‘Privacy als integraal onderdeel van security’

In 2016 staat veel te gebeuren op het vlak van privacy en dataprotectie. Hoewel de discussie ‘security versus privacy’ dit jaar al is begonnen, barst deze in 2016 echt los. Computable-experts bespreken verschillende it-beveiligingsvoorspellingen voor het komende jaar. Hierbij worden onder andere cloudbeveiliging en de integratie van beveiligingsoplossingen aangehaald.

Privacy

Richard van Lent, managing partner bij MITE Systems:
2015 stond vooral in het teken van onderwerpen als ‘Cloud First’, ‘Mobile First’ & internet of things (IoT). Daarnaast heeft de Wet Meldplicht Datalekken, een toevoeging op de bestaande Wbp, de afgelopen maanden nogal wat stof doen opwaaien binnen afdelingen als hr, legal/risk compliance, security en ict. Data Analytics-oplossingen gaan voor de meeste bedrijven rand voorwaardelijk worden als het gaat om het borgen van de privacy, compliancy en security in de dagelijkse operatie. Een belangrijke trend voor 2016, die zich momenteel in een rap tempo ontwikkelt, is dan ook het inzetten van Data Analytics-oplossingen om zaken als beveiliging, voorspelbaarheid & gedrag bijna in realtime inzichtelijk te maken.

Gerard Stroeve, manager Security & Continuity Services bij Centric:
Een andere belangrijke security-trend voor 2016 is privacy. Op het gebied van privacy staat er het komende jaar veel te gebeuren. Neem bijvoorbeeld de meldplicht datalekken. Deze gaat op 1 januari 2016 in en verplicht organisaties (zowel bedrijven als overheden) om ernstige datalekken direct te melden. Ook krijgt het College Bescherming Persoonsgegevens (CBP), dat vanaf 1 januari verder gaat als de Autoriteit Persoonsgegevens, boetebevoegdheid tot 820.000 euro. Daarnaast vormt de Europese Algemene Data Protectie Verordening een belangrijke internationale ontwikkeling op het gebied van privacy. Naar verwachting wordt ook deze begin 2016 van kracht met een overgangsperiode van zo’n anderhalf jaar. Komend jaar moeten organisaties echt aan de slag met de voorbereiding op die nieuwe wetgeving.

Het is daarbij belangrijk om privacy niet als een op zichzelf staand onderwerp te benaderen. Privacy heeft specifieke wet- en regelgeving, maar is wel een integraal onderdeel van informatiemanagement en -beveiliging als geheel.

Lex Borger, Principal Consultant bij I-to-I:
De politieke discussie ‘security versus privacy’ is al begonnen, maar gaat in het verkiezingsjaar in de Verenigde Staten echt losbarsten. Hoeveel privacy moeten we opgeven om terrorisme te bestrijden? Mogen overheden eisen stellen om toegang te krijgen tot informatie die versleuteld verzonden wordt of opgeslagen is? Kan terrorisme zo bestreden worden? Kunnen we overheden vertrouwen met die mogelijkheden? Kunnen we voorkomen dat anderen (overheden, georganiseerde criminaliteit) hier misbruik van maken? Mag de burger nog wat te verbergen hebben? Voldoende gelegenheid tot discussie, ik ben benieuwd.

Cloud, integratie en IoT

Gerard Stroeve, manager Security & Continuity Services, Centric:
De derde belangrijke trend voor 2016 is cloudsecurity. Veel organisaties geven aan nog te weinig grip te hebben op de cloudoplossingen die zij gebruiken. Hoe vind je bijvoorbeeld afstemming met grote, publieke cloudleveranciers als Google, Microsoft en Amazon? Een andere grote uitdaging vormt de zogenaamde ‘Shadow it, een fenomeen waarmee bijna iedere organisatie tegenwoordig te maken heeft. Wanneer de juiste functionaliteit niet of niet snel genoeg beschikbaar is, zoeken medewerkers daarvoor steeds vaker zelf een oplossing in de cloud. Zo ontstaat er langzaam maar zeker een wildgroei aan gebruikte cloudoplossingen waarop de organisatie geen grip heeft. Dat vraagt om helder beleid en goede richtlijnen rondom veilig cloudgebruik, zonder daarbij de productiviteit in de weg te zitten. Een praktisch handvat hierbij vormt de 4C-benadering.

John Veldhuis, Senior System Consultant bij Sophos:
Zoals we in de gateway een integratie hebben gezien van voorheen losstaande apparaten voor email/web proxy, vpn, packet filtering, layer 7 filtering, load balancing et cetera. in een UTM, gaan we een doorontwikkeling meemaken die ervoor zorgt dat anti-malware, UTM en versleutelingsoplossingen met elkaar praten. Voorbeeld: Verdacht verkeer, bijvoorbeeld ransomware gerelateerd, wordt gedetecteerd. Dit kan door software op de besmette machine zijn, maar ook door de UTM. Hierdoor kan automatisch:

• de machine ontdaan worden van sleutels, zodat vertrouwelijke data niet gelekt kan worden, maar ook het bewerken ervan (versleutelen door ransomware) niet meer kan plaatsvinden (geen sleutel = geen toegang);
• de machine in een quarantaine- of mitigatienetwerk worden geplaatst, op de overige machines een zoekactie worden gestart naar het bestand dat het verkeer veroorzaakte de herkomst van het bestand worden gezocht en in een reputatiefilter worden gezet et cetera.

Harm de Haan manager consultancy bij Telindus:
Door de toenemende complexiteit van it-infrastructuren en de mate waarin onderdelen met elkaar geïntegreerd zijn, is security steeds moeilijker te garanderen. Bovendien zijn de gevolgen van een ´breach´ groter, door de nieuwe Wet Meldplicht Datalekken. Hierdoor is security voor veel organisaties een belangrijk thema in 2016. Endpoint solutions kunnen veiligheid onvoldoende garanderen, juist door de complexiteit van moderne infrastructuren. Beter zouden organisaties zich oriënteren op ‘security by design’: een aanpak waarbij security in de ontwerpfase van een infrastructuur wordt ingericht als onderdeel van de losse componenten, zoals compute, networking en storage.

Lex Borger, Principal Consultant bij I-to-I:
Geen excuus meer: TLlskan nu overal en gratis. Ttp’s moeten hun business-model veranderen, Let’s Encrypt levert gratis tls-certificaten met automatische provisioning. Jouw site kan altijd https aan. Geen dure certificaten te beheren, geen moeilijk proces voor aanvraag, maar je moet wel aantonen dat je zeggenschap hebt over je website. Voor velen zal dit veilig genoeg zijn. Het betaalde proces voor certificaatbeheer is complex genoeg, het is absurd dat er nog gepleit wordt om SHA-1 langer geldig te laten zijn omdat we onze certificaten niet snel genoeg kunnen opsporen en vervangen.

Ook zal het internet of things in 2016 explosief groeien met sensors en kleine automaatjes die eenvoudig moeten werken en simpel aan te sluiten zijn. Dit geeft heel veel mogelijkheden voor hackers om ik weet niet wat te doen (Ik ben niet creatief genoeg om te bedenken wat er allemaal mogelijk is). We gaan er flink last van krijgen dat onze netwerkinfrastructuren inherent onveilig zijn. Het is nog steeds eenvoudig je voor te doen als een ander apparaat op het internet. Dit gegeven ligt aan de basis van veel aanvallen – DDoS, identity theft.

Tot slot: een gedegen basisproces

Los van deze drie thema’s vraagt informatiebeveiliging vooral een integrale benadering, meent Gerard Stroeve. ‘Informatiebeveiliging is een breed vakgebied met verschillende aandachtsgebieden. Naast de genoemde thema’s, is er bijvoorbeeld cybersecurity. Het aantal DDoS- of ransomware-aanvallen zal komend jaar niet afnemen. Ook verwachten we dat de aandacht voor beschikbaarheid en continuïteitsmanagement het komend jaar zal toenemen.’

Om effectief met al deze uiteenlopende dreigingen om te gaan, is een gedegen basisproces volgens hem cruciaal. ‘Door een goed governancemodel ben je in staat te reageren op nieuwe en veranderende dreigingen. Hierbij staan classificatie en het analyseren van risico’s centraal. Belangrijk is ook dat informatiebeveiliging een stevig managementdraagvlak krijgt.’