In de voorbij maanden zagen wij tal van securityincidenten bij verschillende overheids- en opleidingsinstanties – zoals de Gemeente Lochem, Hof van Twente, Universiteit Maastricht en de GGD. Alsof zowel aantal incidenten als de impact van de incidenten toeneemt.
Natuurlijk wordt de wereld steeds afhankelijker van it-systemen en neemt de complexiteit van organisaties toe vanwege het toepassen van cloud computing, de toename van de iot-devices, de invoering van 5G en het gebruik van kunstmatige intelligentie. Maar dat hoeft niet te betekenen dat de cybersecurity een steeds groter ‘gat’ moet overbruggen en de strijd lijkt te verliezen. Althans, dat moeten wij als cybersecurityprofessionals niet accepteren.
Ouderwetse manier
Hoe kan een organisatie de kans op een cyberincident alsook de impact van een cyberincident aanzienlijk verkleinen? Als cybersecurityprofessional heb ik de afgelopen jaren moeten constateren dat de ‘ouderwetse manier’ van cybersecurity niet meer werkt. In een eerdere bijdrage (‘Waarom cybercriminelen wél winnen’) heb ik dit uitvoerig beschreven.
De verschillende cyberoplossingen van meerdere fabrikanten zoals firewalls, endpointproducten, cloudsecurity-oplossingen, siems en verder werken in de basis niet geïntegreerd met elkaar en zijn destijds ontwikkeld voor een specifiek doel. Niet om deel uit te maken van een groter beveiligingsgeheel. Vanwege deze silo’s is automatisering ook een uitdaging, terwijl de bad guys wel geautomatiseerd samenwerken. Helaas hebben wij gezien dat investeren in nog meer verschillende securityoplossingen (‘point products’) geen enkele garantie geeft voor het voorkomen van succesvolle ransomware-aanvallen. Het Deense Maersk en het Noorse Hydro zijn hier voorbeelden van.
Zero trust
Wat kunnen organisaties dan wel doen om hun security te verbeteren en securityincidenten te voorkomen? Allereerst is het belangrijk dat het management beseft dat cybersecurity een serieus commitment vereist met de daarbij benodigde investeringen. Een van de belangrijkste investeringen is het aanstellen van een daadkrachtige ciso (eventueel met een team), die de volledige ruimte en medewerking krijgt om een zero-trust-aanpak op te zetten en uit te voeren. Een dergelijk aanpak is essentieel.
Zero trust betekent dat je uitgaat van een complete ‘untrusted environment’, binnen en buiten de organisatie. Daarnaast gaat zero trust uit van het principe van ‘least privilege’, hetgeen dus niet betekent dat honderden medewerkers van de GGD onbeperkt toegang hebben tot de medische gegevens van miljoenen Nederlanders. Het is van groot belang dat een organisatie duidelijke regels opstelt wie welke toegang krijgt en tot welke data.
Een ander principe is dat alles moet worden gemonitord, hetgeen betekent dat alles zichtbaar moet zijn zodat afwijkingen zeer snel worden ontdekt en actie is te ondernemen. Er mogen geen blinde vlekken bestaan, want juist via die ‘blind spots’ kan er ransomware de organisatie binnenkomen, zoals bij de gemeenten en universiteit heeft plaatsgevonden.
Een ander principe van zero trust is de netwerksegmentatie van de it-omgeving. Dit principe is zo essentieel dat het vaak wordt vertaald als ‘zero trust’. Dit is niet correct, want zero trust is meer dan alleen netwerksegmentatie. Als wij dan toch naar netwerksegmentatie kijken, dan zou idealiter elk netwerk, dus ook het thuisnetwerk, moeten worden gesegmenteerd door het implementeren van next-generation firewalls, multi-factor authenticatie, (externe) backups en andere middelen. Uiteindelijk zorgt het geheel van de principes ‘least privilege’, ‘full visibility & monitoring’ en ‘network segmentation’ dat zero trust werkt en goed uitvoerbaar is in elke organisatie.
Samenwerking en informatiedeling
Tenslotte is het belangrijk dat de overheidsorganisaties meer moeten leren van ‘lessons learned’ uit het verleden en ook onderling meer moeten samenwerken en informatie moeten uitwisselen. Dit betreft zowel tussen overheidsinstanties onderling alsook tussen overheid en bedrijfsleven. Helaas constateer ik nog steeds dat overheidsinstellingen vaak zelf ‘het wiel willen uitvinden’ op het gebied van cybersecurity, terwijl regelmatig de gezochte oplossingen al jaren succesvol functioneren in het bedrijfsleven, zowel binnen Nederland als daarbuiten. Daarnaast ben ik van mening dat de overheid nog veel te vaak het bedrijfsleven ziet als ‘commerciële wolven’ die alleen maar geïnteresseerd zijn in de business, hetgeen een verkeerde weergave is van de werkelijkheid. Echt samenwerken en op een transparante manier informatie delen zijn essentiële zaken die bijdragen aan het voorkomen van security incidenten.
Conclusie
Het is mijn verwachting dat securityincidenten bij overheidsinstanties in de komende periode niet afnemen. Maar securityprofessionals mogen niet lijdzaam toekijken en het maar laten gebeuren. Wij hebben nu de mogelijkheid om dit te veranderen. Dit vereist wel:
- Bewustwording en investeringen;
- Zero-trust-aanpak;
- Samenwerking en het delen van informatie
Alleen dan hebben wij kans van slagen en kunnen de ransomware aanvallen bij de gemeenten/universiteiten en de datalekken bij de GGD mogelijk worden voorkomen. In ieder geval zal de kans op dergelijke incidenten en de impact van deze incidenten significant afnemen. En dat is uiteindelijk waar wij securityprofessionals het voor doen.
