Datarijkdom vraagt om verhoogde waakzaamheid
Data is de nieuwe currency. Dat wordt nadrukkelijk geïllustreerd door de Fortune 500. Waren het eerder vooral oliemaatschappijen die de lijst van machtigste bedrijven ter wereld bevolkten, tegenwoordig zijn het de Tech-bedrijven die de lijst domineren. ‘Datarijkdom vraagt om verhoogde waakzaamheid, want bedrijven die veel data opslaan worden ongewenst aantrekkelijk voor kwaadwillenden.’ Dat zegt cybersecurity adviseur Jort Kollerie van SecureLink, onderdeel van Orange Cyberdefense.
‘Cyberaanvallen worden steeds gerichter en geraffineerder.’- Jort Kollerie
Elke organisatie die met data werkt is een potentieel doelwit, zo stelt de expert. Als een kwaadwillende veel moeite moet doen om data te stelen bij een bepaalde organisatie, dan gaat hij voor een makkelijker prooi. ‘De inbreker kiest toch ook de woning die het slechtste is beveiligd. Laaghangend fruit is aantrekkelijk. In het verleden werd vaak gezegd: we zijn geen grote organisatie, dus we zijn niet aantrekkelijk voor hackers. Die gedachte is nooit realistisch geweest.’
Organisaties zijn vooral bezig om het kasteel zo hoog mogelijk te bouwen met de dikste muren, maar ze vergeten dat de indringer ook een tunnel kan graven en zo kan binnenkomen, zo vervolgt hij. ‘De indringer heeft meer tools en resources en geduld dan ooit. Een aantal jaren geleden was malware een soort clusterbom, die ongericht en willekeurig schade aanbracht bij slachtoffers. Maar cyberaanvallen worden steeds gerichter en geraffineerder om bij hun doelwit te komen.’ Kollerie doelt hiermee op social engineering. Dat betekent dat mensen zo worden bespeeld dat zij een handeling uitvoeren die niet in hun voordeel is. ‘Er wordt ingespeeld op de emotie van de gebruiker. Emoties als nieuwsgierigheid, angst, urgentie, gierigheid en behulpzaamheid. Vaak gebruiken de aanvallers een combinatie van die emoties om het slachtoffer te bespelen. Denk aan het verzoek om je wachtwoord te wijzigen omdat je account verloopt. Dat lijkt attent en behulpzaam, maar het is bovenal inspelen op de angst om je account kwijt te raken. Het is een kwestie van vertrouwen winnen en dan toeslaan.’
Geen overbodige luxe
Hoe kun je je tegen deze ongewenste bezoekers wapenen? Kollerie: ‘Bijvoorbeeld door technische en fysieke trainingen te faciliteren. Met IT-beveiliging maken we een inhaalslag. We realiseren ons nu dat het gebruik van IT minder vanzelfsprekend is dan aanvankelijk werd gedacht. We gingen met de computer om alsof we nooit anders hadden gedaan. Vroeger werd er bij sollicitatiegesprekken nog wel eens gevraagd of iemand met Word en Excel uit de voeten kon. Dat is passé. Een overbodige vraag, want iedereen kan met een computer omgaan…. De werkelijke vraag is: kan iedereen zich veilig gedragen met een device en op het internet? Nee dus. Daarom is het geen overbodige luxe om medewerkers te trainen en te testen. Hoe herken je een phishing aanval? Hoe voorkom je ransomware?’ Dat laatste is ontwikkeld om systemen te infecteren en vervolgens de data te gijzelen door middel van encryptie. ‘Het is uiterst kwaadaardig omdat de data pas weer vrijgeven wordt wanneer losgeld in de vorm van bitcoins is betaald. Dit is overigens geen garantie, want je hebt te maken met criminelen.’ Belangrijk is dat je je bewust bent van de risico’s als internetgebruiker, stelt hij. Niet alleen in de werksfeer, maar ook privé. ‘En bij privé moet je onder andere denken aan de informatie die je deelt op het internet.
Allerlei mensen kunnen meelezen. Daar hoeft er maar een tussen te zitten met minder nobele bedoelingen, die met jouw informatie aan de haal gaat. Wees je ervan bewust dat zakelijk gebruik en privégebruik van IT steeds sterker met elkaar zijn verweven.’ Ondanks de digitale voordelen zoals beschikbaarheid in de cloud, adviseert Kollerie om altijd een off-line back up van data te maken. Een ander advies: zorgt dat je weet wat je moet doen in een total down situatie. ‘Als de boel platligt, moet je snel en adequaat kunnen handelen om de doorlooptijd en schade te beperken.’
Medische gegevens grotere goudmijn voor cybercriminelen dan creditcards
Het stelen van medische gegevens via hacken van zorginstellingen en universiteiten is voor cybercriminelen een lucratievere handel dan diefstal van creditkaartgegevens. Dat blijkt uit onderzoek van cybersecurity-specialist SecureLink in de VS. ‘Het is een kwestie van tijd voordat ook Nederlandse zorginstellingen doelwit worden van deze praktijken,’ zegt Jort Kollerie van SecureLink tegen BNR Nieuwsradio.
‘Het is een kwestie van tijd voordat ook Nederlandse zorginstellingen doelwit worden van deze praktijken.’- Jort Kollerie
Dat deze criminaliteit is verschoven van creditkaarten naar medische dossiers komt omdat medische data veel meer informatie bevatten dan financiële gegevens. Denk aan burgerservicenummers, burgerlijke staat, geslacht, verzekeringsgegevens en adressen waarmee identiteitsfraude of fraude bij zorgverzekeraars gepleegd kan worden.
Bovendien zijn eenmaal gehackte patiëntgegevens niet te blokkeren zoals creditkaarten. Naast persoonskenmerken zijn ook aandoeningen en medische ingrepen verhandelbaar. Criminelen gebruiken die gegevens om slachtoffers af te persen.
Zorg is makkelijk doelwit
De waarde van een medisch dossier ligt tussen de $100 en $1000, zo ontdekte het Amerikaanse zakenblad Forbes. Creditkaartinformatie wordt voor $1.50 verhandeld. Volgens cyberspecalist Kollerie van SecureLink zal deze praktijk overslaan op andere continenten, zoals eerder ook gebeurde met cyberaanvallen op de financiële sector.
Ook Nederlandse ziekenhuizen en andere zorginstellingen zullen doelwit worden. Kollerie: ‘De zorg is een makkelijk doelwit. De sector kent een open cultuur en zit midden in een digitale transformatie die de financiële sector al met veel pijn en moeite achter de rug heeft.’
Niet alleen criminelen houden zich bezig met diefstal van medische dossiers. Zo hebben cyberexperts sterke vermoedens dat bij de hack van 1,5 miljoen patiëntendossiers bij de grootste zorggroep in Singapore SingHealth, het de hackers te doen was om maar één medisch dossier; die van minister-president Lee Hsien Loong. De manier waarop de hack gepleegd werd zou er op wijzen dat er een natiestaat achter zou zitten.
Meeste datalekken van ziekenhuizen
In ons land is de zorg al enige tijd koploper datalekken, ook dit jaar weer zo blijkt uit de rapportage datalekmeldingen van de Autoriteit Persoonsgegevens. In de eerste helft van 2019 ontving de deze toezichthouder bijna 12.000 meldingen van datalekken. Het gaat om ongeveer 2.000 meldingen per maand. Als deze trend zich voortzet verwacht de Autoriteit Persoonsgegevens voor heel 2019 een stijging van 14 procent ten opzichte van 2018.
Het grootste aantal datalekmeldingen binnen de zorgsector komt van ziekenhuizen (23%) en apotheken (22%). De meeste meldingen worden gedaan na het verzenden van persoonsgegevens aan de verkeerde ontvanger. Kleinere zorginstellingen, zoals gezondheids- en welzijnsorganisaties (24%), maatschappelijke dienstverlening (15%) en tandartsen (6%), melden vaker datalekken door hacking, malware of phishing dan grotere zorginstellingen. Bij meer dan de helft van de incidenten betrof het gegevens van een persoon.
Ik heb niets te verbergen!
Je ziet het pas als je het door hebt. In een wereld vol digitale technologie is beveiliging en privacy wel degelijk veranderd. Maar ondanks alle oplossingen om ons te beveiligen, nemen de security incidenten alsmaar toe. Zien de gebruikers het echte gevaar (op de lange termijn) nog niet in of beschouwen zij dit als complex en beperkend? Zijn wij uit het oog verloren wat wij nu écht moeten beschermen?
Op 13 maart 2019 in de Van Nelle Fabriek te Rotterdam heb ik een presentatie verzorgd op de Security Bootcamp van SecureLink. “Ik heb niets te verbergen” wordt veelvuldig gezegd door menig persoon. Ook voorafgaand van mijn presentatie heb ik dit gehoord, maar na mijn presentatie waren de meningen zeer verdeeld. Trots om voor zo’n groot publiek te mogen inspireren en informeren over bewustzijn van beveiliging en privacy met behulp van moderne technologie. Het is gewoon een kwestie van tijd…
De praktijk in de klas bij informatica
Het Bertrand Russell College in Krommenie heeft mij uitgenodigd om tijdens de informaticalessen van de 1e klassen een gastles te geven. Tijdens deze lessen heb ik de leerlingen van deze leuke school inzage gegeven over het belang van security & privacy. Het was al snel duidelijk hoeveel informatie er online over hun (mogelijk) beschikbaar is en hoe makkelijk we geneigd zijn onze privacy prijs te geven, bijvoorbeeld om ‘gratis’ gebruik te kunnen maken van apps als Snapchat, Facebook enz. Met behulp van concrete voorbeelden heeft dit de leerlingen toch enigszins doen nadenken over hun eigen online activiteiten.
Check-In: Social Engineering
Wat doe je privé aan security? Wat voor informatie staat er online van jou? Je hebt waarschijnlijk niks te verbergen, dus sla je cookies op, accepteer je privacy voorwaarden net zoals iedereen met een simpele klik. Toch kan het zomaar gebeuren, hackers gebruiken jouw profiel om in te breken of op een andere manier te frauderen. Hoe dat kan, en wat men er mee doet is een vorm van hacken en een belangrijk onderwerp binnen internet security: Social Engineering.
InWork de zakelijke dienstverlener die professionals weet te vinden en te verbinden binnen IT en techniek, heeft onder andere mij gevraagd te spreken op hun eerste nieuwe kennissessie: Check-In. Met dit concept willen ze vanuit hun organisaties kennisdelen voor iedereen (personeel, professionals en klanten). Deze eerste editie werd gehouden op 6 juni 2018 In Utrecht (op het Shared Service Center van InWork) en tweede sessie op 7 juni 2018 in Amsterdam op het hoofdkantoor van InWork.
Op beide dagen trapte Carlos Hernandez (jr. Consultant Cyber Risk) af met zijn presentatie “Digitale weerbaarheid”. Daarna mocht ik stokje overnemen en in duidelijke taal uitleggen wat we wel te verbergen hebben. Als laatste heeft Rion Rijker, privacy jurist, de avond leuk afgesloten met het thema “misbruik van vertrouwen”.
Programmeren, maar hoe zit het nu met Security & Privacy?
Op uitnodiging een gastcollege gegeven over “Programmeren, maar hoe zit het nu met Security & Privacy” op het Metis Montessori Lyceum in Amsterdam. De have/vwo leerlingen waren enthousiast en de gevoeligheid op gebied van security/privacy was duidelijk te merken. De houding van “Ik heb niks te verbergen” sloeg al snel om. Het was me een genoegen om het bedrijfsleven dichter bij educatie te brengen en te zien welke investeringen er reeds zijn gedaan op het gebied van ICT op deze school.
De mogelijke keerzijde van Big Data…
Op uitnodiging heb ik vandaag een lezing mogen geven op het event Big Data Expo in de Jaarbeurs, Utrecht. Het event werd na een succesvolle start in 2015 voor de 2e keer gehouden en staat in het teken van “Big Data is overal”. Het onderwerp valt immers niet meer te ontkennen en is te vinden in iedere economie, sector of organisatie. In het verleden was dit het domein van een enkele specialisten of technici, maar is inmiddels een breed onderwerp dat prominent op de agenda staat van vele organisaties. Big Data Expo wil hierbij een bijdrage leveren door informatie, praktische handvatten, trends, case studies aan te bieden. Het merendeel van de lezingen ging over de ‘positieve’ toepassing en gebruik van Big Data, mijn lezing was daarentegen niet bepaald zaligmakend gezien de mogelijke risico’s.
‘Big Data is alleen maar aan het toenemen. Op gebied van security & privacy kijkt men voornamelijk naar de ‘legale’ Big Data van bedrijven en organisaties. Maar hoe zit het nu met de ‘illegale’ verzameling van data die verhandeld worden door bijvoorbeeld criminelen? Wordt dit al zodanig misbruikt en wat zijn hiervan de gevolgen?'- Jort Kollerie
Mijn titel voor de lezing ‘De mogelijke keerzijde van Big Data…’ had al de nodige interesse gewekt en zodoende mocht ik als 2e starten na Google in de Keynotezaal.
De presentatie is via Slideshare te bekijken en of te downloaden: https://www.slideshare.net/BigDataExpo/dell-jort-kollerie
Bijna alles is lek!
Security is belangrijker dan ooit. Toch zijn de informatiesystemen van lang niet elk bedrijf goed beveiligd. Hoe kan dat? Maar vooral: wat doe je eraan? “Dagelijks lees je op internet en in de krant over digitale bedreigingen. DDoS-aanvallen, hacks en uitbraken van ransomware bijvoorbeeld”, zegt Jort Kollerie, Security Specialist bij Dell Security. “Of je hoort van laptops die onbeheerd worden achtergelaten en waarop mogelijk vertrouwelijke data staan, zoals patiëntgegevens. Dan begrijp je wel dat security een belangrijk onderwerp is voor bedrijven.
Aantal bedreigingen groeit
Het aantal bedreigingen zal eerder toe- dan afnemen, stelt Kollerie. “Vergelijk het maar met de opkomst van auto’s en snelwegen. In de jaren vijftig van de vorige eeuw waren er weinig auto’s en dus weinig ongelukken. Tegenwoordig is dat andersom: veel verkeer en veel incidenten. Zo is het ook op de digitale snelweg. Daar wordt het alleen maar drukker. Ga maar na: bijna de gehele wereldpopulatie is via 2G met elkaar verbonden. Het aantal breedband/glasvezel-, 3G- en 4G-aansluitingen stijgt met een enorme snelheid. Dat kan niet anders dan tot meer ongelukken leiden. Bewust, dus door criminelen, of onbewust.'
‘We vertrouwen veel te vlug op de veiligheid van de nieuwste technieken'- Jort Kollerie
De mens als zwakste schakel
Zo’n onbewust digitaal ongeluk heeft in de ogen van Kollerie maar één oorzaak: de mens, de gebruiker zelf. “Die is namelijk de zwakste schakel . Als kuddedieren adopteren wij de nieuwste technieken vrij snel en gemakkelijk. Daarbij vertrouwen we veel te vlug op de veiligheid ervan. Maar helaas: bijna alles is lek!”
Bewust van alle risico’s
“Het is dus enorm belangrijk dat elke gebruiker zich bewust is van alle risico’s. Ik hoor zo vaak bij klanten dat ze nieuwe medewerkers een toegangspas, een laptop en wat toegangscodes geven. Daarbij gaan ze ervan uit dat die medewerker heus wel weet hoe hij met een computer en (vertrouwelijke) informatie moet omgaan.”
Volgens Kollerie is dat een misverstand. “Neem een telemarketingbedrijf, waar vaak studenten of vakantiewerkers werken. Die krijgen met een gigantische hoeveelheid vertrouwelijke data te maken, zoals namen en telefoonnummers van allerlei mensen. Hoe voorkomt het bedrijf dat de werknemers deze data niet kopiëren, delen of per ongeluk lekken? Echt, je kunt de allergrootste firewall hebben, maar die voorkomt niet dat de mens fouten maakt. De meeste incidenten kun je bijvoorbeeld met training voorkomen. Train de gebruiker in het omgaan met digitale informatie en de mogelijke gevaren.”
Kostenpost?
Overigens treft niet alleen de gebruiker blaam. De bedrijven zelf hebben security te lang als ondergeschoven kindje beschouwd. “Om eerlijk te zijn gebeurt dat nog steeds. Percentages kan ik niet geven, maar bij heel veel organisaties is het nog altijd niet goed gesteld met security. Dat heeft ermee te maken dat security vooral als kostenpost wordt beschouwd. Het is een investering die niets oplevert, ja, hooguit bescherming. En veelal zelfs extra irritatie bij een gebruiker, zoals de vertragingsfactor die optreedt bij de tweestapsverificatie bij het inloggen.”
‘In de afgelopen vijf jaar is Sony meerdere malen het slachtoffer geworden van onder andere hacks. De laatste keer zelfs extreem zwaar'- Jort Kollerie
Achteloze houding
Een voorbeeld van hoe zo’n achteloze houding tegenover security rampzalige gevolgen kan hebben, is Sony. “Nog geen tien jaar geleden zei de security-baas van Sony dat hij geen reden zag om zo’n 10 miljoen dollar te investeren in security. Omdat beveiliging hooguit 1 miljoen dollar verlies zou kunnen voorkomen. In de afgelopen vijf jaar is Sony echter meerdere malen het slachtoffer geworden van onder andere hacks. De laatste keer zelfs extreem zwaar, want die laatste hack resulteerde in publicatie van vele interne gegevens zoals filmbudgetten, films, passwords, burgerservicenummers, salarissen en andere gegevens van medewerkers. Kortom, het commerciële belang heeft bij Sony lang zwaarder gewogen dan het security-belang.”
Benader security proactief, niet reactief
Hamvraag: wat dan? Hoe moet je als bedrijf omgaan met security? De visie van Dell Security is kortweg: benader security proactief, en niet langer reactief. Kollerie legt dat uit: “Veel bedrijven reageren alleen. Die hebben te maken met een virus en kopen vervolgens een virusoplossing. Dan krijgen ze te maken met een hack en verbeteren ze de firewall. Dit is echter niet meer dan het plakken van pleisters achteraf met als gevolg dat er ‘silo’s’ ontstaan in het securityapparaat in een bedrijf.”
Security chain
“Het is veel beter om proactief security te benaderen. Door het koppelen en het laten samenwerken van verschillende securityoplossingen krijg je als het ware een ‘security-chain’, die wij shared context-aware intelligence noemen. Een goed voorbeeld van wat je hieraan hebt is de next step in bedreigingen.”
“Nu heb je nog te maken met massale aanvallen op het netwerk. Maar in de toekomst vinden meer gepersonaliseerde aanvallen plaats, op specifieke personen (social engineering). Een firewall houdt alle kwaad in principe tegen, maar laat geen alarmbel afgaan als de aanval op één persoon in een organisatie is gericht. Door de firewall te koppelen aan bijvoorbeeld het identity & access management-platform wordt dit wel inzichtelijk. Door vooraf gedefinieerde beveiligings- en beleidsmaatregelen kunnen de rechten van die gebruiker vervolgens proactief worden verlaagd tot nader onderzoek heeft plaatsgevonden.”
Hoe intelligent is jouw security-infrastructuur?
Informatiebeveiliging is complexer geworden en kan daarom ook niet meer volstaan met losstaande beveiligingsproducten. Toch wordt security als zodanig verkocht. Goede beveiliging realiseer je met een combinatie van verschillende oplossingen die met elkaar kunnen integreren, aangevuld met de juiste procedures en processen. Maar waar begin je als organisatie?
Bij het inrichten van een security-infrastructuur binnen organisaties wordt vaak de nadruk gelegd op authenticatie. Tokens, smartcards of biometrische oplossingen voegen in zekere mate een extra beveiligingslaag toe die het risico en misbruik van een verloren of gelekt wachtwoord verkleint. Helaas zorgt dit er niet voor dat gebruikers ook veiliger met informatie omgaan. Nog steeds zullen er mensen zijn die op onveilige links klikken of informatie buiten de bedrijfsinfrastructuur opslaan. Security-oplossingen moeten daarom intelligenter worden en dat kan alleen als ze op een geïntegreerde manier met elkaar gaan samenwerken.
Leren van grote hacks
Het is een pijnlijk feit dat bij vrijwel alle grote hacks in de media sprake is van reactieve security. De inbraken worden allemaal gemeld als het al veel te laat is. Pas dan zijn de getroffen bedrijven bereid om serieus in security te investeren. Het probleem is echter dat de ontwikkelingen in IT-security veel te snel gaan om de bedrijfsomgeving te beschermen met een paar gescheiden security-oplossingen. Je kunt wel een hoge kasteelmuur om je infrastructuur bouwen, maar als er geen informatie gedeeld kan worden tussen de bestaande beveiligingsoplossingen, is het onmogelijk om security proactief te benaderen. Stel dat er aan één kant van je organisatie herhaaldelijk door een hacker aan de deur wordt geklopt en deze informatie niet wordt gecorreleerd met andere monitoring of informatie tools, dan zul je nooit ontdekken dat er aan de andere kant misschien wel een heel leger klaar staat om binnen te vallen.
Menselijke factor
Het wordt steeds lastiger voor mensen om zonder de juiste tooling goede beveiliging te garanderen. Men moet immers steeds meer doen met minder mensen en middelen. En dat terwijl aanvallen steeds sneller, agressiever en complexer worden. Security moet verzekerd worden op alle niveaus binnen de infrastructuur, van het user-profiel en de authenticatie op een endpoint tot de verbinding naar het datacenter en de applicaties. Al deze oplossingen moeten onderling en op een intelligent manier informatie met elkaar kunnen delen, iets dat ook wel shared, context-aware intelligence heet. Door een dergelijke synergie te creëren tussen verschillende security-producten, kunnen organisaties hun security op een aanzienlijk hoger niveau brengen. Daarmee worden de risico’s van menselijke fouten verlaagd en heeft men meer grip en controle op de zowel de organisatie als de gebruikte security-producten.
Context is king
Zonder een geïntegreerde security-omgeving blijf je als organisatie reactief met security omgaan. Je koopt oplossingen als een firewall, iets voor encryptie en voor twee-staps verificatie, maar als die producten van verschillende leveranciers komen, werken ze vaak niet met elkaar samen. Beveiligingsrisico’s kunnen dan niet worden ingeschat op basis van de context. Neem bijvoorbeeld een firewall. Die registreert allerlei informatie over de toegang van gebruikers tot bepaalde content en applicaties en welke websites ze bezoeken. Maar bijvoorbeeld ook dat er malware wordt gedetecteerd, of dat ze onderdeel zijn van een botnet. Door deze intelligente informatie over specifieke systemen of users te integreren en delen met een Identity & Access Management-platform, krijgt je een soort security-analytics. Je kunt dan veel beter inschatten welke risico’s bepaalde gebruikers introduceren met hun
gedrag. Door hier policy’s voor op te stellen, zou je de rechten van zo’n gebruiker uit voorzorg (automatisch) kunnen verlagen. Dan praat je over proactieve security, mogelijk gemaakt door shared, context-aware intelligence.
We gaan te gemakzuchtig om met kwetsbaarheden
Zowat elke dag is er nieuws over security breaches en hacks en de implicaties hiervan voor bedrijven en mensen. Maar wat mij opvalt is dat deze hacks, buiten de security-vakmedia, langzaamaan niet meer als nieuws worden beschouwd door andere media. We weten dat we kwetsbaar zijn, maar we gaan er te gemakzuchtig mee om.
Vorig jaar werden door middel van een “spear phishing attack” honderden foto’s van Hollywoodsterren buitgemaakt. Wereldwijd hebben velen een poging gewaagd privé-foto’s of filmpjes van de gedupeerde sterren te zien. En heel recent kwamen de gegevens van inmiddels totaal 37 miljoen mensen op straat te liggen, die ingeschreven stonden bij Ashley Madison; een site die propageert dat het leven te kort is om geen affaire te hebben. Dit was ook wereldnieuws omdat dit op persoonlijk vlak mensen diep raakte. Naar waarschijnlijkheid hebben zelfs twee mensen waarvan de gegevens openbaar zijn gemaakt zich van het leven beroofd. Dit is natuurlijk bizar en triest.
IT is een commodity geworden
Maar er gebeurt meer op het gebied van security-aanvallen en data breaches. Er gaat eigenlijk geen dag voorbij waarin in de security-vakmedia te lezen is welke zakenbank of retailketen nu weer gedupeerd is door een Trojan Horse of andere vorm van malware. Het valt me alleen op dat steeds minder van de berichten die ik op bijvoorbeeld security.nl lees, ook zijn terug te vinden in de breder georiënteerde IT-media of zelfs de dagbladen. Het nieuws en de sensatie gaan er langzaam van af. IT is een commodity geworden die bij ons dagelijks bestaan hoort. En dat baart me zorgen. Mag ik een parallel trekken met de afschuwelijke beelden die de wereld in werden gezonden door IS? Een aantal maanden geleden beheerste dat alle nieuwszenders. Zelfs de beurzen reageerden op de opmars van de terroristen. Maar deze, nog steeds gruwelijke acties die elke dag nog steeds plaatsvinden, halen niet meer de headlines en zoals een aantal maanden geleden. We zijn er, hoe raar dat ook klinkt, aan gewend geraakt. Niet dat het minder eng is geworden; we weten ervan maar kijken de andere kant uit.
Gemak
Teruggaand naar IT-security denk ik dat er veel organisaties zijn die zich wel degelijk realiseren dat ze vulnerabilities in hun infrastructuur hebben. Zwaktes in programmatuur, defecten in apparaten of in routers die kunnen worden misbruikt om in het netwerk te komen. Of zero-day vulnerabilities waarvan we het bestaan nog niet eens kennen. Dit kwam duidelijk naar voren toen Hacking Team zelf werd gehackt. Organisaties die zich realiseren dat er eigenlijk geen gedegen en bijgewerkte security-toolset is, gaan er vanzelfsprekend van uit dat ‘die’ volgende hack toch niet bij hen zal plaatsvinden. Het gemak waarmee organisaties hiermee omspringen levert gevaar op. In mijn gesprekken met klanten merk ik toch dat er met het beschikbare budget eerder een keuze wordt gemaakt voor bijvoorbeeld uitbreiding van het server-park. De security-vernieuwing wordt dan weer een jaar opgeschoven. Dit is een bewust risico nemen; de focus ligt eerder op het maximaliseren van de bedrijfsdoelstellingen en minder op een bijgewerkte security-infrastructuur. Met alle gevolgen van dien.
Bewustwording
Er moet meer bewustwording rondom security komen binnen bedrijven; te beginnen bij de IT-verantwoordelijken. Men is vaak geneigd te zeggen dat de firewall voldoende bescherming biedt, maar vergeet dat bijvoorbeeld cryptolocker/ransomware in 80% van de gevallen binnenkomt via e-mail. Een simpele vraag die ik ook stel is of ze bekend zijn met password-retentie. Daar wordt een klant soms heel erg moedeloos van; hij is er zich wel van bewust maar weet het niet degelijk uit te voeren. Daarom moeten de IT-verantwoordelijken van bedrijven hun werknemers trainen in bewustwording over security.
Vergeet niet dat het gros van de recent afgestudeerden is opgegroeid met internet en behoort tot de zogenaamde ‘digital natives.’ Deze specifieke gebruikersgroep weet feilloos de weg in het digitale landschap, installeert en deelt naar lieve lust apps en beschouwt het bezit en gebruik van smartphones, tablets en laptops als volkomen normale gebruiksvoorwerpen. En hierin schuilt het gevaar van gemakzucht, daar waar het om security gaat. Onlangs zijn 225.000 iPhones van Apple geïnfecteerd met een nieuwe malware genaamd: KeyRaider. Hierdoor zijn vele financiële en inloggegevens verzameld van slachtoffers in diverse landen. Dat komt omdat mensen gebruik maken van telefoons die gejailbreaked zijn. Mensen gaan bewust hun iPhone openbreken om een customised operating system op hun smartphone te laden. Daarmee kunnen bijvoorbeeld features worden geïmplementeerd die Apple zelf (nog) niet heeft. Maar zo’n niet gesloten operating system brengt dus wel grote risico’s met zich mee. En het is weer het pure gemak waar mensen naar op zoek zijn.
Ondertussen treedt deze jonge generatie toe tot het bedrijfsleven. En hoe ‘digital savvy’ ze ook zijn, ze moeten wel, door onder andere interne trainingen, voldoende bewust worden gemaakt van gedrag waarover vaak niet goed wordt nagedacht. Gedrag dat de bedrijfs-security wel degelijk in gevaar kan brengen.