Die vraag kwam bij mij op toen ik mijn collega spreker gepassioneerd en met een enorme kennis over cybersecurity hoorde spreken op '15 Shapes of Finance'. Natuurlijk wist hij zijn publiek bestaande uit cfo’s en accountants enorm te boeien.
Maar voor jou en mij in de rol van softwaregebruiker is het misschien te moeilijk om te snappen wat ict’ers bedoelen als ze het over cybersecurity hebben. Dat zou de verklaring kunnen zijn waarom veel organisaties niet voortvarend genoeg cybersecurity oppakken, terwijl ze dit echt zouden moeten doen. Laten we daarom de uitleg eens dichter bij huis zoeken en laten we ons ict-jargon achterwege.
Cybersecurity dicht bij huis
Ik bedoel letterlijk dicht bij huis. Iedereen die een pc, laptop of tablet heeft, verkeert in de gelukkige omstandigheid dat hij of zij in een flat, appartement of huis woont. Cybersecurity is feitelijk niets anders dan het beveiligen van je waardevolle bezit dat zich in huis bevindt. Ieder woonverblijf heeft een deur, er bevinden zich waardevolle zaken in en je zou voor geen goud je waardevolle zaken kwijt willen.
We doen dus moeite om als een goede huisvader (juridische term) te voorkomen dat onbevoegden deze zaken meenemen. We beveiligen ons huis met één of meerdere sloten van matige tot zeer goede kwaliteit. Er bestaat het SKG-keurmerk met één tot drie sterren die aangeven wat de kwaliteit van een slot is, zodat je kunt zien hoe jij je huis beveiligd hebt. Als we ons huis verlaten, sluiten we het huis af en gaan met een gerust hart op pad. En soms vergeten we een bovenluikje te sluiten. Op dat moment geven we een dief de gelegenheid om bij ons in te breken!
Dat is simpel, dat weten we allemaal. Er zijn filmpjes, folders en de overheid waarschuwt ons.
Waarom is ICT zo moeilijk?
Ik ben ervan overtuigd dat als iedereen cybersecurity begrijpt, veel meer mensen hun computers tegen cybercrime zouden beveiligen. Laten we het daarom simpel houden en de vergelijking tussen de beveiliging van ons huis en beveiliging van onze hardware en de bestanden en folders maken.
Als we starten om informatie te verwerken, zetten we de voordeur open om informatie binnen te laten. Wij vertrouwen erop dat de informatie van een bekende gast komt. We hebben immers via onze beveiliging van de provider ingelogd en als we inloggen op een Office365, AWS, Google account enzovoort dan vertrouwen wij erop dat de provider alles aan zijn beveiliging heeft gedaan dat in zijn vermogen ligt. Hetzelfde vertrouwen hebben wij in een de politie waar een mol ruime tijd zijn gang kon gaan….
We laten de gast in onze pc of laptop (huis) en als de gast even elders moet zijn dan laten we deze zijn gang gaan. We hebben er geen zicht op als hij de kamer verlaat en of naar de gang, naar het toilet of naar de andere kamers gaat om rond te neuzen. In dit geval kan de kwaadwillende in jouw computer door alle kamers(folders) neuzen en met slimme software dingen vinden waarvan jij dacht dat ze goed verborgen en beveiligd waren. Dus als onze computergast malware meeneemt zonder dat wij een goede beveiliging hebben, kan deze malware zaken ernstig verstoren.
Onze juwelen en andere kostbaarheden hebben we niet zomaar in het huis rondslingeren. Die hebben we verborgen. In onze hardware zijn onze juwelen zoals bestanden, foto’s en andere zaken direct vindbaar door gebruik van allerlei malware.
Cybersecurity-termen
Ik heb een tabelletje gemaakt om termen uit het huis met cybersecurity-termen te vergelijken:
|
Huis term |
Cybersecurity term |
|
|
Voordeur |
Backdoor |
Een mogelijkheid om binnen te komen in hardware |
|
Slot |
Firewall |
De beveiliging om derden de toegang te belemmeren |
|
Kamer |
Folder |
Compartimentering van de informatie vergelijkbaar met kamers in een huis. Sommige kamers heb je voorzien van een slot, andere niet. De folders kun je bijvoorbeeld apart beveiligen of encrypten |
|
Wijkteam |
Security bij de provider |
Rijdt er regelmatig politie rond, of hebben jullie een buurtwacht versus: Staat de hardware van de provider als Microsoft, AWS, Google in streng bewaakte datacenters of staat jouw data bij de accountant op de server? |
|
Keurmerk van sloten |
Certificaten die door de provider zijn aangevraagd |
Het SKG keurmerk voor sloten geeft de kwaliteit van de sloten aan. Dat zouden ze eigenlijk ook moeten doen om de security levels van provider s aan te geven ☺ ISAE3402, ISO 27001 en andere certificaten zijn het bewijs dat de security van die provider regelmatig wordt getoetst door derden. |
|
Dievenklauwen, veiligheidssloten etc. |
Anti virus software |
Heb je het bovenluikje beveiligd zodat het niet verder open kan, dievenklauwen etc. versus de antivirussoftware die regelmatig bijgewerkt moet worden |
|
Sleutel |
Password, 2 way authentication, tokens, irisscan etc. |
In jouw huis heb je hopelijk een slot met 3 sterren en een robuuste sleutel. De sterkte van het wachtwoord bepaalt je beveiliging. Verander het regelmatig en maak er een wachtwoord van minimaal 10 tekens van , dat eenvoudig is te onthouden. Aanvulling met andere beveiliging zoals met tokens of 2way authentication wordt aanbevolen. |
|
Vertrouwen |
Trust |
In het dagelijks leven herken je de mensen waar je mee omgaat. In de ICT is dat lastiger. Hoe weet je dat je sites kan vertrouwen? Voor sites kun je letten op een certificaat dat door derden is uitgegeven en getoetst, het zogenaamde https staat dan voor de url in plaats van http. |
|
Post |
|
Los van de geringe kans dat je een bombrief of poederbrief zou kunnen ontvangen, is de gewone post goed te vertrouwen. Met email moet je alles wat je niet kent in principe wantrouwen. Ga in dat geval met je muis over het email adres van de verzender en kijk of jij het logisch vindt. Mail van kwaadwillenden heeft over het algemeen een zeer raar emailadres, dat je kunt zien in de url als je over het emailadres hovert. Gooi die mail direct weg. |
|
Aanval door meerdere belagers |
Ddos |
Dit hebben buurtbewoners van een voetbalclub enkele jaren geleden meegemaakt toen hooligans hun huizen belaagden. Je kunt dan nergens heen en bent van anderen afhankelijk om je probleem op te lossen. Bij een ddos aanval wordt een website van allerlei kanten aangevallen en gaat dan plat, ook hier moeten derden het oplossen. |
|
Sleutel onder de bloempot |
Password onder het toetsenbord |
Toevallig zag ik daarvan deze week weer een voorbeeld in een niet nader te noemen computer winkelketen. Collega was weg, de medewerker die mij hielp moest het wachtwoord hebben en keek onder het toetsenbord, las het password en logde in. Bedrijven moeten hier professioneler zijn en medewerkers een token of andere beveiliging geven. |
Conclusies
De lijst kan nog veel langer zijn. Cybercrime wordt steeds omvangrijker en iedereen zou zich beter moeten beveiligen. Begrip en sense of urgency zijn de eerste stappen naar betere beveiliging. Ben je al een keer gehackt of hebben ze je in gijzeling genomen? Dan zal je echt wel iets aan cybersecurity gaan doen.
De kern van mijn betoog is dat ict dezelfde woorden gebruikt maar een andere taal spreekt dan degene waarvan zij terecht vinden dat die zich zouden moeten beveiligen. Neem de taak op je om cybersecurity simpel uit te leggen dan kan ook cybersecurity op een bredere adoptie rekenen.
Degene die uiteindelijk verantwoordelijk is voor de staat van de beveiliging van de ICT infrastructuur en applicaties van een bedrijf is natuurlijk de CIO. Indien een CIO niet op de hoogte is van de gebruikelijke terminologie uit de ICT security, dan lijkt het mij dat deze persoon ongeschikt is voor zijn functie.
Cybercrime is de grootste bedreiging waar ICT vandaag de dag mee te maken heeft. Een CIO hoort te weten wat de grootste bedreigingen zijn voor zijn specifieke infrastructuur en applicaties en een plan te hebben om die bedreigingen tegen te gaan.
Het is een goed idee om security uit te leggen met voorbeelden, maar een overversimpeling kan ook schadelijk zijn.
Voordeur vertalen naar Backdoor? Terwijl een Achterdeur een betere vertaling is. Want aan backdoor is een oneigelijke manier om ergens naar binnen te gaan. Zeg maar dat de politie graag wil dat je de achterdeur niet op slot doet zodat zij binnen kijken om te zien of er verdachte zaken zijn. Die achterdeur die dan niet op slot zit kan ook gebruikt worden door criminelen om binnen te komen (en dus zonder sleutel van de voordeur). Maar daar blijft de beperking in je vergelijking niet. Bij de uitleg schrijf je “Een mogelijkheid om binnen te komen in hardware” terwijl een backdoor eigenlijk is om in de software te komen. Het is een backdoor in de software om controle te krijgen over data. De hardware is enkel de drager.
Zoals Henri al aangeeft, overversimpeling kan gevaarlijk zijn. Met de post komen bij mij doorgaans geen mensen, laat staan inbrekers, binnen. Met e-mail is die kans aanzienlijk groter.
Maar los daarvan zie ik een tweetal (mede-)oorzaken waarom mensen het moeilijk vinden IT security te begrijpen
– de complexiteit van de materie. Een dievenklauw of veiligheidsslot kan iedere handige doe-het-zelver wel monteren. Een firewall configureren wordt al wat lastiger. Daarbij hoef je een dievenklauw niet om de haverklap te updaten
– mensen vergeten dat IT een vak is. Dat je neefje van 12 toevallig weet hoe hij iets op een tablet moet doen, maakt hem nog geen IT-er. Wat pakketten downloaden van internet en installeren is vandaag de dag niet meer zo moeilijk, maar werkt het dan ook zoals jij in gedachten had, of heb je jezelf daarmee juist extra problemen op de hals gehaald?
Deze woordenlijst is een leuke manier om IT componenten met een securityfunctie uit te leggen aan een leek. Het geeft verschillende gebieden aan die cybersecurity beslaat. En deze brug slaan met managers kan een informatievraag invullen.
Maar wordt cybersecurity hiermee beter te begrijpen? Integendeel, bedrijfs-ICT is niet te vergelijken met een huis, tuin en keukensituatie. En daarnaast kan ICT ook gebruikt worden als cyberwapen. Dit vergt een andere mindset.
Zaken als certificate-pinning, OCSP stapling en perfect forward secrecy zitten twee lagen dieper dan ‘een goede TLS-verbinding’, maar zijn helaas wel zaken waar cybersecurity specialisten mee om kunnen gaan. En waar managers ze mee aan de gang moeten laten gaan. Deze versimpeling helpt daar niet bij.
Er is een vergelijking die niet helemaal op gaat, namelijk slot = firewall. Als sleutel = password dan past de sleutel op de authenticatie, niet op de waar en hoe je binnenkomt.
slot = login, LDAP, pam etc.
Sleutel = password, 2-way auth. etc.
Firewall = de oprit naar mijn huis, een hor voor het raam.
Een sleutel/slot combinatie is om een deur open te maken. Als deze eenmaal open staat kan iedereen erdoor heen. De oprit bepaalt of er iemand bij mijn deur kan komen, de hor bepaald dat er wel lucht binnen kan komen maar geen vliegen. Maar daar heb je dan weer geen sleutel voor nodig. Om bij mijn webserver te komen heb ik geen sleutel nodig maar ik moet wel de juiste poort (=oprit/hor) gebruiken. Om activiteiten te kunnen uitvoeren moet ik inloggen (=sleutel/slot) maar dat is ongeacht de status van de firewall.
Dank jullie voor je reacties. Mijn primaire doel van dit artikel is een aanzet te geven tot verhoging van adoptie door het simpel te maken. Als mensen zaken gaan begrijpen en de sense of urgency duidelijk wordt, gaat adoptie makkelijker is mijn ervaring. Breng je probleem duidelijk bij de mensen en ze zullen meedenken met een oplossing.
Dat er een aantal vergelijkingen niet kloppen, daar hebben jullie gelijk in. Voordeur vs backdoor is bewust gekozen omdat er woningen zijn zonder achterdeur .
Slot vs login is een betere vergelijking, dat is correct, die van de firewall vind ik wat minder, maar ik begrijp je.
Daarnaast was het niet de opzet om bedrijfs-ICT met een huis te vergelijken. Maar mocht je dat onverhoopt doen, dan is het inderdaad niet te vergelijken.