SECURITY-PERIKELEN IN 2013? HET LIJSTJE ERVAN KLINKT VERDACHT ALS EEN ECHO UIT HET VOORGAANDE JAAR, MAAR DE WAARSCHUWINGEN WEERKLINKEN MET STEEDS GROTERE NADRUK.

Met infosecurity Belgium kort in het verschiet, en wat later het meer Europese Infosecurity Londen, kan het geen kwaad een lijstje op te stellen van onderwerpen waar de bezoekers van deze security-events maar beter aandacht kunnen aan besteden.

Alles is kwetsbaar

Het belangrijkste inzicht is wel dat alle digitale toestellen kwetsbaar zijn, en dat lijkt enkel erger te worden. Dat desktop-pc’s en -servers, evenals notebooks, het slachtoffer zijn van aanvallen met malware, is niet nieuw en algemeen geweten. Dat in het voorbije jaar de malafide software voor smartphones – in wezen computers in zakformaat – pijlsnel groeide in aantal en ernst, laat minder goed verwachten, want erg veel gebruikers zijn hier nog steeds blind voor. Hoewel nog lang niet op het niveau van de andere, klassieke doelwitten, stijgt het aantal gevaarlijke stukken software in het bijzonder voor de Android-wereld. Niet alleen zijn hiervan al honderden miljoenen toestellen in gebruik, maar tevens hebben heel wat gebruikers minder de neiging om de software op deze toestellen bij te werken (zodat nog heel wat kwetsbare versies in gebruik zijn). Ook besteden de gebruikers vaak onvoldoende aandacht aan de veiligheid van de sites van waar ze apps en toepassingen downloaden. Dat alles maakt dat mobiele toestellen – smartphones, phablets, tablets, ultrabooks,… – het gevaar lopen om data te lekken, of om financiële problemen te veroorzaken (omdat ze steeds vaker voor betaaldoeleinden worden aangewend, en dus financiële ID-informatie of zelfs digitale cash bevatten). Als nog meer smartphones met ‘near field communicatie’ realiteit worden, groeit meteen ook het gevaar om data op dergelijke toestellen te lekken, of om financieel een slachtoffer te worden (omdat smartphones steeds vaker ook voor betaaldoeleinden worden aangewend). Dat laatste kan dit jaar nog toenemen, naarmate nfc aantrekt.

Een bijkomende complicatie voor smartphones, is het ‘bring your own device’ fenomeen, waarbij het aan bedrijven is om de nodige maatregelen te nemen tegen misbruik door toestellen van privé personen. Meer nog dan vorig jaar moet dit een belangrijk aandachtspunt zijn binnen bedrijven. Zo moet er rekening worden gehouden met de fundamentele verschillen tussen de verschillende mobiele omgevingen inzake de beveiliging van toepassingen, terwijl ook een aangepast beleid met een scheiding tussen privé- en bedrijfstoepassingen moet worden gehanteerd.

Sinds een paar jaar wordt ook meer gehamerd op de noodzaak om alle toestellen die met het internet zijn geconnecteerd te beschermen. En dat zijn niet alleen computers of smartphones. Dat kan gaan van digitale tele-foniesystemen, of andere vormen van ip-gesteunde communicatie, industriële installaties (inclusief de beheersoftware), printers, informatiekiosken, medische en andere apparatuur, alles wat over het internet kan worden beheerd en/of onderhouden en bijgewerkt. Alles blijkt helaas kwetsbaar te zijn, onder meer omdat heel wat van die systemen nooit werden ontworpen om het hoofd te bieden aan aanvallen. Helaas kunnen ze ook niet zelden worden aangewend als ‘achterdeur’ om aanvallen doorheen het netwerk van bedrijven te verspreiden. Malware als Stuxnet, DuQu en Flame hebben veel aandacht in de pers gekregen en daardoor groeit wel de aandacht vanuit de industrie. Zo startte Cassidian, de defensie-afdeling van de Europese lucht- en ruimtevaartgroep EADS (o.a. bouwer van de Airbus-vliegtuigen), in 2012 een afdeling voor cybersecurity. Ook hebben overheden nu wel meer oog voor het nemen van maatregelen die de kritieke nationale infrastructuur van een land tegen aanvallen moet beschermen.

Meer gevaren, meer kwetsbaarheden

Naast de verwachte explosie van malware in de mobiele wereld, zorgen ook de meer klassieke problemen nog voor heel wat kopzorgen. Uiterst gerichte aanvallen, die mikken op diefstal van waardevolle informatie, door een onderhand goed georganiseerde en gespecialiseerde malafide industrie (met georganiseerde misdaad, malwarebouwers, marktplaatsen voor de verkoop van malware en gestolen informatie, dienstenleveranciers, etc… een waarachtige ‘zwarte’ spiegel van de economie), zullen nog toenemen – in aantal en omvang van aangerichte schade. Naast klassieke kwetsbare omgevingen, zoals besturingssystemen en browsers, zullen ook plug-ins en nieuwe communicatiekanalen (zoals sociale media) voor gevaren zorgen. Zo voorspelt men voor dit jaar onder meer gevaren met Java (nog meer), maar ook voor ‘nieuwkomers’ als Mac OS en Windows 8.

Door de groeiende complexiteit van de malwarekits, zullen ook de gevaren van trojanen (malware die achterdeuren installeert op een systeem) groeien. Trojanen zullen immers een nog grotere variatie aan nog kwalijkere malware kunnen binnenhalen. Zo wordt nog meer en ergere ‘ransomware’ verwacht: malware die een systeem blokkeert en steeds moeilijker zal kunnen worden hersteld.

Ook bonafide software kan voor problemen zorgen, zoals apps die teveel informatie over de gebruiker (locactie, activiteiten,…) doorgeven aan derden – informatie die kan worden misbruikt door misdadigers, maar eventueel ook door ‘dataverwerkers’ die over de wettelijke schreef gaan (inzake privacy).

Tijd voor bezinning

Een en ander maakt dat zowel de bedrijven als de securitysector zelf zich moeten bezinnen over hun aanpak. Die moet ronduit meer ‘holistisch’, zeg maar een ‘totaalaanpak’ worden en niet zozeer een losse verzameling van ‘deeloplossingen’. Een bedrijf moet meer starten vanuit een risico-evaluatie, met oog op wat nodig is en moet worden beschermd voor een succesvolle werking van het bedrijf. Alles tegen alles beschermen kan niet (eigenlijk, kon nooit), en een bedrijf moet zich focussen op wat van belang is (financiële en persoonsgebonden gegevens, intelllectuele eigendom,…). Andere elementen (zoals wellicht ‘byod’-toestellen) zullen dan wellicht meer aan hun lot worden gelaten.

Nee, dat betekent niet echt het einde van antivirus-soft en firewalls, want die blijven een noodzaak (hoewel nog steeds heel wat bedrijven zelfs die elementaire bescherming missen!). Maar bedrijven en leveranciers zullen steeds meer aandacht moeten besteden aan een proactieve aanpak (die problemen voorkomt), gekoppeld aan een goed georganiseerde reactie (wanneer er dan toch een probleem zich voordoet, met scenario’s, etc). Daarbij kan zeker ook worden gedacht aan beheerde securitydiensten door derden, ook vanuit de cloud.

Rond een en ander wordt ook wel onderzoek verricht, in universiteiten, onder meer met steun van Europa. Zo werkt een security-onderzoeksteam aan de Queen’s University van Belfast bijvoorbeeld aan real-time analyse van beeld- en rfid-info op basis van een ‘autonoom’ security-beheersysteem. Ook worden meer fundamentele problemen aangekaart, zoals het bedrijf Venafi dat het huidige beheer van ‘certificates’ in bedrijven en door certificaatuitgevers aankaart. Een belangrijke vraag, want wie kan nog wie vertrouwen als die certificates niet meer betrouwbaar zijn (zoals het ‘Diginotar’-geval pijnlijk aantoonde).

It’s people, stupid

Het allerbelangrijkste is wellicht het besef dat de aanvallen nog steeds en steeds vaker een sluw gebruik maken van de menselijke factor. Het inpluggen van geheugensticks van onbekende afkomst, het openen van attachments, bezoeken aan besmette sites, uiterst gerichte spearphishing boodschappen in de mail en via sociale media sites…. Het lijkt erop dat iedereen het op de zwakste schakel heeft gemunt.

Security is dan ook een nooit afgerond proces, waarin drie ‘p’s’ primeren: ‘producten’, ‘procedures’ en ‘personen’. Waarbij het in wezen en in eerste instantie draait om ‘personen’! Immers, producten en procedures helpen weinig als personen door gebrek aan securitybesef die steevast omzeilen. Of als ze door onwetendheid fouten begaan (zoals het doorsturen van gevoelige data in niet-geëncrypteerde vorm). Hoe moeilijk en schijnbaar hopeloos het ook moge lijken, maar brede én herhaalde security-bewustwordingsacties doorheen het hele bedrijf en op alle niveaus zijn en blijven een must. Ook en om te beginnen op het hoogste niveau, zoals de raad van bestuur en het topmanagement. Interessant is onder meer een online dienst die door een bedrijf als Phishm.com wordt geleverd, met een anti-phishing training door middel van een on-line simulatie.

Security moet ook meer de gewone werking van het bedrijf doordesemen, met onder meer hogere eisen op dat gebied tijdens de ontwikkeling (of het aanschafproces) van software. Ook moet de bedrijfsleiding bij het overwegen van een overstap naar de cloud meer oog hebben voor mogelijke problemen als privacy, datalekken en dies meer, en de garanties die de leveranciers bieden. Wellicht kan dit verbeteren, als de cloudleveranciers zelf op hun beurt aan hun potentiële klanten securityeisen gaan stellen, zoals we een bedrijf in Groot Brittannië dat hoorden doen (en dat stelt zelfs klanten te weigeren als die hun eigen securityhuiswerk niet naar behoren hebben gedaan).

Toch mag al het bovenstaande de bedrijven niet ontmoedigen om aan de slag te blijven rond security. Vaak is het ook hier een geval van focus en gericht investeren, met het oog op een maximaal rendement voor een bepaalde investering. Maar besef dat het een nooit, nooit aflatende strijd is.

GUY KINDERMANS

BEDRIJVEN EN LEVERANCIERS ZULLEN STEEDS MEER AANDACHT MOETEN BESTEDEN AAN EEN PROACTIEVE AANPAK, GEKOPPELD AAN EEN GOED GEORGANISEERDE REACTIE.