Ondernemingen vertrouwen voor de beveiliging van hun kostbare IT-systemen nog sterk op preventie: de klassieke ‘beveiliging aan de poort’. Daardoor blijken bedrijven kwetsbaar voor dreigingen van binnenuit – of het nu om hackers gaat die de beveiliging weten te omzeilen, of om medewerkers die hun privileges misbruiken. Cybersecurity vraagt dringend om een ander, breder beveiligingsmodel dat bedrijven beter voorbereidt op de sterk groeiende dreiging uit cyberspace.
Organisaties worden steeds afhankelijker van hun IT-systemen. Steeds vaker steunen businessmodellen grotendeels of zelfs volledig op de data die organisaties verzamelen, verwerken en interpreteren. De integriteit van die data is dan ook cruciaal – niet alleen om de betrouwbaarheid van de analyses te garanderen, maar ook omdat organisaties onder steeds grotere druk staan om onze gevoelige gegevens zorgvuldig te beschermen.
> Lees ook Digitale dreiging neemt toe
Privacyverordening kan boetes tot 20 miljoen opleggen
Op 25 mei dit jaar wordt de Algemene Verordening Gegevensbescherming (AVG) van kracht: een richtlijn die voor EU-landen bepaalt dat bedrijven die niet zorgvuldig omgaan met de privacygevoelige gegevens in hun systemen, beboet kunnen worden met bedragen tot 20 miljoen euro – of 4% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen!
Beveiliging van data is niet alleen een IT-probleem
Voor de beveiliging van die data kijken organisaties gewoonlijk naar hun IT-afdeling. Het algemene idee lijkt te zijn: het is een IT-probleem, dus laat IT het maar oplossen. Maar IT kan dat niet alleen en zeker niet met de huidige middelen. Zelfs al zou het mogelijk zijn een waterdicht systeem te ontwerpen – wat gezien de hoge complexiteit, de combinatie van verschillende systemen van vele leveranciers en de voortdurende doorontwikkeling van de oplossingen vrijwel ondenkbaar is – dan nog blijft zelfs het best beveiligde systeem afhankelijk van zijn gebruikers.
Preventie alleen is onvoldoende
Gebruik van wachtwoorden
Hoe groot dat probleem eigenlijk is, wordt steeds duidelijker. Het begint al met het gebruik van wachtwoorden: het blijkt vrijwel ondoenlijk iedere werknemer te dwingen voor elke dienst die hij gebruikt een uniek en veilig wachtwoord te verzinnen – en al helemaal niet als dat geregeld gewijzigd moet worden.
Schaduw-IT
Een ander probleem is dat werknemers steeds vaker op eigen houtje IT-oplossingen gebruiken die ze uit hun privéleven kennen: handige apps uit de cloud die vaak gebruiksvriendelijker zijn dan de tools die de eigen IT-afdeling aanbiedt – en vaak ook nog eens gratis. Die ‘schaduw-IT’ onttrekt zich alleen wel aan het zicht van de organisatie, terwijl de data die erin omgaan wel degelijk nog onder verantwoordelijkheid van de organisatie vallen.
Samenwerking met externe leveranciers
Een vergelijkbare uitdaging ontstaat door het groeiend aantal samenwerkingen met externe partners die bedrijven tegenwoordig aangaan: het is aantrekkelijk services af te nemen bij externe specialisten, maar als die hun security niet op orde hebben, is daar voor de eigen IT-afdeling weinig aan te doen. Bij de ANWB lekten in september 2017 nog de persoonsgegevens van zo’n 90.000 klanten naar het internet, doordat een externe leverancier zijn werk niet goed had gedaan.
Cybercriminelen proberen via ‘social engineering’ technieken identiteit van gebruiker over te nemen
En dan is er ook nog de actieve externe dreiging van een groeiend aantal cybercriminelen en ‘statelijke actoren’, die niet alleen steeds handiger worden in het opsporen van gaten in de verdediging, maar ook in ‘social engineering’ technieken, waarmee ze de identiteit van legitieme gebruikers proberen over te nemen.
Beveiliging na de poort
Tegen een dergelijke dreiging zijn de klassieke IT securityoplossingen niet bestand. Iedere securityoplossing die erop gericht is kwaadwillenden buiten de deur te houden, wordt vroeg of laat een keer doorbroken. De vraag is niet of, maar wanneer.
De volgende vraag is wat je daaraan kunt doen. Dat begint ermee zo snel mogelijk te constateren dat er iets aan de hand is. In oktober 2017 moest Yahoo nog erkennen dat sinds 2013 de persoonsgegevens van niet 500 miljoen, niet 1 miljard, maar alle 3 miljard gebruikers in handen van hackers zijn gekomen. Dat ze daar pas jaren later achter komen is natuurlijk in alle opzichten vreselijk. Dan ben je veel en veel te laat om er nog iets tegen te ondernemen, en het is natuurlijk ook niet uit te leggen aan je klanten.
Permanente monitoring
Monitoring en detectie worden dan ook cruciaal. De ideale oplossing zou zijn een team van securityexperts in huis te hebben die de systemen van de organisatie voortdurend in het oog houden om gaten in de beveiliging op te sporen, mogelijk verdachte activiteiten zo snel mogelijk te ontdekken en eventuele dreigingen direct te neutraliseren. Maar dan vraag je nogal wat.
Tegenover elke hacker een eigen securityspecialist
Eén slimme hacker kan op zijn gemak uitzoeken bij welke organisatie hij welke zwakke plek kan misbruiken. Tegenover die ene hacker zou iedere organisatie dan een securityexpert moeten zetten die minimaal even slim is. Doe je het niet, dan ben jij de zwakste schakel. Maar waar gaan al die organisaties die experts vandaan halen? De vraag naar goed geschoolde securityspecialisten is nu al zo groot dat ze peperduur en nauwelijks te vinden zijn.
Kunstmatige Intelligentie
Een belangrijk deel van de oplossing moet gezocht worden in automatisering. Artificial Intelligence stelt ons in staat een groot deel van de monitoring en detectie over te nemen die nu zo belangrijk wordt. Door daar zogenaamde Machine Learning algoritmes aan toe te voegen, is het voor bedrijven die zich specialiseren in kantoorautomatisering heel goed mogelijk normaal gebruiksgedrag automatisch te onderscheiden van dat van een hacker.
Artificial Intelligence stelt ons in staat een groot deel van de monitoring en detectie over te nemen
Het is zelfs al mogelijk om beleidsregels aan die automatisering te koppelen, zodat het risico direct beperkt kan worden met heel specifieke maatregelen. Denk bijvoorbeeld aan de mogelijkheid om bij verdachte activiteit te eisen dat een gebruiker zich nogmaals identificeert, bijvoorbeeld via multi factor authenticatie. Of door opnames te starten van de activiteit, of zelfs bepaalde apps of gebruikers tijdelijk in quarantaine te plaatsen.
Niet bij elke afwijking het hele systeem platleggen
Dat is een delicaat proces. Wat je natuurlijk wilt voorkomen, is dat als iemand eens iets doet wat afwijkt van de norm er direct allerlei draconische maatregelen worden genomen. Het laatste wat je wilt is dat de directeur die de avond voor een belangrijke presentatie vanuit het buitenland nog even wat data nakijkt, automatisch van de server wordt gegooid en nergens meer bij kan. Voor een goede analyse is het dan ook essentieel dat het systeem kan beschikken over zo veel mogelijk juiste en authentieke data.
Beperking wordt mede bepaald door privacybescherming
Bedrijven als Citrix hebben daar een voordeel: de oplossingen van het bedrijf worden wereldwijd gebruikt in de netwerken van vele duizenden organisaties. Daardoor is het mogelijk analyses te maken over enorme datasets – en hoe groter de dataset, des te groter de accuratesse van de analyse. De beperking zit vooral in de toestemming die bedrijven geven voor dit soort analyses. Privacy is uiteraard zeer belangrijk in dit soort oplossingen: hoewel dezelfde oplossingen te gebruiken zijn om juist die privacy te bewaken, is het wel een stap die organisaties weloverwogen moeten nemen.
Alert en voorbereid
Op termijn wordt geautomatiseerde monitoring en detectie door intelligente analysesystemen onvermijdelijk. Een groot Amerikaans kredietbureau als Equifax had in juli 2017 nog weken nodig om fatsoenlijk te reageren op de hack van de gebruiksgegevens van 143 miljoen klanten. Niet alleen moeten we alles op alles zetten om dat soort hacks zo veel mogelijk te voorkomen – we moeten ook zorgen dat we zijn voorbereid op het moment dat zo’n hack toch plaatsvindt.
Uit recent een onderzoek onder 250 Nederlandse IT Executives blijkt dat 10% van de respondenten geen enkele maatregel heeft genomen om een eventuele ransomware aanval op te vangen. Je kunt discussiëren over wat de beste manier is om op zo’n aanval te reageren, maar dat is geen discussie die je kunt uitstellen tot het je overkomt. 70% van de ondervraagden in het onderzoek houdt bijvoorbeeld bitcoins achter de hand om in noodgevallen de gijzeling van gegevens af te kopen; 30% blijkt die optie nooit te hebben overwogen.
Ondernemingen kunnen op het gebied van cybersecurity veel leren van de fysieke beveiliging
Ondernemingen kunnen op het gebied van cybersecurity veel leren van de fysieke beveiliging die bedrijven al veel langer voeren. Bijvoorbeeld door alert en voorbereid te zijn op mensen die, ondanks je preventieve maatregelen, toch door je beveiliging heen breken. Maar ook door te erkennen dat je voor dit soort taken samenwerking kunt zoeken met externe experts. Cybersecurity is voor ieder bedrijf van belang, maar het behoort zelden tot de kerntaken. Zorg dan in ieder geval dat je samenwerking zoekt met partners die IT security wél in hun genen hebben zitten.
Andreas van Wingerden is Regional Manager Systems Engineering bij Citrix
> Download hier de gratis whitepaper Trends in cybersecurity
> Meer lezen over cybersecurity? Klik hier voor een overzicht van het hoe, wat en waarom van cybersecurity en informatiebeveiliging.