Een interessant evenwicht in het huidige security-landschap is een defensieve versus een offensieve strategie. Een bank kan zich defensief wapenen tegen indringers met een goede firewall. Maar wat er vandaag nodig is aan security-dijkversterking zonder dat het water ons aan de lippen komt, is een strategie die morgen al verouderd kan zijn. En dan komen de indringers alsnog binnen.
Over deze blogger
Barry van Kampen (aka Fish_) is ethisch hacker en managing director van The S-Unit. Vanuit zijn rol is hij betrokken bij diverse adviesvraagstukken bij verschillende organisaties in Nederland en daarbuiten. De insteek van Barry is om vanuit een offensieve security-aanpak de wereld te verbeteren. Hij vervult hier de rol van adviseur/consultant en coach voor de diverse middelgrote en corporate bedrijven. Barry is onderdeel van de Hack in the Box HITB Core crew en hij spreekt regelmatig op congressen en evenementen. Naast deze rollen is hij actief binnen de internationale hacker(spaces)-gemeenschap en is hij mede-oprichter van Randomdata, de hackerspace in Utrecht.
Laten we doorgaan met het voorbeeld van een bank. De IT-afdeling weet, zoals bij zoveel bedrijven, in mijn optiek simpelweg niet wat er morgen op het gebied van cyber security gebeurt, met de bestaande kennis en informatie die daar vandaag de dag is. Maar als een cyber-aanval plaatsvindt, moet er wel op geanticipeerd kunnen worden. Een ander element die een financiële instelling moet waarborgen is functionaliteit. Een bank moet ervoor zorgen dat mensen over de hele wereld geld kunnen opnemen en dat dat veilig gebeurt. Alleen is er in mijn optiek bij deze instellingen te weinig focus op de IT-security.
Uit een Europees BSA-onderzoek blijkt dat alle 28 Europese lidstaten met een IT-security-beleid bezig zijn, maar dat ze niet allemaal hetzelfde niveau halen. Dat sommige landen achter de wagen aanlopen en alleen een defensief of reactief beleid voeren. Dat is gevaarlijk omdat je niet kunt inschatten wat het gevaar van morgen kan zijn.
The Last Samurai
Overheden en bedrijven lopen dus per definitie achter de feiten aan. En het is ook bijzonder complex, omdat uiteindelijk nooit precies duidelijk is tegen welke toekomstige cyber-dreigingen verdedigd moet worden. En dat is natuurlijk in het echte leven niet anders. Op het moment dat er een oorlog gaande is tussen twee landen en er wordt een nieuw wapen door het ene land ingezet, ontstaat er voor het andere land een probleem. Dat kan zich niet verdedigen omdat het daar de middelen niet voor heeft. Degene met het nieuwste wapen heeft het voordeel. Neem de film The Last Samurai, waar in een iconische laatste scène de krijgers met het legendarische zwaard het onderspit delven door de inzet van het geweer dat net werd geïntroduceerd. Dan is het defensieve wapen ineens weerloos.
Uitdaging
Recent nog werden we opgeschrikt door een grote hack op de Duitse Bundestag. De vraag die dan meteen bij mij naar boven komt is in hoeverre deze voorkomen had kunnen worden? Technologisch gezien is het een uitdaging om deze nieuwe technieken te kunnen pareren. Ik denk dat je juist moet investeren in kennis en bewustzijn wat betreft cybercrime-technieken, om ervoor te zorgen dat je dit soort inbraken kunt voorkomen. Het versleutelen van informatie bijvoorbeeld is nuttig. Dan versleutel je de data volgens een algoritme dat sterk genoeg is voor de komende tien jaar. Als over tien jaar alsnog toegang tot die data wordt verkregen, kan het zijn dat de informatie van minder waarde is. Bij een hack zal een organisatie zich afvragen hoe deze een volgende keer te voorkomen. Ik ben van mening dat men zich eerder had moeten realiseren waarom er toegang verkregen kon worden tot bepaalde informatie. Waarom er bijvoorbeeld zoveel informatie in één database zit en waarom dit nodig is. Ook vind ik dat, naast het bedrijfsleven, overheden offensiever moeten worden in hun verdediging. Een voorbeeld van waar de overheid het laat liggen is bijvoorbeeld bij DigiD; waar een extra beveiliging miljoenen zou kosten. Hierdoor zouden de kosten niet tegen de baten opwegen. Het is essentieel dat mensen nadenken over waar informatie in een organisatie wordt opgeslagen, wie er toegang toe heeft en wat men moet doen als het mis gaat.
Offensiever nadenken
Ik pleit er dus voor in de IT-security-strategie vooral te kijken naar de offensieve kant. Er moet worden nagedacht over aanvallen waar nog niet tegen opgetreden wordt. Sowieso dienen de offensieve kwaliteiten binnen de organisatie te worden aangewezen. En dan heb ik het vooral over mensen. De techniek van morgen zal continu veranderen en blijven verrassen. Er zijn heel veel bedrijven die zelf hun IT-security onderhouden, omdat ze daar groot genoeg voor zijn. Andere bedrijven kunnen dat niet en moeten goed nadenken over hoe ze dat extern beleggen in hun organisatie. Maar het vereist een andere manier van denken. De ‘vreemde vogels’ die zich met security bezig houden passen vaak niet echt binnen het bedrijfsprofiel, maar moeten wel geaccepteerd worden. Ik neem persoonlijk liever 10 autisten in dienst die letterlijk de aanvalskant van een klant begrijpen en precies weten wat er gedaan moet worden. Maar dat soort mensen worden meestal niet uitgenodigd door HR-afdelingen voor een gesprek, omdat er spelfouten in hun cv staan. Of gaan niet door nadat ze geïnterviewd zijn, omdat ze een t-shirt aan hadden wat van eergisteren was. Neem mensen niet aan om wie ze niet zijn, maar om wie ze wel zijn.
