Elk jaar rond december vliegen de security-voorspellingen en -trends voor het nieuwe jaar ons om de oren. Maar security verandert niet altijd drastisch van jaar tot jaar. Zelfs in een onvoorspelbaar jaar zoals 2021 waren de dreigingen waar organisaties en individuen mee geconfronteerd werden, vergelijkbaar met die in de afgelopen jaren – denk aan phishing en fraude.
Hoewel er dus elk jaar ‘nieuwe’ voorspellingen worden gedaan, hebben we nog steeds te maken met dezelfde, al lang bestaande problemen. Daarom, in plaats van voorspellingen voor 2022, drie fundamentele problemen die onze sector moet oplossen om een betekenisvolle impact te hebben op het securityrisk-landschap: het personeelstekort, vulnerability management en de noodzaak voor technologieleveranciers om veiligere technologie te maken. Als deze fundamentele zaken worden aangepakt, kunnen organisaties zich beter weren tegen meer geavanceerde en constant evoluerende dreigingen.
Personeelstekort
Cybercriminelen hebben vaak bijna onbeperkte mogelijkheden om organisaties schade toe te brengen en verdedigers moeten altijd alert zijn. Dat is een ongelijke strijd. Duidelijk is dat er een krachtig team van verdedigers nodig is, ongeacht de sector. De meeste organisaties hebben echter moeite om personeel te vinden omdat er niet genoeg cybertalent is.
Talent is misschien wel het grootste probleem waar onze sector tegenaan loopt. Het is essentieel om het juiste talent in huis te hebben, maar er is een personeelstekort. Uit de ‘Randstad Workmonitor 2021‘ blijkt dat met name in de techniek, ict, zorg en het onderwijs structureel de meeste vacatures openstaan. Het belang van cybersecurity neemt alleen maar toe. Het is dan ook niet zo vreemd dat ict & security-specialist een van de meest gevraagde beroepen is voor 2022. Het is belangrijk om te investeren in trainingsprogramma’s en te zorgen dat werknemers vaardigheden kunnen overdragen op anderen om talent voor het beveiligen van de organisatie aan te trekken en te behouden. Daarnaast moeten we ons inspannen om onze sector minder afhankelijk te maken van arbeid, bijvoorbeeld door geautomatiseerde cyberdefensie-innovatie toe te passen, en om de algehele kwetsbaarheid te verminderen.
Organisaties die security-personeel werven, kunnen overwegen om geïnteresseerde werknemers met niet-traditionele beveiligingsachtergronden – zoals it, gegevensanalyse of engineering – klaar te stomen voor security-functies. Met gerichte security-training kunnen deze medewerkers voortbouwen op de basis van hun huidige rol. En over het algemeen moeten landen en onderwijsinstellingen dit gaan beschouwen als een strategische prioriteit voor de lange termijn en investeren in cybersecurity. Dit is essentieel voor de veiligheid en stabiliteit van onze toekomst waarin we afhankelijk blijven van alles wat digitaal is.
Vulnerability management
Te veel organisaties hebben ook moeite om hun kwetsbaarheden effectief te beheren. Om te beginnen moeten organisaties zich bewust zijn van de technologie die ze geïmplementeerd hebben en waar ze op rekenen om hun werk uit te voeren. Dit gebeurt vaak via een asset inventarisatiesysteem. Vervolgens moeten ze snel verkeerde configuraties en andere security-kwetsbaarheden in die systemen vinden en repareren. Hoewel it-governance-processen zoals asset-inventarisatie en patchbeheer eenvoudig zijn, heeft onze sector toch vaak problemen met deze basisprincipes – waardoor hackers kunnen blijven profiteren.
Bij asset-inventarisatie moeten we niet alleen kijken naar de door it-beheerde systemen, maar ook naar alles dat aangesloten is op bedrijfsnetwerken, inclusief clouddiensten van derden. Verder moeten we ons bij patching richten op patchsnelheid en prioritering. Dit is belangrijk omdat het vaak weken, zo niet maanden duurt voordat organisaties kwetsbaarheden hebben gepatcht, terwijl hackers kwetsbaarheden vaak binnen enkele uren of dagen na publicatie uitbuiten. Het is essentieel om altijd, in bijna realtime te weten welke technologie een organisatie heeft en om kwetsbaarheden binnen enkele uren te vinden en te patchen. Hoewel dit security-niveau hoger ligt dan de standaarden in de sector, moeten organisaties dit wel echt onder de knie krijgen als ze zich willen kunnen verdedigen tegen dreigingen.
Veilige technologie
Een aanzienlijk deel van de kwetsbaarheden ontstaat doordat veel technologiesystemen niet ontworpen zijn met de veiligheid ervan in het achterhoofd. Ze maken gebruik van ontwerp- en ontwikkelingsmethodes die hierin niet voorzien. Dit probleem wordt alleen maar groter naarmate het aantal organisaties dat zelf technologie ontwikkelt, toeneemt, met name door de digitalisering van ‘slimme’ productlijnen in elke sector – van fabrikanten die apparaten maken tot horlogemakers, iedereen ontwikkelt tegenwoordig code.
Technologieaanbieders moeten veel meer technologie ontwikkelen die intrinsiek veilig en veerkrachtig is. Waarbij tijdens het ontwerpen wordt gekeken hoe deze apparaten verbinding zullen maken met netwerken waar mogelijk ook hackers op actief zijn. Een intrinsieke beveiligingsaanpak resulteert in technologie die minder snel security-bugs heeft. En als kwetsbaarheden toch worden ontdekt (wat onvermijdelijk is), dan heeft dit minder gevolgen. Door intrinsiek veiligere technologie te implementeren, vermindert bovendien de noodzaak voor de tientallen beveiligingstools die de meeste organisaties gebruiken, wat er op zijn beurt weer voor zorgt dat werknemers hun kostbare tijd aan iets anders kunnen besteden dan aan het onderhouden van deze tools.
Speculeren
Alleen door aan de slag te gaan met deze drie fundamentele security-uitdagingen, kunnen we het volledige potentieel realiseren.
Begrijp me niet verkeerd, ik zeg niet dat toekomstgerichte security-voorspellingen niet nuttig zijn. Ik geloof alleen dat we onze tijd beter kunnen besteden aan het oplossen van de allang bestaande problemen waar we elke dag tegenaan lopen, in plaats van te speculeren over problemen die nog niet bestaan. Door opnieuw te focussen op het leggen van de juiste fundamenten, kunnen organisaties beginnen met het dichten van de asymmetrie die bestaat in dit uitdagende werkveld.
Phishing en fraude zijn 2 organisatorische problemen die niet zo zeer een raakvlak (hoeven te) hebben met cybersecurity terwijl ze natuurlijk wel iets met het personeelstekort te maken kunnen hebben. En aangaande training zal Henri vast nog wel een leuke aanvulling hebben want de strategische overwegingen in een voortschrijdende digitalisering gaan tenslotte om de benodigde kennis. Uiteindelijk is technologie namelijk als een geladen wapen, doeltreffend in de juiste handen maar een risico in de verkeerde handen.
Wat betreft veilige technologie zijn er natuurlijk de kwetsbaarheden die kwaadwillenden kunnen gebruiken en dat kan vrij gemakkelijk. Want het is absoluut waar dat veel oplossingen niet zijn ontworpen met beveiliging in het achterhoofd maar met functionaliteit. Neem bijvoorbeeld het pretpark van de populaire Systems of Engagement waar je in elke attractie mag als je een kaartje bij de ingang gekocht hebt. Want deze platformen hebben namelijk tot doel om data onderling te delen en daar profiteren cybercriminelen van.
Dus ook waar is dat de afgelopen 20 jaar er nauwelijks verandering is in het aanvalsvlak hoewel er een verschuiving van de eerdere e-mails naar chatkanalen gaande is voor phising en fraude. Maar dat komt misschien wel omdat we door training geleerd hebben dat een bank niet via een e-mail om de pincode vraagt. Het al lang bestaande problemen is de gebruiker die met één klik een duur beveiligingssysteem onklaar kan maken but don’t mention the war.
To many criminals, not enough cybertalent ?
Dat talent zal vaak niet de persoon zijn die de patchfrequentie bepaalt.
en dan de ” intrinsieke beveiligingsaanpak”, als de breedbekkikker :-0, nooooit van gehoord.
zou een gedicht over asymetrie het gaan oplosssen ?
Leuk verhaal, maar het gehele internet is intrinsiek nooit ontstaan met enige vorm van privacy en security in gedachten. Er was ooit aan het begin van de eeuw sprake, toen men dat ook al constateerde, om een geheel nieuw internet aan te gaan leggen. Nooit gelukt en zitten we met een inherent niet veilig en privacy gevoelig internet. Alle zaken die men nu probeert op te lossen, zijn point solutions. Dus aan de randen daarvan en in alle bestaande componenten zit nog genoeg om op te schieten. Ik zie niet zo snel een echte start van een oplossing.