Organisaties hebben te maken met een grote beveiligingskloof en deze kloof groeit alsmaar. Aan de ene kant wordt digitale informatie alleen maar belangrijker, aan de andere kant blijven het aantal en de verschillende vormen van cyberaanvallen steeds verder stijgen. Het management van bedrijven en overheidsinstellingen is zich hiervan in veel gevallen bewust. En gaat erover in gesprek met het it-team van de organisatie.
Cybersecurity is echter een complexe materie en de meeste managers hebben geen tijd om zich daar goed in te verdiepen. Daarom weten zij veelal niet welke onderwerpen er zijn en hoe zij deze moeten adresseren. Om hierover in gesprek te komen, deel ik graag de volgende vragen met je.
Kunnen wij achterhalen welke bedreigingen voor ons het meest relevant zijn? Zijn dit bijvoorbeeld ongerichte malware, opportunistische scriptkiddies, georganiseerde cybercriminelen, buitenlandse overheden, insiders of hacktivisten?
Een goed antwoord op deze vraag zal diepgaander zijn dan de ‘analyse’ die aangeleverd wordt door bijvoorbeeld een anti-malware-oplossing of intrusion prevention system (ips), Alhoewel dergelijke beschermingsmaatregelingen belangrijk zijn, moeten de antwoorden van de ict-specialisten de specifieke bedreigingen voor de organisatie goed beoordelen. Deze moeten in context gebracht worden met ‘business context’. Er moet worden gekeken naar bijvoorbeeld het bedrijfsmerk en de perceptie daarvan op het wereldtoneel; de locatie van de digitale activa (zoals intellectuele eigendommen, elektronische valuta, persoonlijke data) en hoe deze activa beschermd worden tegen aanvallen. Heeft het security-team recent een goede ‘penetratie test’ uitgevoerd, gebaseerd op de meest recente bedreigingsdata? Met ‘goed’ bedoel ik een test die niet alleen formeel voldoet maar een die werkelijk doel treft. Alleen door te denken als een hacker kan het ict-team de veiligheidsrisico’s van het bedrijf specificeren en categoriseren. Zo kan context worden gegeven aan de data die worden aangeleverd door de beveiligingstechnologie.
Nogmaals, dit inzicht moet verder gaan dan malware alerts. Zo maken cybercriminelen van alle niveaus in toenemende mate gebruik van tools die ingebouwd zijn in besturingssystemen. Op die manier kunnen ze de mechanismen van vele anti-malware-toepassingen vaak omzeilen. Om het risico van dit soort bedreigingen te beheren is het essentieel dat het veiligheidsteam meer te weten komt over het online gedrag van alle medewerkers. Een analyse van de log data helpt hierbij. Alleen dit soort analyse gaat een volledig beeld opleveren van het netwerk. Dit beeld bevat ook de persoonlijke systemen van medewerkers. Deze worden vaak door cybercriminelen gebruikt om voet aan de grond te krijgen. En als een aanval plaatsvindt, zijn log data de laatste verdedigingsmuur om de tegenstander tegen te houden. Ook helpen ze een organisatie om sneller en zekerder te reageren.
Wat zijn onze cyberrisico’s? Zijn we er goed tegen beschermd en hoe veranderen ze? Welke gaten zitten er in de huidige strategieën en budgetten?
Cyberbedreigingen zijn niet statisch, evenmin als het netwerk of de data. Sommige bedreigings- en spionagetactieken zijn welbekend en worden aangepakt met commerciële oplossingen. Maar cybercriminelen blijven nieuwe mogelijkheden zoeken om de traditionele bescherming te omzeilen. Zo vinden zij manieren om gebruikers te imiteren en hun referenties voor twee-factor authenticatie te stelen. Hiervoor maken zij vaak gebruik van de schat aan informatie die te vinden is op social media (zoals LinkedIn en Facebook). Houdt je risicobeoordeling wel rekening met dit soort recente ontwikkelingen? Gebruiken jouw penetratie testen wel de nieuwste technieken van je tegenstanders? Kortom, evolueert je risicobeoordeling of draait ze in kringetjes rond? Zorg ervoor dat je ict-team zijn maatregelen baseert op het werk van de meest vooruitstrevende cybercriminelen. Voorkom dat de admins steeds dezelfde, oude ‘best practices’ blijven recyclen.
Hebben we een plan klaarliggen om met een incident om te gaan? Weten we wanneer dit in werking treedt en waar de verantwoordelijkheden liggen? Is het getest?
Geen enkel bedrijf wil te lang stilstaan bij de mogelijkheid van serieuze incidenten en inbraken. Voorbereiding is echter cruciaal. Het voldoet niet om collectief te knikken en je vaag bewust te zijn van het probleem. Iedereen in een verantwoordelijke positie moet echt begrijpen wat verschillende vormen van incidenten inhouden, welke stappen moeten worden genomen en welke mensen ingezet moeten worden. De belangrijkste vragen moeten duidelijk zijn beantwoord, zoals: ‘Wie heeft de leiding in het geval van een incident? Waar is de checklist? Hoe kan ik contact opnemen met iedereen die ingezet moet worden? Wat zijn de concrete acties die we ondernemen om het incident snel aan te pakken?’
Zorgt de security-training ervoor dat elke medewerker zich bewust is van de bedreigingen en de meest recente tactieken van cybercriminelen?
Security-training heeft de potentie om aanvallen tegen het netwerk af te zwakken. Maar vaak is de training te generiek of wordt niet het juiste publiek bereikt. Belangrijke vragen die moeten worden beantwoord zijn bijvoorbeeld: ‘Weten alle medewerkers hoe phishing werkt? Kennen admins de waarde van vaak veranderende wachtwoorden en vulnerability scans? Weten web designers hoe belangrijk het is om tijdens het schrijven van nieuwe code security de hoogste prioriteit te geven? Weten managers dat zij ontzettend lucratieve targets zijn voor social engineering?’ Gebrek aan bewustzijn kan bedrijven miljoenen kosten. Voor elk segment van het personeelsbestand gelden andere risico’s en is een ander kennisniveau van security vereist. De ict-afdeling moet ervoor zorgen dat elke medewerker zich bewust is van de aanvalstechnieken die specifiek op zijn functie zijn gericht. Geen enkel deel van een organisatie kan als veilig worden beschouwd. Zo is er bijvoorbeeld sinds enige tijd sprake van gijzelsoftware (oftewel ‘ransomware’) die specifiek gericht is op medewerkers van de personeelsafdeling.
Conclusie
Het management en de ict-afdeling kunnen niet alle cyberrisico’s wegnemen. Maar bestuurders kunnen wel leren om de juiste vragen te stellen en productieve dialogen te starten. Dat leidt ertoe dat security-personeel en werknemers in het algemeen hun steentje kunnen bijdragen om de beveiligingsrisico’s zoveel mogelijk te beperken.
U bent de belangrijkste eerste stap van het risicomanagement vergeten (gebeurt helaas heel vaak):
Laat de ‘business’ eerst inventariseren:
1. welke informatie er allemaal gebruikt wordt en
2. welk deel daarvan eigenlijk echt beveiligd moet worden
Deze stap leidt tot een kleinere dataset die echt belangrijk is en dat scheelt weer in de kosten van de vervolgstappen.
Sommige bedrijven blijken dan zelfs helemaal geen informatie te hebben die beveiligd hoeft te worden…
Ik denk dat ik hier twee zaken detecteer.
1. onnodige complexiteit
Wanneer de commercie het van rede overneemt, en men daar aan toe gaat geven, dan krijg je daar hele hoge rekeningen voor terug. Eenvoudig voorbeeld, als de halve wereld hijgend ‘byod’ hypt, met domme dooddoeners het personeel vraagt hierom, alsof personeel plots corporate strategie bepaald, of commercie die roept u moet, daar gaan we naartoe, geen weg terug, dat soort idiotie, dan krijg je dit soort situaties.
De tweede is, en ik blijf vinden dat de IT professional de handen eens verdomde diep in eigen boezem moeten gaan steken, is het besef van elke IT professional dat security een integraal onderdeel dient te zijn van je discipline. Niet na mij de zondvloed, je wordt betaald om kennis en ervaring in te zetten en security maakt gewoon deel uit van je werk.
Je dient daar ook en oor voor te hebben en zaken te signaleren. Door dit enorme hiaat bij menig IT professional wordt er onnodig een enorm risico geschapen die enorme risico en kosten met zich mee brengt dat weer af te moeten dekken. Ik heb dit altijd een bedenkelijke gang van zaken gevonden. Er valt voor de klant nog steeds bijzonder veel te winnen.
Het is goed als de business eerst de informatie kan categoriseren en prioriteren, dat helpt zeker bij het
organiseren van de te nemen maatregelen. Tegelijkertijd moet niet vergeten worden, dat (semi-) gerichte aanvallen dankbaar gebruik maken van bedrijfsonderdelen die slechter beveiligd zijn. Dat vormt een prima uitvalsbasis om de organisatie verder te penetreren.
Tot slot, ik zou willen beargumenteren dat iedere organisatie gegevens bewaard die beschermd moeten worden. Als het niet de financiële gegevens zijn, dan wel concurrentie informatie of, last but not least, persoonlijke gegevens. Belangrijk is echter, om hierover in gesprek te komen met het hogere management.