We moeten stoppen met reageren op gebeurtenissen en opnieuw gaan nadenken over hoe we onze systemen bouwen. Dit is de overkoepelende boodschap van Martijn Neef, Coördinator Kennis en Innovatie Cybersecurity bij het Ministerie van Economische Zaken. Volgens Martijn is de huidige aanpak van het constant patchen en repareren van kwetsbaarheden niet langer houdbaar.
Dit geldt met name voor mobiele communicatie, omdat mobiele telefoons de afgelopen jaren zijn uitgegroeid tot een punt waarop mensen in wezen hun hele leven in hun zak dragen, iets wat veel kwetsbaarheden met zich meebrengt.
Een balans vinden tussen beveiliging en bruikbaarheid
Met een achtergrond in cognitieve kunstmatige intelligentie en meer dan twintig jaar ervaring bij TNO Defensie en Veiligheid, begon Martijn in 2023 zijn rol bij het Ministerie van Economische Zaken, waar hij nauw samenwerkt met dcypher en het Nationaal Cyber Security Centrum. Vanuit zijn ervaring heeft hij het dreigingslandschap zien groeien en evolueren, samen met de beveiligingsmaatregelen.
Bij mobiele beveiliging ligt de fundamentele uitdaging in het vinden van de juiste balans tussen beveiligingsmaatregelen en gebruiksvriendelijkheid, zegt Martijn. Naarmate we meer beveiligingsfuncties en beschermende maatregelen toevoegen, worden apparaten steeds complexer en minder gebruiksvriendelijk. Deze complexiteit heeft niet alleen gevolgen voor eindgebruikers, maar creëert ook uitdagingen voor leveranciers die een steeds groter netwerk van beveiligingsmaatregelen, -processen en -configuraties moeten beheren.
“De vraag is of de kosten van gebruiksvriendelijkheid uiteindelijk opwegen tegen de voordelen,” stelt Martijn.
De huidige aanpak van het constant patchen en repareren van kwetsbaarheden is in wezen als het plakken van een pleister nadat het bloeden is begonnen, suggereert hij. Hoewel steeds meer techbedrijven, zoals Samsung en Apple, proberen om van beveiliging een verkoopargument te maken, blijft de realiteit dat systemen kwetsbaar blijven voor aanvallers.
Terug naar de basis
Martijn pleit voor een fundamentele verschuiving in de manier waarop we beveiligingsontwerp benaderen. In plaats van continu lagen van beveiliging toe te voegen aan bestaande systemen, zouden we opnieuw moeten nadenken over hoe systemen vanaf de grond worden opgebouwd. Dit omvat niet alleen de technische aspecten, maar ook de menselijke elementen, processen, regels, training, competenties en wat hij de ‘rules of engagement’ noemt.
“Als we tien tot vijftien jaar vooruit kijken, denk ik dat we onze systemen op een heel andere manier moeten opbouwen,” zegt Martijn. Veel consumentenelektronica, waaronder IoT-apparaten, zijn niet vanaf het begin ontworpen met beveiliging in gedachten. Deze fundamentele ontwerpfout moet volgens Martijn op systeemniveau worden aangepakt.
“We moeten terug naar de basis,” zegt Martijn. “Als het gaat om mobiele apparaten in organisaties, moeten we kijken naar wat we eigenlijk nodig hebben. Alles wat we niet nodig hebben, moeten we niet toestaan.”
Meer bewustzijn is nodig
De huidige beveiligingstrainingen binnen organisaties zijn onvoldoende, stelt Martijn. In plaats daarvan zou het beveiligingsbewustzijn veel verder moeten gaan dan de huidige aanpak van basistraining met wachtwoorden en beveiligingscursussen.
“Je moet leren om alert te zijn, om zwakke signalen te herkennen,” legt hij uit. “Gedragen mijn systemen zich vreemd? Ben ik ergens geweest waardoor ik kwetsbaarder ben? Dit zijn belangrijke vragen die je jezelf moet blijven stellen.”
Organisaties moeten een cultuur creëren waarin iedereen zich bewust is van de gevolgen voor de beveiliging, niet alleen het beveiligingsteam. Dit houdt bijvoorbeeld in dat je abnormaal systeemgedrag moet leren herkennen en moet begrijpen wanneer je kwetsbaar bent. Veel niet-technische medewerkers kunnen echter moeite hebben met het herkennen van beveiligingsrisico’s. Het feit dat beveiligingsteams vaak behoorlijk geïsoleerd zijn van andere teams in een organisatie draagt bij aan dit probleem, zegt Martijn.
Hybride bedreigingen vereisen hybride perspectieven
Er zijn veel organisaties die zich bezighouden met cyberbeveiliging, maar ze kunnen allemaal last hebben van een soort tunnelvisie, merkt Martijn op. “Als je zo gefocust bent op je eigen strategie en oplossingen, kun je eindigen met een soort vastgeroest wereldbeeld: Daar heb ik ook last van. Maar wat als we elkaar, op een goede manier, zouden kunnen besmetten met nieuwe perspectieven?”
Het huidige bedreigingslandschap vereist dit, voegt hij eraan toe. “We liggen onder vuur door hybride bedreigingen die vanuit meerdere hoeken komen, bedreigingen die niet langer standaard zijn. Dit betekent dat onze standaardaanpak niet langer goed genoeg is.” Daarom moeten we open blijven staan voor alternatieve manieren van denken, zegt Martijn.
“Hier in de cyberbeveiligingswereld zitten we al een tijdje vast in onze creatieve innovatieprocessen. Dat moet veranderen.”
