Een bezoek aan een event als Infosecurity leert tot ieders chagrijn hoe snel de security-problematiek steeds complexer wordt. Diepe zucht.

Wie de security-berichtgeving van het voorbije jaar, en de voorspellingen voor het lopende jaar doorneemt, wordt het allicht droef te moede. Dat computers en netwerken continu worden belaagd, is onderhand wel geweten, evenals de conclusie dat de klassieke perimeter-bescherming niet meer voldoet. Ontwikkelingen als byod, meer extranetten tussen bedrijven, strengere ‘compliance’ en ‘governance’ inzake onder meer de bescherming van gegevens, maken dat naast de perimeter elk onderdeel, naar eigen behoefte van een adequate verdediging moet worden voorzien. Bedrijven die dat niet uit zichzelf doen, zullen hiertoe worden verplicht door hun handelspartners, zowel leveranciers als klanten. En besef dat ‘elk onderdeel’ vandaag alles betreft wat maar ook op een of andere wijze van buitenaf kan worden bereikt, met ondertussen zelfs al voorbeelden van gehackte sd-opslagkaarten en ssd-schijven.

Maar ook routers groot en klein (bij u thuis), uw sociale netwerk-accounts, sites voor financiële en andere dienstverleningen, ‘point of sales’ systemen in winkels, industriële installaties en alle mogelijke voorzieningen in het ontluikende ‘internet of things’ (inclusief systemen in auto’s en dies meer)…

BEDREIGDE SMARTPHONES

Bijzonder acuut dreigt de toestand in de wereld van smartphones, tablets en andere mobiele toestellen te worden. Hoewel al lang – en vaak voorbarig – werd gewaarschuwd voor gevaren in die wereld, zijn deze toestellen vandaag gewoonweg computers waarmee ook kan worden getelefoneerd, maar waarvan de beveiliging nog op het laagste pitje van de eerste generaties van argeloze pc’s staat. Het is hallucinant dat bedrijven ook vandaag niet zelden nog smartphones aan hun werknemers verstrekken zonder enige beveiliging (vaak het geval waar ‘smartphones’ nog bij de ‘klassieke’ telefonie-afdeling zit). En dat terwijl een bedrijf als Kaspersky Lab in 2013 100.000 nieuwe malware voor mobiele toestellen ontdekte, en vandaag het zelfs over 10 miljoen stuks malware heeft. Waarbij overigens 98 procent van de mobiele malware voor Android-systemen zou bestemd zijn.

VOOR, TIJDENS, NA

De veelheid aan aanvalskanalen en de lacunes in de security-aanpak mag overigens niet tot alarmisme en defaitisme leiden. Beter is het gericht (volgens een 80/20-regel en met het oog op wat echt moet worden beschermd) een security-aanpak op te zetten die zowel de klassieke ‘muur’-bescherming biedt, als de werking van de infrastuctuur continu in de gaten houdt en voorbereid is om snel in te grijpen bij problemen.

Nieuwe ontwikkelingen in de klassieke ‘perimeter’-bescherming, met firewalls, anti-virus en anti-spam producten, wijzen overigens op een mogelijke verschuiving naar dergelijke diensten in de cloud. Immers, bedrijven hebben vaak niet de nodige experten in huis, maar moeten die verdedigingsinstrumenten wel op peil houden. Naarmate meer bedrijfsdiensten naar de cloud verhuizen en meer omgevingen uiterst dynamisch worden door ‘virtualisatie’ en ‘software defined everything’, zal die trend zich zeker doorzetten. Klanten moeten wel beseffen dat ze eindverantwoordelijkheid houden over een goede beveiliging.

Meer monitoring van de gebeurtenissen in de informatie-infrastructuur – onder meer om ‘advanced persistent threats’ (verdoken aanvallen) te detecteren – wordt dan weer mogelijk door het inzetten van ‘big data’-achtige analysetools op grote datasets uit alle mogelijke logs. Wanneer (niet ‘if’) dan uiteindelijk zich toch een incident voordoet, moet een bedrijf kunnen terugvallen op een goed voorbereid en geoefend reactie-scenario, inclusief bedrijfscontinuïteit en crisiscommunicatiemaatregelen.

MEER ‘BESEF’

Waar security-experten steeds meer en harder op hameren, is de noodzaak van meer ‘awareness’, meer security-besef, zowel binnen als buiten het bedrijf. Wat dat laatste betreft leert een studie uit Groot-Brittannië dat minder dan de helft van consumenten ook maar eender welke stap zette om veilig online te gaan.

Meer besef voor iedereen binnen bedrijven vergt overigens continue inspanningen, en het volstaat niet op te roepen tot ‘wat gezond verstand’. Iedereen binnen het bedrijf moet geregeld worden geïnformeerd over (oude en) nieuwe dreigingen, zonder betutteling. Hiervoor kan een beroep worden gedaan op externe experten, maar bedrijven kunnen hiervoor zelf ook al heel wat inspiratie vinden op sites als deze van het Europese informatie security-agentschap Enisa, of in de voortreffelijke (en downloadable) ‘Belgian Cyber Security Guide’ – een gezamenlijk initiatief van het ICC en het VBO. ‘Iedereen’ omvat overigens ook de bedrijfsleiding en zeker ook de raad van bestuur, die zich moeten buigen over de mogelijke impact op de werking (of het voortbestaan) van het bedrijf na een zwaar security-incident. En voor de security-verantwoordelijke (of risicobeheerder) binnen bedrijven is het de taak minder ‘mister no’ te zijn, en meer proactief veilige alternatieve werkwijzen voor te stellen!

Guy Kindermans