Thema’s als big data, cloud en sociale media, zorgen ook in 2013 voor de nodige beveiligingshoofdbrekens. De experts van Computable verwachten vooral dat door deze ontwikkelingen cybercriminaliteit 2013 in zijn greep zal houden.
Bring your own device (byod) en het nieuwe werken hebben in 2012 nieuwe uitdagingen gebracht op het gebied van beheersbaarheid, toegang en beveiliging. Er is een nieuwe werknemer ontstaan. Een medewerker die de werkplek die een werkgever aanbiedt niet zomaar klakkenloos accepteert maar zelf zijn werk wilt inrichten.
Het jaar 2013 zal volgens architect security & networking Martijn Bellaard van Brainforce, dan ook het jaar zijn waarin ict anders gaat aankijken tegen de werkplek. ‘Niet langer is de werkplek per definitie te vertrouwen. Er zal een scheiding plaats gaan vinden tussen verschillende type werkplekken en gebruikers. Afhankelijk van wie, waar, wanneer en met welk device inlogt zal er dynamische bepaald gaan worden welke resource hij mag gaan benaderen’, zegt hij. ‘Daardoor zal dataprotection en host protection een belangrijk beveiligingsonderwerp worden in 2013 en daarna. Bedrijven zullen hun data beter gaan beschermen tegen verlies en diefstal.’
Sociale media
Naast bring your own device denkt business consultant Albert Brouwer van KPN Corporate Market Trusted Services dat ook cloudcomputing en de opkomst van sociale media in 2013 nog veel impact hebben op de beveiligingsindustrie. ‘De opkomst van het gebruik van sociale media in het zakelijke verkeer maakt het nodig om opnieuw na te denken over beveiligingsaspecten. Welke mate van betrouwbaarheid moet worden toegedicht aan een betrekkelijk informele omgeving. Is de technische afscherming daarvan mogelijk en wenselijk of moeten we het hebben van menselijke bewustwording?’ Ook denkt Brouwer dat goedkope cloud-oplossingen aantrekkelijker worden onder druk van krimpende budgetten. ‘De beveiligingsimplicaties kunnen echter groot zijn.’
Directeur Gertjan Nickolson van Behring Consultancy is het met hem eens. ‘Er komen steeds meer cloud-oplossingen waarvan het niet helemaal duidelijk is waar wie voor verantwoordelijk is, hoe het zit met aansprakelijkheid en waar de informatie zich precies bevindt. Dus waar het voor het gebruiksgemak misschien heel handig lijkt om te kiezen voor een dergelijke oplossing, is het vanuit beveiligingsperspectief wellicht juist niet handig’, zegt hij.
Toenemende cybercriminaliteit
De maatschappij zal volgens de Computable-experts mede door deze ontwikkelingen in toenemende mate te maken krijgen met cybercriminaliteit. Brouwer van KPN: ‘De reële wereld is steeds meer afhankelijk van de digitale wereld. Economieën zijn gedigitaliseerd. Grote geldstromen verlopen elektronisch. Transport en logistiek worden digitaal geregeld. Dit heeft een grote aantrekkingskracht op criminelen. Grote delen van onze informatiemaatschappij gaan hier nog naïef mee om.’
Hoofd kenniscentrum Gert Jan Timmerman van Info Support: ‘Hackers breiden hun werkterrein uit. Waren vroeger vooral Windows-pc’s het doelwit, de laatste tijd zien we steeds meer aanvallen op platforms van Apple, Google en Oracle.’ Hij verwacht dat deze ontwikkeling doorzet. ‘Door de opkomst van steeds meer mobiele devices zijn consumenten steeds meer gewend dat alle informatie online beschikbaar is. Hierdoor ontstaat er druk op organisaties meer en meer informatie online te zetten, waardoor de beveiliging soms te weinig aandacht krijgt. Applicaties die nooit bedoeld waren om online beschikbaar te zijn, zijn daar qua security niet op ingericht’, legt hij uit.
‘Een fenomeen dat steeds meer voorkomt is de zogenaamde ‘multivector-aanval’, waarbij criminelen een gecoördineerde aanval via verschillende lijnen opzetten, waarbij de lijnen elkaar onderling versterken of afdekken. Denk hierbij aan een DDoS-aanval op het telefoonsysteem van een bank, gecombineerd met het leegroven van rekeningen met gekopieerde pasjes. Daardoor kan de bank zijn klanten niet bellen om te verifiëren of de transacties die ze zien, authentiek zijn.’
Intrinsieke beveiliging
Brouwer denkt dat het daarom onontkoombaar is dat security in toenemende mate een intrinsiek onderdeel van product- en dienstontwikkeling wordt. ‘We komen niet meer weg met ‘aangebouwde’ beveiliging. Producten en diensten moeten intrinsiek veilig worden aangeboden. Vanaf de architectuurontwerpen zullen security professionals betrokken moeten worden bij de ontwikkeling van producten en diensten. Het security-vakgebied zal zich meer dan ooit moeten richten op de georganiseerde misdaad, cybercriminaliteit en cyberterrorisme.’ En het kan volgens hem niet anders dat ook de overheid hierin een grotere rol zal gaan opeisen.
Algemeen directeur Steven Dondorp van Northwave: ‘De meeste aandacht van beveiliging zit doorgaans bij de centrale netwerken van de organisatie. Hetzelfde principe zie je ook vaak bij cloud-structuren. Er wordt heel veel aandacht besteed aan het beveiligen van de cloud, maar het is erg belangrijk om dit ook te doen voor individuele gebruikers. Aanvallers richten zich om die reden op de zwakste schakels om binnen te komen en dat is vooralsnog de eindgebruiker, waaronder de administrator van cloud-applicaties.’
Bedrijfsvoering
Technisch directeur Peter Mesker van SecureLink denkt daarom ook dat het zeker in verder gevirtualiseerde omgevingen essentieel is dat securitymaatregelen door de hele infrastructuur heen genomen kunnen worden om zo de continuïteit van de bedrijfsvoering te kunnen garanderen. ‘De oplossing ligt in een holistische security-oplossing die op alle lagen aansluit, dus zowel op de netwerk- en applicatielaag als op de inhoud. ‘Hiermee wordt het beheer vereenvoudigd en het inzicht op applicatie, gebruiker en content niveau verhoogd’, zegt hij. Het nieuwe netwerk moet volgens Mesker ‘adaptive’ zijn, dus zich aanpassen aan de gebruiker en zijn behoeften.
Business development manager Benelux Henk Schotman van Mobotix beaamt dit: ‘Efficiënte security systemen gaan meer onze toekomst bepalen. De techniek van security moet ondersteunend zijn aan een proces, de omgeving of de mens. Minimaal opvallend, maximaal doeltreffend. Daar waar er ongewenste afwijkingen zijn op het normale proces, moet security in actie komen. Techniek dient te zorgen voor die signalering, een alarm geven wanneer nodig, zodat de mens in staat wordt gesteld te reageren zodat een incident of calamiteit, die ‘onrust’ veroorzaakt, kan worden vermeden.
Ict-architect Willem Kossen van Bureau Keteninformatisering Werk en Inkomen vat het samen. ‘Beschermingsmaatregelen moeten dichter op de informatie en de applicaties zelf komen te liggen en dat de traditionele beveiliging aan de rand van een netwerk minder zinvol wordt. Architectuur en veiligheid zullen dus meer samengaan’. Consultants in dit vakgebied moeten zich volgens Kossen dan ook meer moeten richten op de vraag wat er kan en minder op ‘wat er niet mag’. ‘Beperkingen zijn natuurlijk vanzelfsprekend als gevolg van beschermingsmaatregelen, maar mogen de vereiste ontwikkelingen en veranderingen niet te veel blokkeren.’
Consultants
Bovendien wordt het volgens de experts van Computable voor consultants nog meer van belang om zich te richten op bewustwording en gedragsverandering bij de eindgebruiker. Nickolson: ‘Waar we als Security consultants mee te maken krijgen, meer dan ooit, is het creëren van een ‘security bewustzijn’ bij organisaties en werknemers. Net als mensen er als vanzelf sprekend aan denken om bij vertrek de voordeur dicht en op slot te doen, moeten ze dit soort gedrag ook gaan vertonen bij het omgaan met bedrijfsinformatie.’ Daarnaast heeft overbeveiliging volgens hem geen zin. ‘Als de muurtjes niet goed genoeg zijn komt de bedrijfsinformatie er doorheen en als ze wel goed genoeg zijn dan is het contraproductief voor bedrijven en medewerkers. Er is nu eenmaal een toenemende behoefte aan informatie anytime and anywhere. Dit is een dilemma en verdient een uitgekiende informatiebeveiligingstrategie.
Security lead Eala Floris van den Dool van Accenture vult aan: ‘Security consulting is nog steeds een groeimarkt omdat de dreigingen toe blijven nemen en de toepassing van oplossingen achter blijft lopen bij de meeste organisaties. Om echt waarde toe te kunnen voegen zullen consultants sterke technische kennis moeten kunnen koppelen aan gedegen business kennis en risk management expertise. Alleen op die manier zijn security consultants een volwaardige gesprekspartner voor het management dat in toenemende mate bezorgd is over de beveiligingsissues.’
Zoals ik aangaf in mijn blog eerder dit jaar http://spicynienke.blogspot.nl/2012/01/internetvrijheid-in-2012-hoe-vrij-zijn.html is de groeiende behoefte om met elkaar in verbinding te zijn een drijfveer die tevens veel risico’s inhoudt. Voor bedrijven wordt interne kennis over een veilig netwerk steeds essentiëler. Maar ook een netwerk opbouwen van vertrouwensrelaties en verificatiemiddelen, om betere keuzes te maken en veiligheid te kunnen maximaliseren, is van belang. Om zo de continuïteit te kunnen waarborgen.