Veiligheidsoffensief tegen cybercriminelen

Lijdzaam afwachten totdat ook jouw organisatie slachtoffer wordt van een cyberaanval is helemaal niet nodig. Een proactieve aanpak van cybersecurity wapent je organisatie effectief tegen ‘cyber rogues’.

Open netwerkmodel

Cyberaanvallen veroorzaken meer schade dan alleen aan de technisch systemen van een bedrijf. Veiligheidslekken hebben ook een effect op operationele processen en ondermijnen het vertrouwen van klanten en investeerders. Maar waarom is het zo’n probleem geworden? Hiervoor is een aantal redenen aan te wijzen. Allereerst is er de opkomende standaard van het open netwerkmodel en de invloed van de ‘any device, any place’-gedachte. Klanten, medewerkers en zakenpartners hebben altijd en overal toegang tot bedrijfsapplicaties. Dit brengt grote voordelen met zich mee voor het bedrijf, maar het draagt ook bij aan een toegenomen kwetsbaarheid. Daarnaast leggen veiligheidsstandaarden de lat niet overal even hoog. Veel IT-producten, -apparaten en –oplossingen worden ingezet zonder de standaard IT-procedures van het bedrijf in acht te nemen. Neem nu bijvoorbeeld de netwerkprinter die je wellicht op dit moment gebruikt. Is deze wel zo goed beveiligd als is voorgeschreven in de corporate richtlijnen?

Sociale netwerken

De opkomst van sociale netwerken hebben eveneens bijgedragen aan een grotere onveiligheid. Sociale netwerken, die nu al goed zijn voor 11 procent van al het internetverkeer in de Verenigde Staten, zijn een rijke bron van persoonlijke informatie voor criminelen. Informatie die gebruikt kan worden om de beveiliging van bedrijfssystemen keer op keer in gevaar te brengen. Veel recente, succesvolle beveiligingsaanvallen werden voorafgegaan door het verzamelen van informatie over medewerkers die op zich weinig van doen hadden met gevoelige informatie of beveiliging, zoals onder andere blijkt uit publicaties rond de recente security incidenten bij RSA. Een laatste reden die het noemen waard is, betreft de manier waarop cybercriminelen te werk gaan. Een hacker is niet langer noodzakelijkerwijs een door persoonlijke redenen gedreven eenling, maar maakt vaak deel uit van een goed georganiseerde criminele onderneming.

i-9/11

Laat er geen misverstand over bestaan. Het online geboefte is slimmer geworden, beter georganiseerd. Het aantal dreigingen ontwikkelt zich sneller dan dat bedrijven zich ertegen kunnen beveiligen. Hackers maken voortdurend gebruik van zwakke plekken in populaire producten en experimenteren met nieuwe technieken door virussen, malafide antivirus-software, keystroke-loggers, botnets en andere tools. Zelfs een aanval van wereldwijde omvang, een ‘i-9/11’, met schade voor elke activiteit die afhankelijk is van toegang tot internet, is een mogelijkheid, zo waarschuwde onlangs Lawrence Lessig, een professor aan de Amerikaanse Stanford University.

Basisregels cybersecurity

Al deze gevaren omzeilen, is geen eenvoudige taak en het wekt dan ook geen verbazing dat het veiligheidsbeleid voortdurend om aandacht vraagt. Om cyberaanvallen preventief en proactief te bestrijden moet men echter verder kijken dan alleen het beschermen van de buitenkant van de organisatie. Effectieve (cyber)security moet in alle processen, door de hele organisatie, terug te vinden zijn. Vijf basisregels die effectief zijn gebleken bij het beschermen van organisaties tegen cyberaanvallen:

• Breng de informatiehuishouding helder in kaart en bescherm alle elementen zelf, in plaats van alleen de overgangen naar de ‘buitenwereld’ met een firewall
• Geef security een duidelijke plek in de bedrijfscultuur
• Geef applicaties meer aandacht
• Check en double-check de identiteit van gebruikers
• Ontwikkel een besef van waar en wanneer veiligheidsrisico’s ontstaan en draag dit uit binnen de organisatie

Breng de informatiehuishouding in kaart

Veel multinationale organisaties weten niet wat (en waar) hun meest waardevolle data en technologieën zijn. Dat is jammer, want effectieve cyber security begint met het weten welke data en technologieën essentieel zijn voor operaties en de continuïteit van het bedrijf. Veel bedrijven richten hun aandacht vooral op het beschermen van de buitengrenzen van hun IT, maar het is veel effectiever om de data of de technologie zelf te beschermen. Geen eenvoudige taak – je betreedt een doolhof van regelgeving, privacy, en business demands – maar deze end-to-end benadering van het hele digitale ecosysteem maakt dat het netwerk en de infrastructuur waar het is ondergebracht veilig en weerbaar blijft.

Duidelijke plek voor security

Veel organisaties hebben de verantwoordelijkheid en aansprakelijkheid van cyber security geen duidelijke plek gegeven. De CIO is bijvoorbeeld verantwoordelijk voor het op peil houden van IT- en databeveiliging, de Chief Privacy Officer (zo die al bestaat) voor het vaststellen van procedures en regels en de Raad van Bestuur voor de compliancy met wet- regelgeving. Organisaties die daarentegen een ‘culture of security’ laten zien, maken verantwoordelijkheden en aansprakelijkheid zichtbaar. Bedrijven als General Electric en Intel hebben de rol van hun Privacy Officer formeel uitgebreid tot het vlak van data security en information governance om een holistische aanpak van informatiemanagement en –bescherming tot stand te brengen. Recent onderzoek van Accenture heeft aangetoond dat dergelijke bedrijven een veel lagere kans hebben op ernstige beveiligingslekken.

Zwakke plekken op applicatieniveau

Veel beveiligingslekken zijn direct te herleiden tot zwakke plekken op applicatieniveau. De meeste applicaties zijn nooit ontworpen met het oog op beveiliging, omdat de ontwikkelaars altijd aannamen dat deze achter een firewall zouden werken. Omdat dit uitgangspunt niet langer geldt, zullen veel legacy-applicaties aangepast moeten worden en uiteindelijk opnieuw ontwikkeld met meer aandacht voor cyber security. Organisaties moeten daarom kunnen meten of een commerciële standaardapplicatie in staat is om gevoelige informatie te verwerken. Strenge testen voor de eigen systemen zijn ook nodig om te bepalen of missiekritieke applicaties kunnen draaien met een verlaagd risico.

Veilige toegang

Identity management is een topprioriteit geworden in security, door het samenkomen van enkele trends. In de publieke sector heeft men te maken met immigratieproblemen, toegenomen internationale handel, de dreiging van terrorisme en de hogere eisen van burgers aan publieke diensten. In de private sector staan identiteitsdiefstal en andere risico’s hoog op de agenda doordat steeds grotere groepen klanten, leveranciers en partners toegang hebben tot bedrijfsapplicaties. De traditionele manier om te verifiëren of het wel echt de betreffende persoon is die toegang heeft tot zijn eigen data en niet iemand anders, is door te vragen naar nummers en namen die ooit als geheim of op zijn minst beschermd werden beschouwd. Je sofinummer bijvoorbeeld, of de meisjesnaam van je moeder. Nu is veel van die informatie bereikbaar voor iedereen, of op z’n minst minder beschermd. Effectieve identity en access management-programma’s zouden waarde moeten toevoegen door meer veiligheid te bieden zonder functionaliteit op te offeren. Door sterkere methodes te gebruiken en deze te combineren met biometrische gegevens als bijvoorbeeld vingerafdrukken kan een organisatie het aantal fraudegevallen sterk terugdringen en de veiligheid sterk verhogen.

Risico’s in beeld

Proactief met risico’s omgaan houdt in dat een organisatie het volledige risicolandschap in beeld heeft, inclusief de supply chain en het netwerk van partners. Wees je bewust van de potentiële impact van een risico op de volledige performance van de organisatie en zorg dat je de maatregelen om deze risico’s te managen op hun plek hebt. Het managen van risico’s door de supply chain en het netwerk van de organisatie is een gevoelige en gecompliceerde uitdaging, maar het verdient in feite dezelfde aandacht als de interne organisatie. Organisaties zouden moeten samenwerken met businesspartners die evenveel of meer aandacht hebben voor cyber security en ervaring in het managen van gevoelige data over bedrijfsgrenzen. Een mooi voorbeeld van een organisatie die dit doet is Microsoft, dat vendor-management programma’s heeft ontwikkeld om data-privacy en -eisen in de inkoopprocessen te integreren. Het is bekend dat hackers en kwaadwillende personen en organisaties hun werk beginnen op grote afstand van een merkbare gebeurtenis. Deze activiteiten beginnen met het opbouwen van bekendheid met werknemers om een voet tussen de deur te krijgen, het scannen van het netwerk, toegang krijgen tot de database, het uitwissen van sporen en het achterlaten van achterdeuren in het systeem om later ongeautoriseerd binnen te komen. Maar als organisaties alleen reageren op verdachte activiteiten of een incident, kan het al te laat zijn. In een vroeg stadium moeten kwetsbaarheden proactief worden aangepakt.

Managers zullen stappen moeten nemen om zich ervan te verzekeren dat hun organisatie een cyber security-aanpak hanteert die de risico’s van vandaag en morgen het hoofd weet te bieden. De wereldwijde economische teruggang in de laatste jaren heeft de beveiligingsbudgetten onder druk gezet, maar we moeten ons ervan bewust zijn dat als wij cybersecurity geen duidelijke plaats in de organisatie geven en het niet proactief najagen, de kosten hiervan nog veel hoger kunnen uitvallen.

Ing. Floris van den Dool (1963) is als Senior Executive bij Accenture verantwoordelijk voor de Information Security Dienstverlening in Europa, Afrika en Latijns Amerika. Naast zijn leidinggevende taken bij Accenture is hij met zijn 20 jaar ervaring binnen IT en Informatiebeveiliging nauw betrokken bij het inrichten van beveiligingsorganisaties en -processen bij IT Outsourcing en het invoeren van Identity & Access bij klanten in binnen- en buitenland.