Wanneer heeft u voor het laatst uw  security-reflexen getest?

Datalekken zijn onvermijdelijk geworden. De niet-aflatende stroom verhalen over cybercriminaliteit en datalekken bewijst dit eens te meer.

Zo hield recentelijk een nieuwe SamSam-ransomware flink huis in Nederland, biechtte een bekende internationale hotelketen het tweede grootste datalek ooit op en deelde de Autoriteit Persoonsgegevens de eerste boete uit. Dankzij de net gepubliceerde Nationale IT-Security Monitor kunnen we nu ook een cijfer plakken op de stand van security-zaken in Nederland. Meer dan 40% van de ondervraagde organisaties in Nederland heeft een computerinbraak te verduren gehad en meer dan 70% is wel eens getroffen door malware. Heel belangrijk is daarom uw antwoord op de vraag: ‘Wanneer heeft u voor het laatst uw security-reflexen getest?’

Gelukkig leidt niet ieder incident ook tot schade, maar een goed doordachte incident response-strategie is hoe dan ook essentieel geworden. Heel wat bedrijven raken namelijk overweldigd en hebben moeite om met de vereiste snelheid en efficiëntie te reageren op een lek of hack. En juist na het incident ontstaat vaak de meeste schade.

Tel daar nog eens de nieuwe wetgeving bij op. Zoals GDPR dat bedrijven 72 uur de tijd geeft om een inbreuk te melden. Of PSD2 dat nog strenger is en FSS-bedrijven (Financial Software & Systems) verplicht elke inbreuk binnen 4 uur te melden. Dergelijke strakke deadlines vragen om een bijzonder praktisch ingericht incident response -plan.

Heilige drie-eenheid

De klassieke ‘heilige drie-eenheid’ van cyberbeveiliging is detecteren, voorkomen en reageren. Voor menig organisatie lag de focus echter lange tijd op detectie en preventie van incidenten. Maar in een omgeving waarin het niet langer de vraag is of we gehackt zullen worden maar wanneer, zien we de aandacht verschuiven naar het ontwikkelen van robuuste incident response-maatregelen, met een reëel verdedigingsplan.

De Nationale IT-Security Monitor illustreert dat we op dit terrein nog een lange weg af te leggen hebben. Slechts 34% van de ondervraagden geeft aan over een dergelijk plan te beschikken. Op pagina 6 tot en met 9 van deze editie van Infosecurity Magazine bespreekt Peter Vermeulen, directeur van onderzoeksbureau Pb7 Research, de resultaten van de Nationale IT Security Monitor.

Met die 34% doet Nederland het overigens niet eens zo slecht. Het Ponemon Institute heeft eerder dit jaar onder bijna 3000 IT en security professionals een wereldwijd onderzoek uitgevoerd naar cyber-weerbaarheid: ‘The Third Annual Study on the Cyber Resilient Organization’. Hier geeft slechts 23% van de organisaties aan over een formeel incident response-plan te beschikken.

AI kan helpen

Het begint allemaal bij de keuze voor de juiste technologie. Deze kan steeds meer op geautomatiseerde wijze helpen anomalieën te detecteren. Een voorbeeld van zo’n technologie is QRadar, IBM’s Security Intelligence-platform. Cybercriminelen worden immers steeds slimmer. Sommige aanvallen kunnen in een oogwenk al weer voorbij zijn, terwijl andere jaren voorbereiding vergen voor ze zich volledig ontplooien.

Een goede stap om je te wapenen tegen al dit soort aanvalsstrategieën is zoveel mogelijk kennis vergaren, zo snel en zo efficiënt mogelijk. Het is bijvoorbeeld niet handig om ergens een gigantische collectie pdf-bestanden te hebben met blogs over recente ontwikkelingen en response strategieën van beveiligingsexperts. Die gegevens zijn ongestructureerd en het kost enorm veel tijd om door al die blogs te gaan op zoek naar nuttige inzichten.

Als we onze eigen intelligentie echter aanvullen met technologie, dan kunnen die enorme rijkdom aan inzichten plotsklaps wél ontsluiten. Dan kunnen we al die informatie doorzoeken op een manier waarvoor mensen gewoon de ‘intellectuele bandbreedte’ missen. Op die manier kunnen nieuwe technologieën helpen om incident response-plannen naar het volgende niveau te tillen. Een goed voorbeeld van deze aanvullende intelligentie is IBM QRadar Advisor with Watson dat security-analisten terzijde staat om met behulp van kunstmatige intelligentie razendsnel incidenten te onderzoeken en te helpen oplossen.

Gedeelde problemen en oplossingen

Wat nog belangrijker is om incident response-plannen naar het spreekwoordelijke ‘next level’ te brengen, is beseffen dat die plannen doorgevoerd moeten worden in de volledige onderneming. Het is een misvatting dat cybercriminaliteit enkel een probleem is voor de IT-afdeling en de security-specialisten. Problemen die de hele onderneming treffen, moeten ook aangepakt kunnen worden door de hele onderneming. Hoe zal bijvoorbeeld een PR-manager omgaan met de reputatieschade die veroorzaakt wordt door een lek? Wat communiceert een verkoper aan zijn klanten?

Het is essentieel om een volwaardig incident response-plan te hebben dat zo weinig mogelijk aan het toeval overlaat. Test het plan daarom onder reële omstandigheden. De meeste bedrijven doen wel elk jaar een brandoefening, dus waarom geen cyberveiligheidsoefening waaraan iedereen deelneemt?

Dit is mogelijk in gespecialiseerde locaties als IBM’s Cyber Range in Boston of in de mobiele variant daarvan - de CTOC-truck - die in 2019 Europa zal doorkruizen en in de eerste helft van 2019 twee keer Nederland zal aandoen.

De uitvoering van de incident response-procedures is nog een andere broodnodige vaardigheid. Voor een accurate en snelle response moeten organisaties immers in staat zijn om het volledige response-proces te orkestreren – over alle technologieën, processen en medewerkers heen. De automatisering van de incident response-plannen is daarbij essentieel. Heel wat van het manuele werk van het onderzoeken en verhelpen van cyberincidenten kan ondersteund worden met software, zoals IBM’s Security Orchestration-platform: IBM Resilient. Automatisering helpt de vaardighedenkloof te verkleinen. Het helpt immers beveiligingsanalisten om intelligente beslissingen te nemen en snel te reageren op waarschuwingen.

Verandering in mentaliteit

Kortom, de dreiging van cybercriminaliteit wordt dan wel steeds groter, maar met de juiste voorbereiding kunnen we vol vertrouwen fundamentele veranderingen doorvoeren in hoe we reageren op cyberdreigingen. De menselijke inspanningen en intelligentie aanvullen met technologie is al een stap in de juiste richting. Maar je kunt een gigantische stap voorwaarts zetten als je al die maatregelen integreert in een breder incident response plan waarin ook automatisering en orkestratie zijn opgenomen.

EERO VELLEKOOP is Marketing Leader bij IBM Security Benelux