Heb medelijden met de verantwoordelijke voor ict-security in je bedrijf…. De lijst van problemen blijft maar groeien.

Ooit bestond ict-security erin accounts met bijhorende paswoorden aan te maken voor de bedieners van de mainframe… en het gesloten houden van de deur van de computerruimte. Nadien, in de jaren 80, doken de eerste computervirussen op, die initieel slechts voor wat onschuldige irritatie zorgden. Wie dit jaar Infosecurity Belgium bezoekt, merkt dat de dreigingen verre van onschuldig zijn en nog in aantal en geslepenheid blijven toenemen.

Uw bedrijf als doelwit

Naast ‘klassieke’ belagers als virussen, spam en dies meer, wordt immers vandaag heel wat meer doelgericht aangevallen, met een combinatie van middelen en aanvalswijzen. En dat gebeurt vaak gedurende langere tijd en zo verdoken mogelijk, zoals de Advanced Persistent Threat (APT). Met ‘social engineering’-truukjes worden ook de gebruikers zelf daarbij ingeschakeld, niet zelden via de nieuwe sociale media. Die aanvallen mikken voorts niet alleen op grote bedrijven, maar steeds vaker ook kleinere bedrijven. Deze laatsten bezitten ook aantrekkelijke en/of goed verkoopbare informatie/data, of vormen allicht een onderdeel van een productie- of distributieketen waarin ook grotere bedrijven zitten. Ga als bedrijf er dan ook vanuit dat securityproblemen een kwestie van ‘wanneer’ en niet van ‘misschien’ zijn.

Een variant op APT zijn aanvallen met malafide code die niet zelf schade aanricht, maar de belaagde ict-omgeving als het ware openstelt voor boosdoeners. Belangrijk blijven de trojanen, die een besmet toestel voor verschillende criminele praktijken ( denial of service aanvallen, spamverspreiding, diefstal van bancaire gegevens…) kunnen inzetten. En ja, het zijn vaak pure criminelen die vandaag aan cyberaanvallen doen, want er valt goed geld mee te verdienen, met nog steeds een behoorlijk lage pakkans. Maar het kunnen tevens ‘hacktivisten’ zijn – hackers, maar in toenemende mate ook goedwillende/goedgelovige ‘script kiddies’ die voor een ‘goede zaak’ bedrijven (gewoonlijk hun sites) aanvallen. Namen als Anonymous en LulzSec werden gemeengoed in het voorbije jaar, en ongeacht mogelijke sympathie voor hun ‘Robin Hood’ ideeën, is duidelijk dat zij (en hun handlangers) zich schuldig maken aan cybermisdaden. Bovendien bleek een poos geleden een van de door hen ‘aanbevolen’ tools zelf de systemen van mee- lopers te besmetten….

BYOD

‘Bring your own device’ kan je ook lezen als ‘bring your own threat’. De tsunami van ict-toestellen (van smartphones langs tablets, notebooks, tot desktops) in privé-bezit voor gebruik in bedrijfsnetwerken is niet te stoppen en vereist heel wat bijkomende inspanningen. Dat kan gaan van strikte data-encryptieregels en -middelen, het opzetten van beveiligde verbindingen, tot en met het herdenken van de ict-aanpak.

Zo kan worden gekozen voor een verregaande centralisatie van toepassingen en gegevens, waarbij op de toestellen van de eindgebruikers geen of slechts goed beveiligde informatie wordt opgeslagen, en bij voorkeur geen bedrijfstoepassingen draaien. Zo moet je slechts het kleinst mogelijke bedrijfshoekje op het privé-toestel van de werknemer beschermen – niet zijn of haar hele toestel, want dat is zijn of haar verantwoordelijkheid. Een dergelijke centralisatie van de ict vereist evenwel een bedrijfszekere connectiviteit, ook over publieke (inter)netwerken, wat zowel functioneel als vanuit security-oogpunt nog steeds een uitdaging vormt.

Voorts moeten bedrijven investeren in maatregelen rond het verlies en traceren van mobiele systemen, evenals de bescherming van die systemen tegen besmetting met malware, het verlies of de verspreiding van data en dies meer. Daarbij kunnen makkelijk spanningen tussen het privé- en beroepsmatig gebruik opduiken… Kortom, als BYOD niet meer te stuiten valt, moet een bedrijf de gebruikers goed duidelijk maken wat kan en niet kan, en waarvoor ze zelf verantwoordelijk zijn!

Overigens is een meer centrale aanpak van ict allicht ook een opstap naar een cloud-aanpak. Als gebruikers connecteren met een centraal bedrijfssysteem, kunnen ze dat evengoed met een systeem in de cloud. Heel wat bedrijven hebben nog hun bedenkingen inzake security en de cloud, maar evenzeer voor heel wat bedrijven – zoals kmo’s – kan de cloud al een sterke verbetering inzake security bieden, dank zij meer expertise terzake bij de aanbieders van die diensten. Als klant moet je wel je ‘huiswerk’ doen inzake security (en privacy) bij de aanbieder, want je blijft wel zelf de eindverantwoordelijkheid dragen.

It’s data, stupid

Vooraleer het bovenstaande de security-verantwoordelijken tot wanhoopsdaden drijft (of hen van Infosecurity Belgium weghoudt), moet gezegd dat een en ander niet hopeloos is. De informatiesecurity-industrie biedt immers een breed spectrum aan producten die zowel de gekende duivels als nieuwe kwalen kunnen aanpakken. Als klant moet je wel beseffen dat er geen wondermiddelen bestaan, dat je die producten in een meerlagige verdediging moet aanwenden én in het kader van een securitybeleid dat bij voorkeur op een standaard berust (zoals de ISO 27000 serie).

Belangrijk daarbij is een mentaliteitswijziging bij de verantwoordelijken in een bedrijf – zowel de algemene bedrijfsleiding, als de chief information security officer (ciso) of wie verantwoordelijk is voor informatiesecurity – inzake wat nu écht moet worden beschermd, tegen wie of wat, op welke wijze, zowel pro- als reactief. Immers, een 100 procent beveiliging is zowel onmogelijk als onbetaalbaar.

Concreet betekent dat aandacht voor de bescherming van bedrijfsdata, de echte kroonjuwelen in een onderneming. Start met een ‘datagerichte’ (data centric) beveiliging door te bepalen welke data van belang zijn, controleer de verspreiding ervan, de toegang tot die informatie (let op voor samenwerkingssoftware!) en besteed het nodige voor een voldoende bescherming. Voor de verantwoordelijken betekent dit minder focus op het puur aankopen van producten en meer inspanningen voor risico-inschatting (risk assessment) in functie van de bedrijfsbelangen en de naleving van wetten en reglementen (compliance). Kortom, zorg voor een adequate bedrijfswijde basisbescherming en doseer je inspanningen waar het echt nodig is. Dat veronderstelt tevens aandacht voor het inherent beveiligen van bedrijfsprocessen, inclusief het ontwikkelen, kopen en/of testen van de bijhorende toepassingen in functie van security. Door goede bedrijfsprocessen moet een bedrijf in staat zijn om anomalieën sneller te onderkennen en aan te pakken. Dat helpt tevens tegen dreigingen – zoals steeds vaker – als gevolg van menselijke zwakheden, zowel van malafide als argeloze medewerkers. De onbewuste securityfouten van deze laatsten kan je voorkomen door het creëren van een bedrijfswijd securitybesef – niet een bedrijfswijde paranoia, maar het aanzetten tot een meer voorzichtig gedrag van de werknemers. Daarbij kan allicht beter niet over ‘security’ met zoveel woorden worden gesproken, maar veeleer over ‘zo doe je het beter’…. Kortom, zoals de cio moet ook de ciso of securityverantwoordelijke van de toekomst minder een pure hands-on techneut zijn en meer oog voor het bedrijf hebben!

Guy Kindermans

Als klant moet je wel beseffen dat er geen wondermiddelen bestaan.