De huidige cybersecurity-aanpak werkt niet. Aldus de strekking van mijn blog, enkele jaren geleden. Helaas heb ik de afgelopen jaren geen serieuze verbetering van de situatie kunnen waarnemen. Integendeel. Blijkbaar leren wij niet van ‘lessons learned’ en lijkt het in de huidige cybersecuritywereld alleen maar te draaien om het genereren van business .
In de afgelopen jaren is bijna elke organisatie die enige affiniteit heeft met it (informatietechnologie) zich gaan richten op cybersecurity. Het was ‘hot’ en zorgde voor (extra) business. Grote accountancybedrijven tuigden cybersecurity risk & advisory-teams op, die uit pasafgestudeerde jonge mensen bestonden en werden ‘vermarkt’ als cyberadviseur. Internationale it-netwerkbedrijven begonnen met het ontwikkelen en het op de markt brengen van netwerksecurityoplossingen (lees: firewalls) en bekende softwarebedrijven begonnen met de ontwikkeling van specifieke softwareoplossingen voor cybersecurity, vaak initieel om hun eigen producten (lees: cloud) te beveiligen. Sommige bedrijven gebruikten zelfs het buzzword ‘ai’ (artificial intelligence) als de basis voor hun oplossingen en dat terwijl er tot op de dag van vandaag nog geen echte ai-cybersecurityoplossingen zijn – want machine learning is niet hetzelfde als ai.
Dit is dus een probleem.
Minimaal verschil
Dit alles heeft geleid tot een situatie waarbij er wereldwijd enkele duizenden cybersecurityaanbieders zijn, ieder met een eigen ‘point-oplossing’, die vaak minimaal verschilt qua functionaliteit van andere aanbieders. Voorbeelden hiervan zijn de hoeveelheid verschillende aanbieders van endpoint-beschermingsoplossingen, firewalls en siem’s. De eindgebruiker wordt dagelijks overladen door cybersecurityaanbieders met ‘sales pitches’ via directe kanalen en sociale media. Hierdoor ontbreekt het overzicht en heeft de eindgebruiker uiteindelijk geen idee wat de juiste manier is om de organisatie adequaat te beveiligen.
Dit is dus een probleem.
Geen samenwerking
Naast dat er veel aanbieders zijn, is de concurrentie tussen deze cybersecurity-aanbieders ook enorm. Kijk alleen maar naar de hoeveelheid cybersecurity evenementen/webinars die worden georganiseerd. Vandaag (29 oktober), op het moment van schrijven, vinden alleen al in Nederland al vijf verschillende cybersecurity-webinars op hetzelfde tijdstip plaats. Althans, dit zijn de vijf webinars die mij bekend waren. Van enige coördinatie, afstemming en samenwerking is geen sprake. En dat is nu juist iets dat de cybercriminelen wél doen: samenwerken.
Dit is dus een probleem.
Aanvalsoppervlakte
De afgelopen jaren zijn de cyberaanvallen niet afgenomen. Sterker, door een steeds complexere wereld met daarin een exponentiële groei van iot (internet of things)-apparaten, de invoering van 5G, het opschalen van cloud computing en de toepassing van machine learning (door sommigen ‘ai’ genoemd), wordt het aanvalsoppervlakte voor de cybercriminelen steeds groter. Hierdoor wordt het voor cybersecurityprofessionals moeilijk hun organisaties adequaat te beveiligen, zeker als zij alleen de beschikking hebben over niet-geïntegreerde en niet-geautomatiseerde ‘point-productoplossingen’, terwijl de aanvallers wel geïntegreerd en geautomatiseerd aanvallen en dit onderling coördineren. Het gevolg is een toename van het aantal succesvolle cyberaanvallen.
Dit is dus een probleem.
Niet serieus
Tot slot baart het zorgen dat cybersecurity nog steeds niet serieus genoeg wordt genomen in de politiek en bij publieke organisaties. Binnen het publieke domein worden er personen op essentiële cybersecurityposities geplaatst zonder enige relevante cyberkennis en/of ervaring in het cyberdomein. Een voorbeeld hiervan is de positie van commandant van het Defensie Cyber Commando, die vooral een militair moet zijn bij wie enige cyberkennis is gewenst maar niet vereist. Een ander voorbeeld is de functie van directeur Cybersecurity en Weerbaarheid tegen statelijke dreigingen (en tevens plv. NCTV). Dit moet vooral een diplomaat zijn en enige cyberkennis schijnt ook hier niet te zijn vereist. Daarnaast bestaat er nog steeds geen ministerie van Digitale Zaken, waardoor cybersecurity versnippert blijft binnen het publieke domein en de kennis/ervaring niet of nauwelijks effectief wordt gedeeld en gecentraliseerd.
Er komt weliswaar een Vaste Kamercommissie Digitale Zaken, maar dat is vooral een commissie zonder enig mandaat en/of daadkracht. Ook het feit dat er nog steeds geen curriculum is op het lager en middelbaar onderwijs in Nederland is een gemiste kans. Er wordt wel aardrijkskunde, Frans en/of Duits onderwezen, waar het (maatschappelijk) nut niet van is bewezen, terwijl er geen enkele aandacht is voor de digitale wereld waarin de kinderen opgroeien.
Dit is dus écht een probleem.
Leren niets
Zolang wij deze situatie niet drastisch veranderen, blijven de cybercriminelen ons een stap voor en moeten wij niet verbaasd zijn als er organisaties worden gehackt, gevoelige en persoonlijke gegevens op straat komen en onze kritische infrastructuur nog steeds kwetsbaar blijkt te zijn. Het jaarlijkse dreigingsbeeld in Nederland en andere cyberrapportages vertellen ons jaarlijks hetzelfde, maar blijkbaar leren wij niets van onze lessons learned en blijven wij gewoon ‘doormodderen’ met als gevolg dat de cybercriminelen blijven winnen.
En dit is dus een probleem!
Dag Fred,
Ik kan nog wel een paar problemen noemen 🙂
Zo krijgen ciso’s vaak geen mandaat en is budget voor bijvoorbeeld security awareness een ding.
Ik vind dat net als verkeersles op school, informatie veiligheid ook gewoon met de paplepel moet worden ingebracht. Gewoon net als je handen wassen of naar links en rechts kijken bij het oversteken zou je ook moeten weten dat je geen wachtwoord deelt of af laat kijken, je leert hoe je voor alles verschillende wachtwoorden gebruikt en hoe je oplichting herkend.
Bovendien geloof ik dat als je het thuis leert en leert toepassen, je dit automatisch ook op je werk zult toepassen.
Iedereen met een telefoon of toegang tot internet moet deze basis zo normaal vinden als veilig oversteken.
Maar goed, het blijft voorlopig nog wel een probleem. Dat is een probleem. Of ga ik je nu napraten?
@Henri: alle aanvullingen zijn welkom!
“Kunstmatige intelligentie is het bredere concept van machines die in staat zijn om taken uit te voeren op een manier die we als ‘slim’ zouden beschouwen. … Machine Learning is een huidige toepassing van AI gebaseerd op het idee dat we machines gewoon toegang moeten kunnen geven tot gegevens en ze zelf moeten kunnen leren.”
Aldus één van de vele definities over AI want hoewel er natuurlijk veel marketing buzz is denk ik dat de inzet van machine learning in beveiligingstaken een grote vlucht gaat nemen. Al was het alleen maar omdat machines beter zijn in het herkennen van patronen en dus lijken problemen me enkel een verschil in visie.
Het probleem van ‘awareness’ binnen het digitale optimisme waar Henri op wijst onderschrijf ik alleen heb ik wel vragen over wat welke belangen we proberen te beschermen. Want het herkennen van oplichting is mooi maar wat nu als de oplichter de staat is?
Doormodderen is een keus zoals het scorebord laat zien want ik hack low-tech de processen door zwakheden in de systemen uit te buiten, de juridische ‘cyber-creativiteit’ van hacken als we kijken naar demarcatielijn in het strafrecht en de gekwetse imago’s in het civiel recht.