Security is een doorlopend proces, en het kan geen kwaad om jaarlijks met klanten het securitybeleid te evalueren. Zij vragen me dan hoe ze moeten omgaan met de nieuwste securitybedreigingen, maar ook blijken nieuwe wetten rond privacy en datalekken veel kopzorgen te geven. Die hebben namelijk een zeer grote impact, zowel voor informatiebeheer als beveiliging. Tijd dus voor een lijstje met tien belangrijke securitybedreigingen voor 2017.
1. GDPR-privacywet
Niet zozeer een bedreiging, maar wel iets dat het datasecurity-beleid van organisaties sterk gaat beïnvloeden is de GDRP-privacywet. Dit jaar zullen alle bedrijven die met persoonsgegevens van Europese personen werken hun zaken op orde moeten krijgen om te voldoen aan de General Data Protection Regulation (GDPR). Deze Europese wet wordt in mei 2018 van kracht, maar uit meerdere onderzoeken blijkt dat veel bedrijven in de Benelux hier nog amper iets aan hebben gedaan. Privacy-assessments, risico-analyses en investeren in de technologie en processen voor veilig informatiebeheer zouden daarom hoog op de agenda moeten staan. Wat heb je precies staan aan data binnen je organisatie, en wordt daar volgens een security by design-werkwijze mee omgegaan?
2. Ransomware voor clouds
Ransomware zal ook dit jaar een groot probleem blijven. Voor cybercriminelen levert het digitaal gijzelen van computersystemen simpelweg veel geld op. De aanvallen waren tot dusver vooral gericht op pc’s, laptops en servers, maar naar verwachting zal ransomware dit jaar ook de transitie naar de cloud maken. Bedrijven met een private cloud omgeving lopen het meeste risico, wat een ernstige verstoring van hun bedrijfsvoering kan opleveren. Bij geoutsourcete omgevingen, bijvoorbeeld met IaaS en SaaS, profiteer je van de security-expertise en continue monitoring van het dataverkeer en de systemen door de leverancier. Een cloudprovider heeft vaak een eigen security operations center (soc), en leeft de juiste security-certificeringen en protocollen na.
3. IoT bedreigt organisaties
Steeds meer bedrijven gaan de komende jaren IoT-toepassingen gebruiken. Van productiebedrijven tot winkelcentra, allemaal zullen zij het IoT willen gebruiken voor het monitoren van goederen, apparaten en mensen. Zij moeten zich hierbij verzekeren dat de security van deze apparaten goed geregeld is, dat ze online geupdatet kunnen worden, en op een flexibele en schaalbare manier beheerd kunnen worden. Kwetsbare IoT-apparaten die data uitwisselen met de bedrijfsinfrastructuur kunnen een ernstig datalek opleveren voor bedrijven, en zelfs gebruikt worden voor DDoS-aanvallen.
4. Kwetsbare bedrijfsnetwerken
Bedrijfsinfrastructuren worden diffuser doordat lokale applicaties en servers steeds meer gecombineerd worden met cloud services, mobiele applicaties en SaaS-toepassingen. Het beveiligen van on premise infrastructuren is veelal de grootste (en meest kostbare) uitdaging, aangezien dit bij cloud-services standaard voor je wordt geregeld. Organisaties zullen daardoor uit kostenoogpunt en voor risicobeheer steeds meer naar deze beheerde omgevingen migreren. De noodzakelijke beveiligingsmaatregelen en worden dan door de leverancier geïmplementeerd. Malware- of phishing-campagnes kunnen dan bijvoorbeeld tijdig afgeslagen worden. Daarnaast kan verkeer tijdens DDoS-aanvallen omgeleid worden om de schade te beperken. Interne securitykennis en kunde is dan overbodig.
5. Digitale lijken in de kast
Binnen organisaties worden er regelmatig allerlei obscure legacy-tools of zelf ontwikkelde software gebruikt, die veelal aan het internet zijn blootgesteld. Denk ook aan softwareleveranciers die snel groot geworden zijn, en gericht op functionaliteit snel hebben doorontwikkeld, maar op een matig securityfundament. Deze digitale lijken in de kast zijn een reëel securityrisico, die vroeg of laat misbruikt gaan worden. Daarnaast zullen we nog lang last hebben van inbraken bij grote online dienstverleners, zoals LinkedIn, Dropbox en Yahoo. Er zijn lijsten met miljoenen gebruikersnamen en wachtwoorden in omloop, die in veel gevallen nog steeds actueel zijn, of ook voor andere services gebruikt worden. De gehackte Twitter-accounts van Nederlandse politici zijn daar een mooi voorbeeld van.
6. Aanvallen op smartphones
De afgelopen jaren hebben we diverse spyware-tools en kwetsbaarheden voor mobiele devices gezien, zoals Pegasus, XcodeGhost, Stagefright en Heartbleed. Aangezien veel van deze apparaten ook voor werk worden gebruikt, zouden bedrijven hier proactief op moeten reageren met procedures en beleid, en wellicht zelfs met oplossingen voor mobile device management (mdm) of mobile threat defence (mtd). De smartphone van een ceo vereist vanzelfsprekend de strengste controle, maar ook het mobiele apparaat van een ‘normale’ werknemer kan door kwaadwillenden gebruikt worden om tot het bedrijfsnetwerk door te dringen.
7. Gevaarlijke digitale assistenten
Bedrijven als Apple, Google en Amazon zetten groot in op slimme digitale assistenten. Maar welke security-risico haal je in huis met een Google Home of Amazon Echo op de werkkamer? Je praat er immers mee en stelt vragen, en die data gaat vaak naar buitenlandse datacentra voor verwerking. De eerste rechtszaken om dit soort data te mogen inzien, worden al gevoerd in de VS. Ook is het in theorie mogelijk dat er tijdens meetings per ongeluk of misschien zelfs door kwaadaardige bedoelingen meegeluisterd wordt. Deze kunstmatige intelligentie-platformen hebben bovendien vaak toegang tot allerlei externe diensten en apparaten, wat ook de nodige privacyvraagstukken opwerpt.
8. Aanvallen met AI en big data
In 2017 zullen we steeds meer toepassingen gaan zien van machine learning en artificial intelligence (ai). Ook in de cybercrimewereld zal deze technologie in combinatie met big data-analyse gebruikt worden, bijvoorbeeld om phishing- en social engineering-campagnes te optimaliseren, kwetsbaarheden in software te detecteren of wachtwoordenlijsten te analyseren. Securityleveranciers zullen daarom ook moeten investeren in technologie om informatie uit allerlei endpoints en aanvalssensoren te verzamelen en te analyseren. Informatie van allerlei klanten, industrieën en landen. Ze moeten hun systemen trainen om op een intelligente manier mee te spelen in het snel veranderende security-landschap, zodat ze hun klanten optimaal kunnen beschermen.
9. Privacygevaren binnen de organisatie
Werknemers hebben vaak toegang tot allerlei privacygevoelige gegevens, waar zij lang niet altijd recht toe hebben. Met de Meldplicht Datalekken en de opkomende GDPR-wetgeving in het achterhoofd, kan dit tot ernstige problemen leiden. Het lekken van persoonsgegevens kan tot hoge boetes leiden, en bovendien resulteren in reputatieschade voor een organisatie. Maar ook kunnen organisaties zelf onrechtmatig met persoonsgegevens omgaan, bijvoorbeeld om bepaalde bedrijfsdoelstellingen te halen. Bedrijven moeten daarom heel goed moeten evalueren of zij met hun processen en systemen in staat zijn om persoonsgegevens goed te beveiligen en beheren, en hierover ook volgens de wettelijke richtlijnen kunnen rapporteren.
10. Kwetsbare industriële en financiële systemen
Alles moet tegenwoordig internet-enabled zijn, maar op security-gebied blijken veel systemen sterk achter te lopen. Zo blijkt uit onderzoek dat er voor meer dan 30 procent van met internet verbonden controlesystemen voor industriële machines geen security-patches beschikbaar zijn. Aanvallen op dit soort systemen zijn daardoor een groot risico, en kunnen voor bedrijven gevaar opleveren, maar uiteindelijk zelfs voor de landelijke infrastructuur. Daarnaast richten cybercriminelen zich steeds meer op zogeheten SWIFT-systemen, die door banken gebruikt worden om financiële transacties af te handelen. Deze organisaties, maar indirect ook hun klanten, kunnen hierdoor ernstig gedupeerd worden. Regelgevers in de VS en Europa hebben de handen ineen geslagen om banken te dwingen meer te investeren in de security van deze systemen.
Een realistisch overzicht van 10 bedreigingen. Er is ontzettend veel werk aan de winkel, mede omdat Protection by Design tot op heden amper een issue is (geweest). Ik denk wel eens dat we voor bijvoorbeeld privacy (persoonsgegevens) voor de mensen die nu leven al rijkelijk (te?) laat zijn met adequate maatregelen tegen misbruik van hun persoonsgegevens. En IOT is geen toekomstmuziek. Het is nu al volop in ontwikkeling. Gelukkig ontstaat daar nu al aandacht voor digitaal vertrouwen. Deze keer iets sneller in de verspreidingsfase van IOT dan bij de verwerking van onze persoonsgegevens. We zijn deze keer hopelijk op tijd.
Mooie opsomming en goed vertrekpunt om eens naar binnen te kijken.