Heb medelijden met uw ‘chief information security officer’ (CISO), als u die al hebt. Naast ‘klassiekers’ als virussen en wormen, moet hij of zij ook een stapel nieuwe dreigingen het hoofd bieden.

De groei van de informatiesecurity-omzet is geen toeval, ondanks de economische crisis. Informatiesecurity, en zijn broertjes ‘business continuity’, ‘governance’ en ‘compliance’ blijven bijzonder hoog op de agenda van bedrijfsleiders staan, als ‘grote zorg met stip’.

Steeds meer problemen

Een blijvende doorn in het oog is dat de ‘oude’ problemen als virussen, malafide spam en dies meer nog rondwaren, zodat de ‘klassieke’ securityverdediging nog steeds een must blijft. Dat betekent toch nog een nood aan goed geïmplementeerde en regelmatig bijgewerkte firewalls, naast een brede suite van ‘anti’-producten (anti-virus, anti-spam e.d.). Het besef leeft hopelijk wel bij iedereen dat een ‘perimeter’ beveiliging niet meer voldoende is, maar nu haast elk systeem tegen alle andere systemen moet worden beveiligd.

Daarbij maken experten zich ook zorgen om het groeiend belang van ‘advanced persistent threats’ (APT). Die combineren verdoken en uiterst gerichte aanvalswijzen met de opzet om gedurende lange tijd in een bedrijf of land schade aan te richten door diefstal (en wellicht beschadiging) van informatie. In APT’s spelen dan ook de aanvallers (criminelen, vijandige staten, terroristen,…) en hun motieven een belangrijke factor.

Daarbij wordt ook weer meer aandacht besteed aan gevaren in de bedrijven zelf, zoals malafide of onbezonnen werknemers, tijdelijke werkkrachten en dies meer. APT’s kunnen een beroep doen op interne actoren om beveiligingen te omzeilen (bijvoorbeeld het binnenbrengen van besmette geheugensticks). Werknemers kunnen verantwoordelijk zijn voor zowel bewuste diefstal (of beschadiging) van informatie of voor dom verlies van die data. De nood om werknemers continu bewust te houden van de (nieuwe) securitygevaren wordt dan ook door iedereen benadrukt. Voorts moeten securityexperts vandaag evenzeer aandacht besteden aan het buitengaand verkeer uit de bedrijfsinfrastructuur als aan het binnenkomend verkeer. Gehackte systemen (zombies) communiceren immers vaak over minder klassieke poorten.

Voorts leggen wetten en reglementen steeds meer verplichtingen op inzake bescherming van (persoonsgebonden) gegevens, met mogelijk straffen (tot gevangenisstraf toe) bij het niet naleven van de wetten.

Die gebruikers…

Trouwens, die gebruikers… Zij wensen steeds vaker gebruik te maken van hun eigen toestellen, zoals notebooks, smartphones en dies meer, in het kader van hun job. Die ‘consumerization’-trend geeft securitymensen niet zozeer grijze, dan wel uitgerukte haren. Hoe kunnen ze immers een evenwichtige, efficiënte en continu bijgewerkte security-bedrijfspolitiek afdwingen op systemen die niet eens eigendom van het bedrijf zijn? En die voor nog heel wat meer taken en doeleinden, met soms software van verdacht allooi, worden aangewend? Dat leidt ongetwijfeld tot een meer datagerichte bescherming, met die data zo veel mogelijk centraal opgeslagen en verwerkt, naast steeds meer virtualisatie van de toepassingen. Bondig gesteld, bedrijven zullen proberen steeds minder data en toepassingen op de eindpunten van de infrastructuur achter te laten. Gekoppeld aan een rol/profiel gesteunde security en beveiligde toegangspijpen tot de centrale bedrijfsinformatie-infrastructuur, vormt dat een aanvulling op de klassieke beveiliging.

Overigens vereist een datagerichte beveiliging ook wel kennis en inzicht in het bedrijf over wat echt belangrijke data zijn, waar die zich bevinden en wie er wat mee mag doen onder welke omstandigheden. Ongetwijfeld zal hier ook het ‘generatiespook’ om de hoek komen kijken, met het verschil tussen jonge ‘digital natives’ en oudere werknemers, met verschillende instellingen ten aanzien van de waarde van data, het kopiëren ervan en dies meer.

Leven in de sector

En dat alles moet ook worden gezien tegen een achtergrond van nieuwe technologische ontwikkelingen als virtualisatie en cloud (waarvoor de klassieke securityproducten niet meteen optimaal zijn), naast nieuwe dreigingen zoals belichaamd door ‘Stuxnet’ (dat industriële installaties kan beschadigen). Zonder de opkomst van ‘smart grids’ en uiteindelijk het ‘internet der dingen’ uit het oog te verliezen.

De ernst van de zaak blijkt in zekere zin ook uit de consolidatie in de ict-security markt, met nogal wat overname-activiteit. De overname van McAfee door Intel wijst zowel op de belangstelling van de grote bedrijven om hun securityportfolio uit te bouwen, als op de groeiende belangstelling bij gebruikers om geïntegreerde security-oplossingen (of beheerde securitydiensten) aan te schaffen.

Kortom, nogmaals, heb medelijden met uw CISO en iedereen die zich het hoofd breekt over de risico’s die uw bedrijf loopt. Het ziet er naar uit dat het voor hen nog even erger zal worden, vooraleer er (hopelijk) verbetering in zet…

Guy Kindermans

HET BESEF LEEFT HOPELIJK WEL BIJ IEDEREEN DAT EEN ‘PERIMETER’ BEVEILIGING NIET MEER VOLDOENDE IS.

IN ‘ADVANCED PERSISTENT THREATS’ SPELEN DE DADERS EN HUN MOTIEVEN EEN BELANGRIJKE ROL.