf is dit een stuk minder noodzakelijk, ook al zal voor deze doelgroep op termijn ook een passende security-dienstverlening ontstaan. Een ding is zeker: als je bedrijfskritische systemen hebt, zorg dan altijd voor een plan B. Ofwel: zorg dat je een uitwijkmogelijkheid hebt die niet op dezelfde architectuur gebaseerd is. Ik zou bijvoorbeeld adviseren om het gebruik van digitale kopieën van firewalls te vermijden. Doe het net iets anders. Gebruik je meerdere firewalls in serie, kies er dan niet twee van hetzelfde merk, maar verschillende. Dat kost misschien een beetje in meer aan beheeropleiding, maar als er dan een zero-day exploit is voor een van de omgevingen, dan werkt deze niet automatisch ook op de andere firewall.
