Het is moeilijk, maar je kunt alleen van fouten leren als die ook worden toegegeven. Bovendien gaat het bij security niet eens altijd om bewust gemaakte fouten. Het kunnen ook missers zijn, zoals geloven dat je je ceo aan de lijn hebt.
Waakzaamheid is een groot goed als het op ict-security aankomt. Waakzaam ben je niet alleen door op de uitkijk te staan. Het vereist ook luisteren: luisteren naar de ervaringen van anderen. Daarvoor moeten die anderen wel spreken en vooral durven spreken. Helaas ontbreekt het daar nogal eens aan. Mensen en organisaties deinzen te vaak terug voor het toegeven van fouten, eventuele missers of simpelweg pech.
Ceo-fraude
Reputaties, carrières en imago’s lijken overgeleverd aan een onrealistische weergave van een alles-is-goed werkelijkheid. Terwijl we allemaal weten dat dit helemaal niet de werkelijkheid is. Een steeds meer geaccepteerde wijsheid in de securitywereld is dat het geen kwestie is óf je wordt gehackt, maar wanneer je wordt gehackt. Soms gebeurt dat met geavanceerde, doelgerichte malware. Soms met sluwe social engineering. Beide doelgericht en toegepast op jouw organisatie.
Zie bijvoorbeeld het gerichte compromitteren van Wi-Fi-netwerken in luxe hotels waar executives verblijven, met waardevolle bedrijfsgegevens op hun laptops. Of de nu ook in Nederland opgedoken ‘nep-baas fraude’. Europol waarschuwt voor deze nieuwe vorm van oplichting, die ook wel ceo-fraude wordt genoemd. De essentie van deze hack is een goed voorbereid telefoontje van iemand die claimt de hoogste baas te zijn en die met spoed een (fors) geldbedrag wil laten overmaken. De gemiddelde medewerker reageert gedienstig en durft niet verder te vragen, het is immers de ceo.
Informatievergaring is key
Zowel hacking met technisch complexe middelen als hacking met goed onderbouwde social engineering hebben minstens één ding gemeen. Voor beide vormen is het nodig om vooraf uitgebreid informatie te vergaren over het doelwit. Vervolgens komt er nog een hele andere overeenkomst op: voor het voorkómen van beide vormen van fraude is het ook nodig om uitgebreid informatie te vergaren.
Informatievergaring vereist, zoals reeds gezegd, op de uitkijk staan en goed luisteren naar anderen. Daarvoor moeten die anderen informatie dus durven delen. En daarbij moeten we ook durven toegeven dat die anderen soms ‘wijzelf’ zijn, zoals in ons geval afgelopen mei. Uiteindelijk hebben we daardoor diverse geïnfecteerde bedrijven en overheden kunnen waarschuwen, zodat zij hun systemen konden opschonen en beschermen. Vandaar dat ik hamer op het belang van openheid en het nemen van verantwoordelijkheid.
De ethiek van security
Het gaat om de ethiek van security: wat doet een organisatie als die ontdekt slachtoffer te zijn geweest van een security breach? Wat doe jij als individu? Meld je het slechts in besloten kring, dus aan je team en de direct leidinggevende? Of ga je hoger – en eventueel ook breder – in de organisatie met je melding, zodat de kennis verder verbreid kan worden? Moeten klanten gewaarschuwd worden? Partnerorganisaties? Of misschien ook wel je concurrenten? Verantwoordelijkheid heb je namelijk op meerdere niveaus naar meerdere partijen toe. En security maken we samen, op meerdere niveaus en met meerdere partijen.
Wat een mooi begrip: De Ethiek van security. 🙂
Een goede cultuur op het gebied van informatiebescherming en privacy is van belang voor het beschermen van de kroonjuwelen. Deze cultuur kan alleen gehandhaafd worden indien het management van een organisatie z’n volledige commitment geeft en laat zien aan de organisatie dat security en privacy belangrijk zijn en onmisbaar voor de continuïteit van het bedrijf. Goede afspraken over hoe er wordt omgegaan met ICT middelen en bedrijfsinformatie worden geborgd door middel van speciale, aan het bedrijf aangepaste security awareness training. Hierbij worden management en medewerkers gestimuleerd en gemotiveerd naar veilig gedrag. Bewust personeel maakt de organisatie weerbaar. Maar diezelfde mensen hebben ook security updates nodig. Update-sessies maken de organisatie duurzaam weerbaar. Alleen met een goede cultuur in de organisatie kun je transparantie/openheid verwachten. Een goede incident management procedure waar naar de medewerkers wordt geluisterd stimuleert ze om incidenten (ja, ook een phishing email ontvangen is een security incident!) te melden bij een centraal persoon. Nieuwe wetgeving die op 1-1-2016 ingaat zal bedrijven in ieder geval dwingen om melding te maken van security incidenten met datalekken. Voorbereiding hierop is van belang. Bedrijven dienen inzicht te hebben in hun gegevensverwerkingen en hierover een administratie te voeren. Een nulmeting op de gegevensverwerkingen is dus nodig. Hieruit zullen veel verwerkingen boven water komen die eigenlijk niet nodig zijn en die het risico van de organisatie vergroten.