Guy Kindermans Guy Kindermans is freelance journalist bij Data News.

Of in 2015 zich een cyber-Armageddon zal voordoen, laten we in het midden maar het valt niet uit te sluiten. In de security-voorspellingen voor dit jaar staan immers zowat alle ‘threats’ even gloeiend heet.

Bangmakerij van bedrijven om hun securityproducten aan grote en kleine ondernemingen te slijten – security is immers niet zelden nog een groeipost in het ict-budget ? Wie na de perikelen rond BICS en het Ministerie van Buitenlandse Zaken, evenals het onderhand hallucinante securitydebacle van Sony Pictures Entertainment, de tekenen aan de wand nog niet ziet, gedraagt zich echt als een dwaze struisvogel met zijn of haar kop diep in de grond. Security is écht niet meer te nemen of te laten.

En dat geldt ook voor kleine(re) bedrijven, die evengoed het slachtoffer (zullen) zijn van al dan niet geautomatiseerde of gesofisticeerde aanvallen. Trouwens, als die kleine(re) bedrijven in waardekettingen (supply chain, etc) met grote bedrijven samenwerken, zullen deze laatsten in toenemende mate hun eigen securityeisen aan de ondernemingen in die ketting stellen, of hen bedanken voor bewezen diensten. Grote bedrijven willen niet het risico lopen dat hun inspanningen onderuit worden gehaald door securitylacunes in systemen elders in de ketting. Nogmaals, security is niet meer optioneel.

VOORSPELLINGEN

Het voorbije jaar gaf in ieder geval niet meteen veel redenen tot optimisme, zo leert het ‘Threat Landscape 2014’ dat door het Europese Netwerk- en Informatie Security Agentschap (ENISA) werd gecompileerd op basis van meer dan 400 informatiebronnen. Van de 15 ‘top threats’ in 2014 waren er slechts 4 dalend en één status quo.

Voor het lopende jaar ziet ENISA in de nieuwe gevaargebieden – de fysieke kritieke infrastructuur, mobiele ict, cloud, de infrastructuur elementen voor vertrouwen in de cyberwereld, ‘big data’ en het ‘internet of things’ – alle ‘threats’, op enkele uitzonderingen na, toenemen. Logisch natuurlijk in gebieden die ‘ontluiken’, maar het wijst erop dat eens te meer onvoldoende aandacht werd besteed aan het inbakken van securityaspecten (of zijn die te makkelijk te omzeilen).

Een andere compilatie, op basis van voorspellingen door security-bedrijven en gepubliceerd op de Amerikaanse site ‘Government Technology’ (govtech.com), voorspelt dit jaar problemen in het internet of things (inclusief de huisautomatisering), evenals hommeles met gezondheidsdata, cyberspionage, aanvallen op betaalsystemen, nauwere samenwerking tussen cybermisdadigers, privacy, identiteitsbeheer en biometrie. Daarnaast komen mobiele toestellen steeds meer in het vizier van misdadigers, naast een blijvend ‘succes’ voor gijzelingssoftware (ransomware) en ‘denial of service’ aanvallen. Aangezien heel wat van deze dreigingen ook al in voorgaande jaren acuut waren, lijkt het erop dat de security-bedrijven voor dit jaar geen echte uitschieters verwachten, of gevaarlijke nieuwkomers. Of dus gewoon veel meer van hetzelfde. Waar ze blijkbaar minder gevaar verwachten (of nog niet ?) zijn omgevingen met robotten, ‘additive manufacturing’ systemen (3D printers), drones en dergelijke.

Wat betreft de opportuniteiten voor security-experten : er is een blijvend tekort aan cyberexpertise, de ‘digital risk officer’ wordt een nieuwe functie (doorgroeimogelijkheid voor de chief information security officers – ciso’s ?) én er gaan stemmen op in de VS dat de tijd is gekomen om securityexpert tot een gecontroleerd beroep te maken, met een eigen beroepsvereniging die normen en minimum expertises bepaalt.

SLAPPE IOT-SECURITY

Een apart geval wordt zeker het internet of things (IoT). Vandaag wordt in een aantal industrieën hieraan met een enorme vaart gewerkt, maar blijkbaar heeft men geen lessen getrokken uit de voorbije decennia van securitynalatigheden. In het bijzonder de auto-industrie staat ver met de ontwikkeling van digitale systemen in de auto, tussen auto’s en voor het contact met de buitenwereld. Maar blijkbaar volgt de beveiliging niet of onvoldoende, zoals het ‘tracking & hacking, security & privacy gaps put American drivers at risk’-rapport van de Amerikaanse senator, Ed Markey (D-Ma) stelt. “Haast 100 % van de auto’s met draadloze connectietechnologie op de markt zijn kwetsbaar voor hacking”, “de meeste producenten hebben geen weet van hacking-incidenten” en de beschermende maatregelen “zijn inconsistent en nogal lukraak.” Bovendien wordt er veel informatie vergaard over het gebruik van de wagens en het rijgedrag van de bestuurder, die vervolgens ook aan derden wordt doorgegeven. Een en ander concludeert hij uit de antwoorden op brieven die hij in de voorbije 14 maanden aan twintig autobouwers heeft gestuurd, waarvan er drie helemaal geen antwoord hebben gegeven (waaronder Tesla). Op een recent ‘IoT’-event in België werd dan ook uitdrukkelijk gesteld dat de eerste vormen van economisch verantwoorde en voldoende beveiligde IoT-toepassingen zich veeleer in de b2b-economie, dan in de b2c-economie zullen aandienen.

IN DE PRAKTIJK

Je zou veronderstellen dat met die weinig rooskleurige voorspellingen op tafel, de verdedigers de witte vlag hijsen en zich gewonnen geven. Een rondvraag bij een aantal leden van Isaca Belgium – de vereniging van securityspecialisten – schetst evenwel een ander beeld. De gecontacteerde ciso’s – topverantwoordelijken voor de informatiebeveiliging doorheen de hele organisatie, zowel in bedrijven als overheidsinstellingen – hebben een nuchtere kijk op wat hen te wachten staat. En hoe ze het kunnen aanpakken.

Deels zien ze zich nog meer dan voordien belaagd door gekende gevaren, zoals de verspreiding van malware (hoewel de bescherming daartegen al ver staat), inbraken in systemen (door gesofisticeerde en complexe aanvallen), het misbruik van gebruiksrechten, het lekken van informatie naar de buitenwereld en het blokkeren van open bedrijfsdiensten (‘denial of service’-aanvallen). Bedrijven spitsen zich hiervoor toe op gelaagde verdedigingen, met ‘pessimistische’ premissen (beschouw a priori heel wat systemen als ‘warzones’) en zien toe op het gebruik van informatie (zonder een vlotte werking van het bedrijf onmogelijk te maken).

Daarnaast dienen zich nieuwe uitdagingen aan, zoals het outsourcing/cloud-gebeuren. Er is druk vanuit de business-kant van het bedrijf om die weg te bewandelen, maar de security-niveaus in de cloud moeten zich wel bewijzen als minstens even solide als de eigen voorzieningen. In de hele security-aanpak wordt ook meer proactief gewerkt, waarbij steeds meer gebruik wordt gemaakt van informatie over cybermisdaad-ontwikkelingen (cyber intelligence) en -voorvallen, met het oog op toekomstige verdedigingsnoden. Om dergelijke informatie formeel en zonder nadelige gevolgen voor de bron (wellicht een beursgenoteerd bedrijf) uit te wisselen, is er wel nog werk aan de winkel. Allicht kan Enisa hierbij helpen, met een overzicht van alle groepen die al aan een vorm van uitwisseling doen.

Een mogelijke hulp vormen allicht de cyberverzekeringen die sinds kort worden aangeboden, hoewel de potentiële klanten nog niet meteen een kijk hebben op de voorwaarden die worden gesteld (en welke risico’s op welke wijze worden gedekt). Een dergelijke verzekering zou in ieder geval al helpen bij het lenigen van de kosten die een securityincident rechtstreeks en onrechtstreeks meebrengt.

Daarnaast worden ook nog veeleer structurele gevaren aangekaart. In 2014 hebben problemen als Heartbleed aangetoond dat in heel wat cruciale bouwstenen en tools nog heel wat ongekende zwakheden zitten, niet zelden al jarenlang. En op langere termijn wordt ook met argusogen gekeken naar problemen in de energievoorziening, al dan niet als het gevolg van klimaatwijzigingen zelf (of door maatregelen hierrond). Problemen met de stroomvoorziening zouden echt een spaak in de ict-continuïteitswielen steken.

Overweldigd door de problemen ? Twee ‘hulpmiddelen’ staan in ieder geval bovenaan de lijstjes : doe een grondige risico-analyse en -inschatting, en gebruik daarbij – met twee voeten op de grond – wat “gezond boerenverstand”.

Met een zelfde process-aanpak kunnen ook de verdedigers hun bescherming naar een hoger en meer werkzaam niveau opkrikken. Dat betekent dat naast de klassieke bescherming – nee, antivirus, firewalls en dergelijke zijn niet dood – de verdedigers ook een betere kijk nastreven op wat binnen het bedrijf gebeurt. Dat omvat meer monitoring van het verkeer in de infrastructuur (inkomend, intern én uitgaand verkeer), een snelle analyse van die gegevens (in toenemende mate met behulp van ‘big data analytics’) én een snelle reactie. Hiervoor wordt ook aanbevolen om netwerken (al dan niet virtueel) in kleinere stukken op te splitsen (microsegmentering), met tussen de segmenten meer controles op het verkeer. En dat verkeer betreft niet alleen de datapakketten, maar tevens het ‘informatie’-verkeer (wie maakt gebruik van welke informatie, wie heeft toegang tot wat, etc), natuurlijk wel met eerbiediging van de wettelijke bepalingen. Voorts moet een bedrijf ook een gedegen (en geoefend) pakket van maatregelen uitwerken voor het geval zich toch een security-incident voordoet. Denk hierbij aan scenario’s (wie verwittigt wie, wie doet wat, met duidelijk toegekende verantwoordelijkheden), een transparante crisiscommunicatie (naar de overheid, orde- en eventueel hulpdiensten, klanten en leveranciers, de pers…) en dies meer.

Door zo’n dynamisch verdedigings-‘process’ uit te bouwen, vergroot een bedrijf in belangrijke mate de kans om de aanvalsketting op een of ander punt te onderbreken, en zo de misdadigers te dwarsbomen in hun opzet.

Een belangrijk onderdeel van dat ‘process’ betreft de inzet van het personeel. Zo moet iedereen, vanaf de hoogste bedrijfsleiding tot de laatste werknemer zich bewust zijn van het belang van security en weten hoe hij of zij dat in de praktijk kan invullen. Immers, een werknemer met een gezond security-bewustzijn zal niet alleen minder snel fouten begaan, maar tevens ook bewuster mogelijke anomalieën herkennen. Security zit dan ook in belangrijke mate tussen de oren van alle werknemers, en dat besef kan vaak al met eenvoudige middelen worden aangescherpt.

SECURITY IS EEN ‘PROCESS’

Nu iedereen in termen van bedrijfsprocessen denkt, wordt ook security steeds als een ‘process’ gezien, zowel wat de aanval als de verdediging betreft. Aanvallen zoals uitgevoerd op BICS/Belgacom (Proximus) en Sony Pictures Entertainment bestaan uit een ketting van kleine en grote acties, gespreid in de tijd en in verschillende fasen. Kortom, het gaat om een ‘process’, met een voorafgaande studie hoe kan worden ingebroken in de informatiesystemen, de inbraak zelf, de verkenning van de informatie-infrastructuur en het opsporen van mogelijke buit, de diefstal van het gewenste materiaal (en/of eventueel de vernietiging, wijziging en ontoegankelijk maken van materiaal), het buitensmokkelen van de buit en het beschikbaar houden van de gehackte systemen voor latere malafide praktijken. Vandaag kan hiervoor een beroep worden gedaan op een breed gamma van aanvalswijzen, zoals ‘social engineering’ (personen aanzetten tot fout security gedrag), ‘stealth’ aanvallen (verdoken en in stukjes opgebroken aanvallen), het gebruik van nog niet gekende of onvoldoende verholpen zwakheden en dies meer. In het geval van ‘advanced persistent threats’ (apt’s) wordt gewoonlijk van meerdere aanvalswijzen gebruik gemaakt om de verdediging van een bedrijf te omzeilen.

Guy Kindermans

Security is écht niet meer te nemen of te laten.

Security is niet meer optioneel.

Security zit in belangrijke mate tussen de oren van alle werknemers.

Nu iedereen in termen van bedrijfsprocessen denkt, wordt ook security steeds als een ‘process’ gezien, zowel wat de aanval als de verdediging betreft.

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content