Bouwen aan een betere beveiliging

De groeiende afhankelijkheid van ICT vraagt om een aangepast beveiligingsmodel. Een model dat niet gebaseerd is op angst, maar op een realistische benadering waarmee organisaties zich effectief kunnen wapenen tegen de dreiging uit cyberspace. 

De meeste bedrijven zijn nog steeds slecht voorbereid en nauwelijks opgewassen tegen een serieuze cyberaanval, stelt Wessel Hemels, cybersecurity specialist bij Thales Nederland. Al jaren waarschuwen experts op het gebied van cybersecurity voor groeiend gevaar uit cyberspace, maar toch neemt onze kwetsbaarheid toe in plaats van af. Ian Levy, technical director bij het Britse National Cyber Security Centre (NCSC), noemde het kort na de recente Wannacry ransomware aanval zelfs een kwestie van tijd voor we te maken krijgen met een cyberincident van de eerste categorie: eentje die op nationaal of internationaal regeringsniveau moet worden geadresseerd.

Waarom lukt het maar niet greep te krijgen op cybersecurity? “Omdat maar heel weinig bedrijven mensen de kennis, de middelen en de mensen in huis hebben om een vuist te maken”, zegt Hemels. Bedrijven hebben geen goed beeld van wat de dreiging inhoudt en geen gedegen inzicht in hun eigen IT-landschap. Ze weten daardoor ook niet hoe ze zich moeten voorbereiden en zijn ook nauwelijks bereid daarin te investeren zolang het niet een keer fors fout gaat.

Roadmap richting cybersecurity

Om hier verandering in te brengen is het in de eerste plaats belangrijk dat bedrijven de angst van zich afschudden en kennis opdoen, stelt Hemels. “Niet alleen kennis van wat zich buiten de organisatie afspeelt, maar vooral ook inzicht in de waarde van de data die ze hebben, de manier waarop die data is opgeslagen en gebruikt wordt, en in wat zich afspeelt binnen de systemen.”

De nadruk ligt bij de meeste bedrijven nog op preventie, maar dat is volgens Hemels slechts een klein onderdeel van een veel groter geheel. “Je kunt cybercrime niet voorkomen als je niet weet waar je zwakke plekken liggen en dan nog is het een illusie te denken dat preventie voldoende is om cybercrime te voorkomen.” De realiteit is dat ieder bedrijf voorbereid moet zijn op het moment dat het iemand met kwade bedoelingen lukt om de preventieve maatregelen te omzeilen.

Om bedrijven naar een hoger beveiligingsniveau te tillen, heeft de cybersecurity divisie van Thales een roadmap voor cybersecurity ontwikkeld, die bestaat uit vier stappen:

1. Analyseren

“Je moet weten hoe je bedrijf in elkaar zit, hoe de processen lopen, welke dreigingen je kunt verwachten en hoe je bedrijf er van buitenaf uitziet”, zegt Hemels. Volgens hem is het bedroevend hoe weinig bedrijven goed in kaart hebben gebracht hoe bijvoorbeeld het applicatielandschap eruitziet en welke medewerkers en partners toegang hebben tot welke informatie. “Als je dat niet weet, kun je het ook niet beveiligen.” Een voorbeeld is het recente incident bij de ANWB, waar de gegevens van tienduizenden leden wekenlang online hebben gestaan. “De oorzaak lag volgens de ANWB bij een IT-leverancier die een fout zou hebben gemaakt, maar het zijn wel gegevens die door de leden aan de ANWB in bewaring zijn gegeven. Je moet als bedrijf weten wat er met die gegevens gebeurt.”

2. Voorkomen

Dit is voor veel bedrijven bekender terrein, omdat er veel kant en klare producten voor beschikbaar zijn. Belangrijk is volgens Hemels wel dat oplossingen worden gekozen die goed aansluiten bij de actuele bedrijfssituatie, die elkaar aanvullen en versterken.

3. Detecteren

Detectie is voor veel bedrijven nog onontgonnen terrein – terwijl juist hier heel veel te winnen valt, meent Hemels. “Het Nederlandse Nationaal Cyber Security Centrum (NCSC) heeft onlangs de factsheet ‘SOC inrichten: begin klein’ uitgebracht. Dat doen ze niet voor niets. Als bedrijf moet je op de hoogte zijn van wat zich binnen je digitale infrastructuur afspeelt. Dat is de enige manier snel te kunnen reageren als er iets fout dreigt te gaan.” Zelfs een bedrijf als Yahoo kon pas onlangs, vier jaar na dato, concluderen dat de gegevens van niet 500 miljoen, niet 1 miljard, maar álle 3 miljard gebruikers op straat hebben gelegen. “Om dat soort debacles te voorkomen, moeten bedrijven het inzicht in wat zich binnen hun verantwoordelijkheid afspeelt sterk verbeteren.” De ultieme oplossing hiervoor is een Security Operations Center (SOC), maar een volledig SOC vergt een forse investering, zowel in middelen als in mensen met de juiste kennis. Voor organisaties waar een SOC nu nog buiten bereik ligt, is het daarom verstandig samenwerking te zoeken met specialisten die dergelijke SOC’s eerder hebben ingericht, zodat die praktijkervaring gebruikt kan worden om snel een begin te maken met een traject waarin detectie onderdeel wordt gemaakt van de beveiligingsstrategie.

4. Reageren

Detecteren is belangrijk, maar bedrijven moeten ook in staat zijn de dreigingen die worden ontdekt snel op te lossen. Dat betekent dat organisaties een team klaar moeten hebben staan en beleid geformuleerd moeten hebben om direct en effectief in te grijpen zodra een dreiging gedetecteerd wordt. Bij het Amerikaanse kredietbureau Equifax kwamen door een hack in juli van dit jaar zeer gevoelige gegevens van 143 miljoen kredietaanvragers op straat te liggen. De CEO van de organisatie gelastte een onderzoek, maar nam vervolgens twee weken lang niet eens de moeite naar de status van het onderzoek te informeren. Het bedrijf ligt nu zwaar onder vuur om de manier waarop de organisatie met de hack en de slachtoffers is omgegaan. De CEO, CIO en CISO zijn inmiddels afgetreden. De CEO heeft zich begin oktober voor het Amerikaanse congres moeten verantwoorden.

Klein beginnen

• Wessel Hemels
• Net als het NCSC in de factsheet ‘SOC inrichten’, benadrukt Hemels dat het voor bedrijven belangrijk wordt om bij het uitwerken van de roadmap samenwerking te zoeken met externe specialisten. “IT-personeel en zeker security specialisten zijn schaars en duur. In plaats van alles zelf te willen uitzoeken, is het verstandig hulp te zoeken bij partijen die hier ervaring mee hebben.” Het gevaar is volgens Hemels dat bedrijven te veel in één keer willen doen. “We hebben het over een fundamenteel andere manier van omgaan met security. Dat vraagt niet alleen aanpassingen in bestaand beleid, maar ook een investering in tijd en middelen. Te veel ineens willen, roept vooral weerstand op.”

De ideale situatie zou zijn dat iedere organisatie kan beschikken over een SOC. “Maar een SOC alleen is niet voldoende”, zegt Hemels. “Een goede SOC levert heel veel informatie op waar de organisatie op moet reageren. Als de organisatie daar niet klaar voor is, veroorzaak je onrust en frustratie, maar bereik je bovendien niet de beoogde veiligheid.” Daarom is het vooral belangrijk in gesprek te gaan met specialisten die de organisatie kunnen helpen in kaart te brengen waar de prioriteiten liggen en waar snel belangrijke stappen te maken zijn.

Een goede beveiliging moet je zorgvuldig opbouwen. Klein beginnen met gerichte detectie en van daaruit uitbouwen naar een volwassen beveiliging, stelt Hemels. In plaats van de illusie te hebben dat met een paar maatregelen een organisatie honderd procent veilig is te krijgen, is het van belang een realistische strategie op te stellen waarmee de organisatie gefaseerd naar een hoger beveiligingsniveau toe groeit.

De cybersecurity divisie van Thales heeft jarenlange ervaring met SOC’s in organisaties waar zeer hoge beveiligingseisen worden gesteld. Tijdens Infosecurity staan de cybersecurity specialisten van Thales Nederland klaar om die ervaring te delen met de bezoekers. In de speciaal ingerichte Cyber Escape Room kunnen bezoekers bovendien zelf ervaren wat het belang is van een snelle en effectieve reactie op dreigingen uit cyberspace.