'Alles staat op groen, het is business as usual. Hé, wacht, er gebeurt iets raars. Maar wat? Oh, onze systemen doen het niet meer. Wat nu?' Onwetendheid kan een dure zaak zijn en bij securityzaken heel duur.
‘Onze computers zijn op slot gezet. Dus we moeten klanten nu gratis van onze diensten gebruik laten maken.’ Of: ‘Onze internetverbinding is verzadigd door een DDoS-aanval. Dus onze werknemers moeten maar even niet werken.’ Dit zijn interne dialogen van twee recente gebeurtenissen waarbij ict-security het heeft afgelegd tegen hedendaagse cyberaanvallen. Het gaat hierbij niet eens om geavanceerde en langlopende aanvallen die zijn uitgevoerd door goed onderlegde hackers, met bijvoorbeeld de financiële en technische middelen van stiekeme staatssteun.
Gewone gijzelingssoftware en DDoS
Nee, het openbaar vervoer in San Francisco heeft te maken gehad met een ‘normale’ security-incident: ransomware die op interne systemen terecht is gekomen. Ze hebben vanzelfsprekend security-experts in dienst, die hard hun best doen om hun organisatie te laten herstellen.
Toch is en blijft voorkomen beter dan genezen. Nu zijn sommige security-incidenten niet honderd procent te voorkomen. Het blijft immers een ratrace, die mede wordt aangejaagd door technische verfijning van aanvalsmiddelen en toenemende DDoS-capaciteit van bijvoorbeeld connected devices in het internet of things (IoT). Vergeet ook niet het gevaar van openlijke beschikbaarheid van die verfijning en toenemende capaciteit.
Fundament voor cybersecurity
Met een gedegen voorbereiding valt er echter toch iets aan te doen; namelijk de mogelijke schade beperken door de impact van security-incidenten in te perken. Wat is er nodig voor zo’n goede voorbereiding? Een commerciële partij zal ongetwijfeld zijn producten of diensten aanprijzen, maar er is nog een belangrijk ander element. Een element dat veel fundamenteler is en dat zowel de afnemers van ict-security raakt als ook de leveranciers daarvan.
Voor een goede voorbereiding, sterke verdediging, gedegen afweer en ook vlot herstel is simpelweg kennis nodig. Kennis en expertise. Alleen is het geen simpele zaak om dat te verkrijgen. Het bijbrengen van kennis en het ontwikkelen van expertise is een zaak van vooruitkijken, investeren, opleiden, en natuurlijk ook bijblijven. Het is dan wat vreemd dat de technische universiteiten een studentenstop dreigen door te voeren, wegens gebrek aan capaciteit en budget.
Gevraagd: toptalent
We hebben tegenwoordig, laat staan straks, veel meer te beschermen. Meer nog dan vroeger. Naast de oh zo belangrijke bits zijn er ook de alledaagse atomen van fysieke zaken die meer en meer connected worden. Security-by-design is daarbij helaas nogal eens het kind van de rekening.
Kortom, cybersecurity is een groeimarkt. Geen wonder dat consultancy Frost & Sullivan voorspelt dat er tegen 2020 een tekort van maar liefst 1,5 miljoen experts zal zijn. Dit ondanks de inspanningen van onderwijsinstellingen wereldwijd. Wie zal dit gebrek aan kennis en expertise vooral gaan voelen? De it-afdelingen van reguliere bedrijven. Zij zullen maar tot een bepaalde hoogte mee kunnen gaan in het aantrekken van securitytalent.
Vraag, aanbod en voorbereiding
Het is immers een kwestie van (veel) vraag, (weinig) aanbod en dus (hoge) prijs. Ondertussen zullen leveranciers strijden om specialisten die diepgaande securityskills combineren met industriedoorkruisende domeinkennis. We willen deze strijd eigenlijk voorkomen (of inperken), door een goede voorbereiding te treffen. Daarom zetten we sterk in op onderwijs, opleiding en training.
Deze lerende jongeren komen niet vanzelf aanwaaien. Daarom worden nauwe banden aangehouden met universiteiten om studenten te informeren over ict-security en hun te stimuleren om voor dit vakgebied te kiezen.
Securityleveranciers en onderwijsinstellingen stomen dus de nieuwe generatie it’ers en cybersecurity-experts klaar voor de toekomst, om zo een veiligere toekomst te kunnen creëren. Dit is hard werk en het is hard nodig, want gebrek aan experts is een vorm van onveiligheid die ons aller cybersecurity ernstig kan ondermijnen. Want kennis is macht. Ontwikkel dus die kennis plus expertise zodat cybersecurity leidt tot cybersafety.
