Bij ondernemingen vormt security vaak het sluitstuk op de begroting. Immers, de CFO zal gelijk vragen wat het oplevert. Het antwoord zal ‘niets’ zijn. Want net zoals bij een verzekering is er geen return on investment. Totdat er zich een calamiteit voordoet want pas dan gaat het geld opleveren. Althans, er wordt nog steeds niets mee verdient maar het voorkomt dat men geld verliest. En reputatieschade en klanten en ga zo maar door.

Die calamiteit kan ook worden veroorzaakt door kwaadaardige email, de zogenaamde spam en phishing. Een grote ‘bolle’ webshop ondervond dat nog de afgelopen tijd. Hoewel een jaar geleden het bedrijf ook al werd getroffen door spam en phishing, was het deze keer weer raak. Kennelijk mankeerde er toch iets aan het mail security-systeem. Wat zou dat nou kunnen zijn?

DMARC de oplossing voor spam?

Om dat duidelijk te maken geven we een vergelijking met een huis dat is beveiligd met een firewall - in de vorm van een inbraakalarm - en camera’s die de hele omgeving in de gaten houden; de virusscanner. Alles lijkt goed beveiligd. Maar hoe goed dat huis ook beveiligd is moeten er altijd wel een paar ‘poorten’ open blijven; men wil toch mensen kunnen toelaten? Stel er belt een collectant aan en voordat we geld geven willen we zeker weten of deze collectant en de organisatie waar hij voor werkt echt is. Gelukkig zijn er steeds meer mensen die in zo’n geval alert zijn om naar een identiteitspasje te vragen. Diezelfde controle zou met email ook moeten gebeuren. Welnu, die techniek is er in de vorm van DMARC.

Wat is DMARC?

Domain-based Message Authentication (DMARC) is een techniek die vraagt naar de identiteit van de verzender van email. DMARC is een standaard waarin staat aangegeven hoe de ontvanger van email aan de hand van de wel bekende SPF en DKIM-mechanismen de herkomst van email kan verifiëren. De verzender geeft met DMARC aan dat de emails zijn beschermd door SPF en/of DKIM en vertelt de ontvanger wat deze moet doen als het niet door de SPF/DKIM-test komt. Deze policy wordt in het publieke Domain Name System (DNS) gepubliceerd en is voor iedereen beschikbaar.

DMARC heeft goede papieren

DMARC werd door AOL, Gmail, Hotmail en Yahoo! ontwikkeld en toegepast om hun klanten te beschermen tegen spam/phishing. De DMARC-specificatie werd aan de Internet Engineering Task Force (IETF) voor standaardisatie overhandigd op 31 maart 2013. DMARC wordt ondertussen al grootschalig toegepast. Enkele cijfers: begin 2012 werd DMARC al ruwweg voor 2 miljard email accounts gebruikt, 60% van alle emails wereldwijd en 80% van de mailboxen in de US. Dit waren 80,000 actieve domains. Meer dan 25 miljoen gespoofde emails werden in 2013 ontmaskerd. Outlook.com rapporteerde een afname van 50% aan kwaadaardige email. Twitter meldde dat 110 miljoen messages per dag hun domains spoofden. Na de invoering van DMARC waren dit er nog slechts 1,000 per dag. Dat is natuurlijk een ongelofelijke afname.

Wel of niet DMARC implementeren?

Natuurlijk. Per definitie biedt geen enkel (email-)beveiligingssysteem 100% zekerheid. Maar omgekeerd, zonder beveiliging, is er wel 100% zekerheid dat men vandaag of morgen een keer getroffen wordt door bijvoorbeeld spam/phishing emails en dat de gevolgen dan zeer nadelig kunnen uitpakken.

Wat ik vaak bij organisaties neerleg zijn de onderbelichte kanten van security. Zoals bijvoorbeeld het Internet of Things. De meeste mensen zien dat als een consumentenontwikkeling: domotica thuis. Maar het Internet of Things doet ook zijn intrede bij organisaties, zoals ziekenhuizen. Er komen steeds meer apparaten die connected zijn of kunnen zijn. Denk naast thermostaten, in huizen én bedrijfspanden, ook alarmsystemen. Die apparaten geven ons voordelen, laten ons kosteneffectief werken. Maar ze brengen ook risico’s met zich mee.

Gebrek aan richtlijnen

Veel producten worden tegenwoordig zó snel op de markt gebracht dat security onderbelicht is. Daar zijn helaas ook geen richtlijnen voor. Voor stofzuigers bijvoorbeeld wel: die moeten qua vermogen en brandgevaar aan bepaalde regels voldoen. Voor de securitykant van connected devices is dat er helemaal niet. Terwijl er allang gespecialiseerde zoekmachines zijn die kwetsbare systemen in kaart brengen.

Uiteenlopende apparaten vallen af te luisteren, te manipuleren of zelfs geheel van malafide firmware te voorzien. In de Verenigde Staten zijn er al incidenten geweest in ziekenhuizen. Security-onderzoekers hebben daar niet alleen verkeerd geconfigureerde pc’s ontdekt, maar ook via internet benaderbare pacemakers, anesthesiesystemen en andere medische apparatuur. Europol heeft al gewaarschuwd dat we binnenkort de eerste cybermoord kunnen verwachten.

Regeren is vooruitzien en dat is moeilijk

Organisaties zijn qua security namelijk vaak bezig met ‘pleisters plakken’. Dat is een reactieve aanpak. Ze kijken niet voorbij de horizon. Regeren is vooruitzien, maar vooruitzien kan bijna niet in de IT. We weten niet wat eraan komt. Toch moeten we meer vooruitkijken, want de wereld verandert flink en snel. Vandaag de dag bezitten de meeste mensen gemiddeld twee devices: een smartphone en een laptop/tablet. Daar komt het Internet of Things straks nog bij. Onderzoeksbureau Gartner voorspelt dat we tegen 2020 wereldwijd 26 miljard connected devices hebben.

Ondanks die groei aan apparaten blijft de mens de zwakke schakel. Denk aan te simpele wachtwoorden, waarvan er complete databases in omloop zijn op underground-fora. Het komt dan ook grotendeels neer op opvoeding. Het is een probleem zoals de politie ook heeft: 100 procent veilig bestaat niet. Maar we kunnen en moeten daar wel naar blijven streven. Ik vroeg laatst bij een klant: wat doe je preventief? Wat doe je als je een nieuwe medewerker in dienst neemt? Het antwoord was: account aanmaken, rechten toekennen, toegangspasje geven, en klaar. Daar ontbreekt dus bijvoorbeeld een securitytraining: wat er wel en niet mag in de organisatie.

Je kunt wel de nieuwste of beste securitytechnologie in huis hebben, maar het gaat erom hoe mensen omgaan met data, devices en dergelijke. Als iemand voorkeur heeft voor een iPad en dan bestanden overhevelt via een eigen Dropbox-account om deze te bekijken, heb je al een mogelijk securityprobleem. Het probleem is dat niemand werknemers training geeft. Wel hoe je je werk moet doen, om het bedrijf winst te bezorgen. Maar niet hoe je dat securityminded moet doen.

Het gaat om mensen

Ondertussen probeert de IT-afdeling krampachtig om de hele organisatie veilig te houden. De kosten daarvoor zullen alleen maar de pan uitrijzen, tenzij organisaties echt op security gaan hameren. Iedereen denkt ‘Dat is een probleem van IT’, maar het is een kwestie voor de hele organisatie. Pleisters plakken kan iedereen. We moeten kijken waar we naartoe willen.