De continuïteit van een bedrijf is vandaag de dag afhankelijk van de veiligheid van de it-systemen. Organisaties hebben veiligheidsmaatregelen nodig op verschillende niveaus – het netwerk, de toepassingen en natuurlijk de data. Alles wordt met elkaar vebonden, dus connectiviteit zou eerste prioriteit moeten hebben in de algehele beveiligingsaanpak.
Informatiebeveiliging behoort hoog op de agenda van de board room te staan, nu het voortbestaan van elke organisatie afhankelijk is geworden van it en data. Maar het bewustzijn is niet altijd op zijn sterkst. Niet in de directiekamer, noch op de werkvloer. Bedrijven in de ‘oude’ economie – van bijvoorbeeld retail, productie of bouw – zijn gericht op de activiteiten waarmee ze hun dagelijks brood verdienen en hebben minder oog voor security. Ze onderschatten soms de schade aan hun reputatie en inkomsten die inbreuken op de beveiliging kan veroorzaken.
Stel je eens voor als online bestellen bij een bedrijf niet meer kan omdat de computersystemen door een massale DDoS-aanval niet beschikbaar zijn; de gehele onderneming zou tot stilstand komen. Binnen enkele uren zijn de winkels uitverkocht, zijn de klanten naar de concurrentie gelopen en uiten consumenten hun woede op social media en in de pers. Gelukkig leidt de nieuwe wet Datalekken tot hogere security awareness van het management, nu verantwoordelijke bestuursleden voortaan aansprakelijk kunnen worden gesteld voor grote beveiligingsincidenten die de privacy van klanten en het personeel in gevaar brengen.
Ik propageert een aanpak die begint met de beoordeling van bedrijfsrisico’s en het proactief opzetten van nieuw beleid. De uitvoering van security-maatregelen en de keuze van de technologie moeten daaruit voortvloeien, en niet andersom. Je moet eerst bepalen welke informatie je wilt delen met wie. Wie wil je toegang tot het netwerk te geven? Welke integraties sta je toe? Moet bring your own device (byod) worden ondersteund? Van daaruit zet je beleid op en maak je operationele keuzes. In zekere zin zijn de configuratie rules van een security gateway een zaak van de board room. De uitvoering van deze regels, de feitelijke configuratie van de firewall, is het werk van it.
Bewegend doelwit
Je moet uitgebreide maatregelen op het gebied van predictie, protectie en detectie combineren voor effectieve security. Protectie wordt gerealiseerd door het kiezen en implementeren van de juiste technologieën en processen. Ook het opleiden van personeel en hun omgeving om security awareness te creëren is van vitaal belang. De meeste security-incidenten worden veroorzaakt door menselijke fouten en gedrag. Detectie gebeurt het beste door middel van realtime monitoring en het correleren van de systeemlogs en het dataverkeer.
Een enorme uitdaging in zowel protectie als opsporing vormt de factor ‘onbekend’. Nieuwe dreigingsmethoden en vectoren kunnen actief zijn, zonder herkend te worden door de in gebruik zijnde systemen en technologieën omdat deze bedreigingen niet als kwaadaardig worden beschouwd of zelfs helemaal niet gezien. Alles wat digitaal en verbonden is, kan dienen als een punt van aanval: zelfs beveiligingscamera’s, alarmsystemen, printers, koffiemachines of klimaatsystemen. Advanced intelligence en analytics van alle digitale systemen van een onderneming – in combinatie met automatische alarmering en triggering van acties – helpt om dreigingen te voorspellen, te vinden, te correleren en te verhelpen.
Informatiebeveiliging is schieten op een bewegend doel dat wordt aangedreven door nieuwe technologieën, innovatieve methoden, en een zeer actieve scene van hackers en cybercriminelen. Daar komen in toenemende mate aanvallen van concurrenten bij: Het kan zeer lucratief zijn om toegang te krijgen tot de intellectuele eigendommen of de sales database van de concurrent of om zijn e-commerce website met een DDoS plat te leggen. Het gebruik van cloud voegt complexiteit toe aan de bestaande informatiebeveiligingsinfrastructuur: Wie is verantwoordelijk voor de gegevens in de cloud? De eigenaar, of de cloud service provider? Veel it-managers zijn bovendien niet op de hoogte van de shadow it cloud services die hun medewerkers gebruiken voor communicatie en het delen van bestanden. Dus hoe kan hij dan zijn verantwoordelijkheid nemen voor inbreuken op de beveiliging?
Security by design
Eén ding is zeker: connecties en netwerken zijn het eerste focuspunt voor aanvallers en indringers. Om die reden voorzien wij klanten altijd van zeer veilige en high-performance netwerken. Security by design geldt net zo goed voor netwerken als voor de ontwikkeling van software en bedrijfsprocessen. Een goed ontworpen netwerk helpt niet alleen de veiligheid te verhogen, het vergroot ook de flexibiliteit: Een transparant netwerk vergemakkelijkt hoogwaardige data governance en maakt software defined networking en cloud-integratie mogelijk. In een mobiele, open wereld is digital boundary security van beperkte waarde. Het verlenen van toegang tot gegevens kan beter worden bepaald aan de hand van informatie over de persoon, de plaats waar hij of zij is, het tijdstip, het apparaat dat wordt gebruikt en de beoogde toepassing die wordt benaderd,” zegt Mesker.
Een eenvoudige maar effectieve beschermingsmethode is segmentering of zonering van het netwerk, afhankelijk van de klant, zijn bedrijf en het risicoprofiel. De zones moeten worden beschermd met afzonderlijke (virtuele) firewalls en intrusion detection/prevention systemen om besmetting via het netwerk te voorkomen. “Deze methode levert elke dag meerwaarde, nu een groeiend aantal bedrijven getroffen wordt door ransomware. Door het loskoppelen van netwerksegmenten blijft de malware-infectie beperkt.
Ook flexibiliteit is belangrijk. Het helpt aanzienlijk als je de capaciteit van de netwerkinfrastructuur hebt over-gedimensioneerd. Een grote sessiecapaciteit en bandbreedte, net als meerdere verbindingen, helpen bij het overwinnen van een DDoS-aanval en het creëren van een elastische situatie waarin gemakkelijk op- en afschalen de continuïteit van de onderneming ondersteunt. Zelfs als zij onder vuur ligt.
Clean pipe
Het netwerk zal nog heel lang de eerste verdedigingslinie blijven. Daarom adviseer ik het ontwerp van een netwerk fabric met een beperkt en bekend aantal tusssenstations (hops) voor het verzenden van gegevens door het bedrijf. Een transparante connectivity laag dient als basis voor software defined networking met daarop een laag van gevirtualiseerde diensten zoals firewalls, compute en management. Het ideale netwerk is een nutsvoorziening, waarin bandbreedte, latency en zelfs beveiliging en encryptie al zijn afgehandeld. Hoewel sommige carriers en hosting providers hun klanten al tegen DDoS, phishing, spam of malware beschermen door het aanbieden van zogeheten ‘clean pipes’, blijft de overall kwaliteit van het netwerk de verantwoordelijkheid van de onderneming of de netwerk management services provider.
Tot slot, wat is de beste leidraad voor de board room? In mijn ogen moet ‘zero-trust‘ het leidend beginsel zijn: vertrouw niets en niemand die toegang tot het netwerk wil. Geef uitsluitend toegang aan mensen, apparaten en processen die bekend, gecontroleerd en bewaakt zijn. Deze aanpak zal onmiddellijk tot significant lagere risico’s leiden.
Volkomen met je eens. Er zijn verschillende manieren dit te bereiken en de belangrijkste is volgens mij gewoon terug naar de basics en inderdaad, actief toe gaan staan wie tot wat toegang mag hebben en per default is het gewoon niemand. Koppel hier dan aan dat je IoT en byod buiten de deur houd en je komt al een heel eind.
de eerste verdedigingslinie. Tegen OM en AIVD ? Dat gaat zomaar niet.