Als een onderwerp veel aandacht krijgt dan security. Binnen de ict kennen we security in de vorm van firewalls, antivirussoftware en soortgelijke oplossingen. Als cybersecurity-specialist noem ik dit endpoint-security.
Het spectrum van cybersecurity is meer omvattend dan alleen maar endpoint-security. Denk aan het preventief scannen van webapplicaties, kantoorautomatiserings (ka)-omgevingen, het scannen van IoT-apparaten en supervisory control and data acquisition (scada)-omgevingen en ip-adressen op kwetsbaarheden van buitenaf en binnenuit.
Hoewel er veel over cybersecurity gesproken en geschreven wordt, staat volledige adoptie hiervan nog aan het begin. Het doet denken aan de eerste antivirussoftware.
In het begin van de zeventiger jaren dook het eerste computervirus buiten een gecontroleerde omgeving op: het Creeper-programma. Het virus was een experiment om de theorie van zelfvermenigvuldiging te testen en infecteerde bepaalde computertypes die gebruikmaakten van het Tenex-besturingssysteem. Creeper was niet gevaarlijk en had alleen het vermogen om op elk geïnfecteerde computer het bericht ‘I’m the Creeper: catch me if you can’ te tonen. Het was immers alleen maar een test om te zien of programma’s verspreid konden worden op computernetwerken; er was dus geen reden voor het virus om kwaadaardig te zijn.
Het eerste virus dat wel kwaadaardig was en computers trof, was het Rabbit-virus in 1974. De naam verwees naar de snelheid van het virus. Rabbit was niet alleen ontwikkeld om zichzelf te vermenigvuldigen en te verspreiden, maar ook om geïnfecteerde computers vast te laten lopen door waardevolle computervoorzieningen uit te putten, zoals het geheugen. Het virus vertraagde computers exponentieel en veroorzaakte uiteindelijk crashes door al het vermogen van de computer in beslag te nemen.
Het eerste IBM-pc-compatibele ‘in the wild’-computervirus, met de naam Brain, zorgde voor een van de eerste echte wijdverspreide infecties in 1986. Vanaf dat moment kwamen de eerste antivirusproducten beschikbaar. Pas rond 1990 werd de noodzaak gezien van antivirusproducten, ontstond er beweging en werden deze producten meer en meer geadopteerd. Vandaag de dag is het gebruik van antivirussoftware een no-brainer en komt het al geruime tijd standaard op pc’s mee.
Adoptie
Wat is nu de parallel hiervan met cybercrime en cybersecuritysoftware?
Dagelijks lezen we in het nieuws over datalekken, cyberaanvallen, phishing mail en kwaadaardige hackers die het bedrijfsleven en de overheid proberen aan te vallen om hun systemen plat te leggen, data te stelen of om processen te verstoren. De gevolgen hiervan zijn immens.
Regelmatig krijgen is te horen dat men denkt geen slachtoffer te zullen worden van cyberaanvallen. Een van de gehoorde argumenten is dat de onderneming in kwestie niet interessant genoeg is om aangevallen te worden. Dat is precies wat ze ook dachten toen de eerste antivirussoftware op de markt kwam. En net zoals met de adoptie van antivirussoftware duurt het even voordat we inzien dat cybersecurity een absolute must is.
Veel organisaties zagen informatiebeveiliging als losstaand onderwerp, een thema dat werd belegd bij de it-afdeling, waardoor de focus als gevolg daarvan ook lang op it is geweest. Gelukkig constateren we nu dat informatiebeveiliging steeds vaker als integraal onderdeel van risicobeheersing wordt gezien.
Ondanks de vele gelukte pogingen om gebruiker account gegevens en wachtwoorden te stelen bij bedrijven, zijn er nog steeds bedrijven die in hun ontwikkelmethoden nog steeds niet Security niet “by design” omarmen.
Het gebeurt nog vaak dat bedrijven Security als sluitpost van een ICT project zien. Het is dan ook geen wonder dat het stelen van private gegevens zo regelmatig kan plaatsvinden.
Ook het testen van de security maatregelen in ICT systemen (hard- en software) blijkt geen garantie voor een adequate beveiliging bij de oplevering en uitrol van nieuwe en aangepaste systemen. Door te besparen op het testproces worden de ICT projecten weliswaar veel goedkoper t.a.v. de ontwikkelkosten, maar worden de herstelkosten veel hoger en er ontstaat onherstelbare imagoschade.
Eindgebruikers zijn zich ook nog steeds te weinig bewust van de gevolgen van hun gedrag bij het (her)gebruik van wachtwoorden.
Wachtwoordmanagers worden nog steeds niet massaal door PC- Tablet en Smartphone gebruikers toegepast en ook de toegang tot de apparaten is veel gevallen niet beveiligd met een code, vingerafdruk of gezichtsherkenning.
Ook de architectuur en het ontwerp van wachtwoordmanagers die zijn ingebouwd in Operating systemen, Browsers en sommige dedicated Wachtwoordmanagers laat soms te wensen over.
Bedrijven die jaren gewacht hebben om een gehackte gebruikersdatabase niet direct wereldkundig te maken, maar vele jaren wachten. Intussen kunnen de Cybercriminelen hun buit exploiteren.
Door wetgeving en sancties wordt het veiligheidsbewustzijn gelukkig wel wat beter maar het verloopt toch allemaal heel traag.
Zolang we op deze wijze blijven doorgaan zal er een zeer lucratieve markt blijven bestaan voor Cybercriminelen.