Het is ondoenlijk een organisatie overal tegen te beveiligen. Security wordt meer en meer een kwestie van prioriteiten stellen. Elk it-beveiligingsplan begint met een goed begrip van de voornaamste risico’s en waar die vandaan komen.
Dit zei Thom Langford, global security advocate bij SentinelOne, vanmiddag in Jaarbeurs Utrecht. Hij sprak daar tijdens TBX 2021, de opvolger van de it-vakbeurs Infosecurity.nl.
Met de enorme aantallen partners waarmee grote ondernemingen werken, wordt het steeds lastiger die risico’s goed in beeld te krijgen. Langford noemde als voorbeeld het Orion-project van Nasa. Bij de ontwikkeling van dit ruimtevaartuig, een van de opvolgers van de Space Shuttle, zijn alleen al in de Verenigde Staten 3.800 toeleveranciers betrokken.
De toenemende digitalisering maakt het ‘plaatje’ extra moeilijk. Hoe hebben al deze toeleveranciers hun security geregeld? En welke impact heeft dat op de veiligheid van Nasa?
Probleem is dat Nasa niet alleen met bedrijven heeft te maken maar ook met hun medewerkers. Als een van hen een fout maakt kan dat weer repercussies hebben voor een organisatie verder in de leveringsketen. Langford zei dat Proctor & Gamble 75.000 toeleveranciers heeft. Olieconcern Total heeft er 150.000. Alleen al aan een ogenschijnlijk simpel product als een diepvries-lasagne hebben 1.000 leveranciers een bijdrage geleverd.
Gevaarlijker
Bij software is dat niet minder. Bij de hack van SolarWinds begin dit jaar bleek hoe ingewikkeld de leveringsketen bij bepaalde software eruit kan zien. Het beoordelen van de ‘supply chain’ is volgens Langford een hels karwei. ‘Je raakt snel in de war. Er zijn wel raamwerken en standaarden waar je naar kunt verwijzen. Dat is echter maar een beginpunt. De kunst is de échte risico’s eruit te halen.’
De SentinelOne-evangelist vroeg de zaal ook wie gevaarlijker is: een peuter of een beer. Het antwoord is dat peuters meer dodelijke ongelukken veroorzaken dan beren. Want een peuter kan in een onbewaakt moment het vuurwapen van zijn vader grijpen en de trekker overhalen. In Amerika, waar het wapenbezit wijd verspreid is, leidt dit vaak tot schietpartijen.
Langford gaf ook een ander voorbeeld. Kokosnoten doden meer mensen dan haaien. Hij gaf hiermee aan dat alleen door raamwerken te gebruiken een helder inzicht valt te verkrijgen van de risico’s. Je moet je afvragen wie er allemaal toegang heeft tot (bedrijfs)gegevens. En is het wel nodig dat leveranciers in- en uitlopen? Moet je al die mensen wel toegang tot het gebouw geven? Software is beschikbaar om een deel van deze veiligheidsbeoordeling te automatiseren.