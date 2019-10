De traditionele factoren in risicomanagement die we allemaal kennen zijn onder andere het saaie proces van het categoriseren van potentiële bedreigingen en risico's, het evalueren van de waarschijnlijkheid dat ze zich voordoen, en het inschatten van de schade die eruit zou voortvloeien als ze niet beperkt zouden worden. De kosten van de potentiële schadebeperkende maatregelen en controles worden afgemeten aan de potentiële schade. Beperkingen worden ingevoerd als ze goedkoper en beter te implementeren zijn dan de risico's en bedreigingen te laten optreden.

We hebben ons allemaal zorgen gemaakt over de moeilijkheid om zowel de waarschijnlijkheid van een gebeurtenis als de mogelijke schade te berekenen. Ze zijn altijd meer een beste gok geweest dan een vaststaand gegeven. Hoe kan iemand inschatten hoe groot de kans is dat er in een bepaald jaar een geavanceerde ransomware-, DDoS- of insider-aanval op zijn organisatie zal plaatsvinden of welke assets ermee worden geschaad? Kan iemand bewijzen dat de kans 20 procent is, tegenover 60 procent in een ander jaar?

We hebben allemaal moeite met die grote inschattingsproblemen, maar er zijn nog een heleboel andere factoren die van invloed zijn op het risicobeheer. Hier zijn er tien die zelden openlijk worden besproken.

1. Discussie om "kan gebeuren"-risico's

Elke risicobeoordeling is een gevecht tussen iets dat kan gebeuren en niets doen, vooral als het nog niet eerder is gebeurd. Veel mensen geloven dat het goedkoper is om niets te doen, en degenen die vechten om iets te doen kunnen worden gezien als geldverspillers. "Waarom geld verspillen? Dat gaat nooit gebeuren!".

Weinig mensen komen in de problemen door het vasthouden aan de status quo en het doen van wat er altijd al gedaan is. Het is veel moeilijker om proactief te zijn, vooral als het om grote sommen geld gaat, dan te wachten tot de schade zich voordoet en het dan aan te pakken.

Het verhaal dat ik graag gebruik is 9/11 en veiligheid in de luchtvaart. Het is niet zo dat de veiligheidsdeskundigen in de luchtvaart niet al voor 9/11 wisten dat een kaper een vliegtuig kon overnemen of dat je explosieven kon meesmokkelen op een vliegtuig. Deze risico's waren al tientallen jaren bekend. Stel je de publieke verontwaardiging voor als passagiers werden gedwongen om hun flesjes water weg te gooien en volledige lichaamsscans te krijgen voordat 9/11 gebeurde. Het zou het publiek woedend hebben gemaakt en de luchtvaartmaatschappijen zouden alles doen om die veiligheidsmaatregelen van tafel te krijgen..

Na 9/11 doen we onze schoenen uit, gooien onze waterflessen weg en onderwerpen onszelf aan full-body scans. Het is veel moeilijker om geld te krijgen om mogelijke risico's te bestrijden dan om het geld te krijgen nadat de schade is aangericht. Er is echte moed voor nodig als een risicobeoordelaar waarschuwt voor een probleem dat nog nooit eerder is voorgekomen. Zij zijn de verborgen helden.

2. Politiek risico

Het proactief aanpakken van risico's leidt tot de volgende onbekende risicocomponent: politiek risico. Telkens als proactieve helden pleiten voor iets dat nooit gebeurt, verliezen ze een beetje van hun politieke kapitaal. De enige keer dat ze winnen, is wanneer datgene waar ze proactief over waarschuwden, ook werkelijk gebeurt. Als ze succesvol zijn en het bedrijf overtuigen om controles en mitigatiemaatregelen in te voeren zodat het slechte nooit gebeurt, nou ja, dan gebeurt het nooit.

Het is een zelfvernietigende voorspelling. Als ze de discussie winnen, komt niemand er ooit achter omdat ze met succes voor de maatregelen gepleit hebben. Dus, elke keer dat het ding waar ze zich zorgen over maken nooit gebeurt, worden ze gezien als nodeloos alarmerend. Ze verliezen politiek kapitaal.

Iedereen die dergelijke gevechten op het gebied van risicomanagement heeft meegemaakt, kan je vertellen dat hij er niet te veel van wil meemaken. Elke keer schaadt het hun reputatie een beetje (of veel). Dus, proactieve mensen berekenen welke gevechten ze willen voeren. Na verloop van tijd kiezen doorgewinterde krijgers minder gevechten uit. Ze moeten wel. Het is het overleven van de sterkste. Velen van hen wachten gewoon op de dag dat er iets heel ergs gebeurt, waar ze niet hun best hebben gedaan om te voorkomen dat de organisatie schade oploopt en waarbij ze zondebokken worden.

3. "We zeggen dat het gedaan is, maar niet echt"-risico

Veel van de controles en mitigatiemaatregelen die we zeggen te hebben gedaan, zijn niet echt gedaan....tenminste niet voor 100 procent. Veel mensen in het proces begrijpen dat het niet echt gedaan is. De meest voorkomende voorbeelden zijn patching en back-ups. De meeste bedrijven die ik ken zeggen dat ze 99 tot 100 procent gepatcht zijn. In mijn meer dan 30-jarige carrière van het controleren van de patchstatus van miljoenen apparaten, heb ik er nooit een gevonden die echt volledig gepatcht was. Toch heeft elk bedrijf dat ik gecontroleerd heb me verteld dat ze volledig of bijna volledig gepatcht waren.

Hetzelfde geldt voor back-ups. De huidige ransomware-epidemie heeft duidelijk gemaakt dat de meeste organisaties geen goede back-ups maken. Ondanks het feit dat de meeste organisaties en hun auditors al jaren controleren dat kritische back-ups zowel worden gemaakt als regelmatig worden getest, is er maar één grote ransomware-aanval nodig om te laten zien hoe radicaal anders de waarheid is.

Iedereen in risicomanagement weet dit. Hoe kan een persoon die verantwoordelijk is voor back-ups ooit alles testen als hij niet de tijd en middelen krijgt om dat te doen? Om te testen of een backup en restore zouden werken, zou je een testrestore van veel verschillende systemen tegelijk moeten doen, in een aparte omgeving waar het zou moeten werken. Dat kost een enorme inzet van mensen, tijd en andere middelen, en de meeste organisaties geven de verantwoordelijke persoon niets van dat alles.

4. Geïnstitutionaliseerd risico: "Altijd al zo gedaan"

Het is moeilijk argumenteren tegen "dat is de manier waarop we het altijd hebben gedaan", vooral als er al decennia lang geen aanvallen zijn geweest. Ik kom bijvoorbeeld vaak organisaties tegen die toestaan dat wachtwoorden zes karakters lang zijn en nooit veranderd worden. Soms is het zo omdat de wachtwoorden van het PC-netwerk hetzelfde moeten zijn als de wachtwoorden die verbonden zijn met een archaïsch "big iron"-systeem waar het bedrijf afhankelijk van is. Iedereen weet misschien dat het niet veranderen van wachtwoorden met zes tekens geen goed idee is, maar het heeft nooit problemen veroorzaakt.

Veel geluk met het argument dat alles moet worden opgewaardeerd om langere en complexere wachtwoorden te ondersteunen, mogelijk miljoenen dollars uit te geven, De institutionele "wijsheid" is tegen je, en de meeste van die mensen zijn er al veel langer dan jij.

5. Operationeel onderbrekingsrisico

Elke controle en mitigatie die je implementeert kan een operationeel probleem veroorzaken. Het kan zelfs verstorend werken. De kans is veel groter dat je ontslagen wordt voor het per ongeluk verstoren van bedrijfsoperaties dan voor het proactief voorkomen van een theoretisch risico. Voor elke controle en mitigatie die je nastreeft, maak je je zorgen over de mogelijke operationele onderbreking die het zal veroorzaken.

Hoe radicaler de controle, hoe groter de kans dat de totale dreiging kan worden weggenomen, maar hoe meer je denkt dat je het niet kan doen zonder operationele onderbreking. Als het beperken van risico's zonder operationele onderbrekingen te veroorzaken gemakkelijk zou zijn, zou iedereen het doen.

6. Ontevredenheidsrisico van medewerkers

Geen enkele riskmanager wil medewerkers boos maken. Als je dat wilt, implementeer dan elke controle die beperkingen aanbrengt waar ze op het internet kunnen gaan en wat ze op hun computer kunnen doen. Eindgebruikers zijn verantwoordelijk voor 70 tot 90 procent van alle kwaadaardige datalekken (via phishing en social engineering). Je kunt het instinct van eindgebruikers om de organisatie te beschermen niet vertrouwen.

Toch wordt de loutere vermelding van beperkingen op wat eindgebruikers kunnen doen, zoals het toestaan van alleen vooraf goedgekeurde programma's of het beperken van waar en wat ze op het internet kunnen doen, door de meeste werknemers alleen maar beantwoord door vijandigheid. De arbeidsmarkt is krap. Elk bedrijf heeft moeite om goede werknemers te krijgen, die niet willen worden verteld dat ze niet kunnen doen wat ze willen doen op "hun" computer. Zet je het te veel op slot, dan gaan ze ergens anders werken.

7. Risico op ontevredenheid van klanten

Niemand wil een beleid of procedure implementeren die klanten uitschakelt. Verontruste klanten worden de gelukkige klanten van andere bedrijven. Zo zijn creditcardbedrijven bijvoorbeeld veel banger om een legitieme klant per ongeluk een legitieme transactie te ontzeggen dan om fraude te stoppen. Ze maken zich wel zorgen om fraude, maar dat is op een niveau dat zij als te tolereren beschouwen. De onderaannemers en bedrijven die creditcardtransacties nauwkeuriger maken, verkopen hun diensten aan de creditcardbedrijven over hoe goed zij legitieme transacties niet frustreren. Klanten die ten onrechte twee keer per jaar een transactie geweigerd zien worden, zullen de creditcard van een andere maatschappij gebruiken.

Het is ook de reden waarom je in de VS geen pincode met een chipkaart hoeft te gebruiken. De rest van de wereld heeft zowel de chip als een pincode nodig, en dit is veruit een veiligere optie. Hoe is het zo gekomen? Omdat pin- en chipkaarten relatief recentelijk naar de VS gekomen zijn en klanten waren net gewend aan het 'swipen' van kaarten. Als mensen de kaart moesten inbrengen om de chip correct te lezen, zou een klein percentage van de transacties mislukken en sommige klanten van streek maken.

8. Risico van cutting edge

Early adopters worden zelden beloond voor het feit dat ze een van de eersten zijn. Zij worden vaak onderdeel van geleerde lessen die het gemakkelijker maken voor de kudde om betere tactieken toe te passen.

Twee jaar geleden zei het Amerikaanse National Institute for Standards and Technology (NIST) dat hun al lang bestaande wachtwoordbeleid, waarbij lange en complexe wachtwoorden worden vereist die vaak worden gewijzigd, meer hacks heeft veroorzaakt dan dat het dit heeft voorkomen. De nieuwe Digital Identity Guidelines, NIST Special Publication 800-63-3, zegt dat wachtwoorden kort en niet-complex kunnen zijn en nooit gedwongen zijn om wachtwoorden te wijzigen, tenzij je weet dat de wachtwoorden gecompromitteerd zijn. Het was een volledige draai van 180 graden ten opzichte van het vorige advies dat als dogma werd geaccepteerd.

Sindsdien is er geen enkele richtlijn of regelgevend recht bijgewerkt om te zeggen dat het opvolgen van het nieuwe advies aanbevolen of legaal is. Ik heb nog niet gezien of gehoord van bedrijven die het nieuwe beleid hebben aangenomen. Dat is waarschijnlijk een goede zaak, want als je jouw beleid veranderde en vervolgens wordt gehackt, zullen alle vingers naar jou wijzen, vragend waarom je het deed. Het is veel veiliger om te wachten tot de kudde zich richt op het nieuwe wachtwoordbeleid en het bewezen is dat het goed of fout is.

9. Risico op vertraging

Je vecht bijna altijd tegen een risico dat andere mensen (of jouw organisatie) al is overkomen. Je wacht om te zien welke trucs de hackers achter de hand hebben en zorgt dan voor mitigatie en controle om die nieuwe risico's te bestrijden. Als je eerst moet afwachten om te zien wat de hackers doen, heb je een tijdspanne nodig van het opmerken van nieuw kwaadaardige gedrag tot aan het beoordelen van de nieuwe techniek, het bedenken van nieuwe controles en mitigatie. In een afwachtende houding sta je altijd achter.

10. "Kan niet alles goed doen"-risico

Vorig jaar werden meer dan 16.555 nieuwe kwetsbaarheden publiekelijk gemaakt. Er zijn meer dan 100 miljoen unieke malwareprogramma's bekend. Elk type hacker, van natiestaten tot financiële dieven tot scriptkiddies, probeert in te breken in jouw organisatie. Het is veel om je zorgen over te maken. Je hebt geen manier om je ertegen te verdedigen, tenzij iemand je een onbeperkte hoeveelheid geld, tijd en middelen geeft.Het beste wat je kunt doen is raden (zie #1 hierboven) wat de belangrijkste risico's zijn en probeer ze te stoppen.

Dit zijn geen nieuwe onderdelen in risicobeoordeling. Ze zijn er altijd al geweest, en ze zijn waar jullie allemaal aan denken bij het beoordelen van risico's en het denken over controles. Het wijst er allemaal op dat risicobeoordeling en riskmanagement veel moeilijker te doen zijn dan het lijkt, vooral op papier of uit de formele theorie in een boek. Als je kijkt naar alles waar de gemiddelde computerbeveiliger zich zorgen over moet maken en over nadenkt, is het verbazingwekkend dat we het meestal wel goed kunnen doen.