Thales pleit voor Security Operations Centers als volgende stap in cyberdefensie
2015 is een jaar geweest waarin we opnieuw een serie concrete cyberaanvallen hebben gezien, waarop door het bedrijfsleven nogal lauwtjes is gereageerd. “Zelfs wanneer een organisatie reeds is aangevallen, wordt er te weinig aan effectieve oplossingen gewerkt”, meent René van Buuren, Director Cybersecurity bij Thales Nederland. In 2016 moet dat anders. “We moeten hier in Nederland ophouden alles maar zelf te willen doen en onze kennis en middelen veel gerichter gaan inzetten.”
Terugblikken op een jaar in termen van cybersecurity is altijd lastig. De voornaamste handicap is dat het bijna onmogelijk lijkt een goed en betrouwbaar beeld te krijgen van waar we precies staan. Tijdens de Cybersecurity Summit die Thales begin oktober organiseerde in The Hague Security Delta, werd het probleem duidelijk geschetst: verschillende bronnen met diverse belangen en uiteenlopende achtergronden komen met aantallen security incidenten die zo ver uiteenlopen dat we in feite alleen kunnen concluderen dat we niet precies weten wat we niet weten. Wat we wel weten is dat de dreiging reëel en groot is, en dat we nog onvoldoende ondernemen om ons er tegen te wapenen.
René van Buuren, Director Cybersecurity bij Thales Nederland, over de situatie waarin we anno 2015 verkeren: “Het besef dat er een concrete dreiging bestaat groeit, zowel bij de massa als in het bedrijfsleven. Dat mag ook wel, want er blijven geregeld incidenten in de media verschijnen. Maar het bedrijfsleven betrekt die dreiging nog veel te weinig op zichzelf.”
Enig begrip voor die houding heeft Van Buuren wel. “De kansen die de ontwikkelingen in cyberspace ons bieden zijn ongekend. Het laatste wat je wilt is dat je een positieve ontwikkeling laat afremmen door angst. Juist daarom is het van belang cybersecurity in de eerste plaats als enabler te zien: een goede beveiliging maakt een gezonde business mogelijk. Je moet je helemaal geen zorgen hoeven maken over je beveiliging. Maar sluit daarbij niet je ogen voor de realiteit.”
Geen sprookjes
Uit de vele rapporten die wereldwijd gegenereerd worden over dit onderwerp rijst een beeld op dat weinig aan de verbeelding over laat. Staten bedreigen staten en bespioneren bedrijven, criminele organisaties nemen complete systemen in gijzeling, en het oude ‘hacktivisme’ maakt langzaamaan plaats voor iets dat zich het beste laat omschrijven als ‘cyberterreur’: de mogelijkheid dat zogenaamde ‘niet-statelijke actoren’ digitale kanalen aangrijpen om te proberen een samenleving te ontwrichten.
Het zijn serieuze zaken waardoor we ons niet mogen laten verlammen, meent Van Buuren. “Het zijn geen sprookjes,” benadrukt hij, “dit gebeurt echt. We hebben hier in Nederland dit jaar hacks gezien van grootschalige doelwitten, met sterke aanwijzingen dat er statelijke actoren bij betrokken waren. Er bestaat een zeer serieuze industriële cyberdreiging, waar ook andere nationale doelwitten ongetwijfeld mee te maken krijgen. Als defensieleverancier zijn wij ervaringsdeskundig als het gaat om cyberdreigingen en zijn we hier dagelijks mee bezig. We weten het dus uit eigen ervaring, maar denk ook eens aan Philips, aan Unilever, de olie- en gasindustrie of aan onze IT knooppunten.”
Detectie en reactie
Volgens Van Buuren is het zeker dat dergelijke partijen onder vuur komen te liggen. “Ook in CSBN 2015 (Cybersecuritybeeld Nederland, het jaarlijkse rapport dat het Nationaal Cyber Security Centrum opstelt namens het Ministerie van Veiligheid en Justitie) wordt weer bevestigd dat landen actief betrokken zijn bij cyberaanvallen op bedrijven en organisaties. Dat betekent dat we te maken hebben met grote belangen en dus ook serieuze budgetten die voor dit soort aanvallen beschikbaar worden gemaakt. Dit is geen amateurwedstrijd meer – dit is de major league!”
Een dergelijke dreiging vraagt een professioneel antwoord. Tijdens de Cybersecurity Summit waren de deskundigen het er over eens. Preventie is belangrijk, maar het is verstandig de realiteit onder ogen te zien dat zelfs de beste beveiliging vroeg of laat zal falen. Essentieel is dan ook dat er in 2016 meer aandacht wordt besteed aan detectie en reactie, meent Van Buuren. “In de wetenschap dat iedere beveiliging vroeg of laat gekraakt of omzeild wordt, moeten we zorgen dat we oplossingen inzetten die verdacht gedrag zo snel mogelijk detecteren en onschadelijk maken.”
Dat dat niet voor iedere organisatie eenvoudig is te realiseren, baart ook Van Buuren zorgen. “Er is een schreeuwend tekort aan deskundigen. Het feit dat nu ook het Rijk zijn lacunes op dit gebied probeert op te vullen door mensen uit de markt te trekken, maakt het er voor andere organisaties niet eenvoudiger op een team samen te stellen dat voldoende kennis in huis heeft om snel en adequaat te kunnen reageren.”
SOC
Een belangrijke volgende stap in cyberdefensie is het vroegtijdig kunnen detecteren van aanvallen. Dit gebeurt in zogenaamde Security Operations Centers (SOCs). Een SOC is een beveiligde ruimte waarin een gespecialiseerd team van gecertificeerde deskundigen 24 uur per dag, zeven dagen per week, al het verkeer op de netwerken van klanten in de gaten houdt. Thales opende onlangs zijn eigen SOC in Nederland . “Ons SOC in Huizen is één van de 4 SOCs die Thales wereldwijd heeft staan. Hierdoor zijn we niet alleen in staat om wereldwijd kennis te delen, maar hebben we ook de beschikking over de kennis en expertise van duizenden internationale cybersecurity experts en vrijwel alle relevante beveiligingspartijen”, zegt Van Buuren. “Het SOC is ook uitermate belangrijk voor onze eigen beveiliging. Onze opgebouwde kennis staat tevens ter beschikking van onze klanten. Onze experts beschikken altijd direct over de beste technologie en de meest recente informatie en inzichten.”
“De wetenschap dat je bent voorbereid geeft rust in een organisatie. Immers, je kunt de kostbare tijd van je interne experts inzetten op het detecteren van incidenten, maar dan laat je hen feitelijk zoeken naar een speld in een hooiberg. Er zijn namelijk slechts een paar incidenten die er daadwerkelijk toe doen. Indien zij zich alleen nog maar hoeven te concentreren op het oplossen van die paar incidenten, creëer je rust.”
Meldplicht
Klanten zijn steeds minder vergevingsgezind als het gaat om schendingen van de privacy en onzorgvuldige omgang met vertrouwelijke informatie, maar vanaf 1 januari 2016 staan er via de meldplicht datalekken ook nog eens forse boetes op. “Niet alleen ben je als organisatie vanaf 2016 verplicht elk datalek te melden, je moet ook kunnen aantonen dat je passende maatregelen hebt genomen en een solide beveiligingsbeleid voert. Door de inzet van een SOC kun je die discussie voor een belangrijk deel voorkomen”, stelt Van Buuren.
“Om je een idee te geven: ons SOC is geschikt voor ABDO omgevingen. ABDO staat voor Algemene Beveiligingseisen voor Defensieopdrachten, wat simpelweg wil zeggen dat we voldoen aan alle eisen die staten stellen aan cyberdefensie”, vertelt Van Buuren. “Wat daar gebeurt is dat onze experts vele miljoenen events per dag terugbrengen tot de belangrijke incidenten die implicaties kunnen hebben voor bedrijfskritische onderdelen van de organisatie. Daar wordt vervolgens direct en gericht actie op ondernomen en verslag van gedaan.”
“Als individuele organisatie is het vrijwel onmogelijk een dergelijk beveiligingsniveau in huis te halen en te houden, en ik denk dat je dat ook niet moet willen”, zegt Van Buuren. “Een wedstrijd win je niet door alleen maar bezig te zijn met je verdediging. Door gebruik te maken van een SOC creëer je rust. Als organisatie kun je je vervolgens concentreren op alle positieve kansen die cyberspace óók te bieden heeft.”