Encryptie maakt het internet niet veiliger

Het ‘Snowden effect’ is één van redenen dat het gebruik van HTTPS het afgelopen jaar is verdubbeld. Steeds meer organisaties gebruiken inmiddels HTTPS. Na Google, Facebook en Twitter volgen ook Wikipedia en Reddit met nieuw ontwikkelde macOS-applicaties en sinds kort wordt dat gedaan door ’s werelds grootste krant de Washington Post.

Niet alleen organisaties in de commerciële sector stappen massaal over op HTTPS, ook de overheid gaat, wel of niet gedwongen, steeds vaker over op het gebruik van HTTPS. In een recent uitgegeven memorandum van de Amerikaanse overheid wordt vereist dat ze voor 2016 HTTPS moeten gaan implementeren voor hun websites en web services.

Toename gebruik HTTPS

HTTPS maakt gebruik van SSL/TLS-encryptie om de communicatie tussen websites en gebruikers te beveiligen. Dit biedt bescherming tegen afluisteren en ‘man-in-the-middle’ attacks, maar HTTPS kent helaas ook enkele beperkingen. Zo worden IP-adressen en domeinnamen van bestemmingen niet versleuteld tijdens de communicatie. HTTPS garandeert alleen de integriteit tussen twee systemen, maar niet de systemen zelf. Ook biedt het geen bescherming tegen een webserver die gehackt is of gecompromitteerd, noch kan de web service voorkomen dat gebruikers informatie wordt gehackt.

Certificate pinning

Om het versleutelde SSL-verkeer te kunnen ontcijferen en de inhoud van de data te kunnen lezen, moeten firewalls daarvoor geschikt zijn. De meeste grote organisaties hebben inmiddels Next Generation Firewalls in gebruik genomen, maar die zijn functioneel soms te beperkt, gezien de vereiste rekenkracht om SSL-decryptie toe te passen. Standaard maakt een SSL-verbinding gebruik van het beveiligingscertificaat van een server. SSL controleert echter niet of het certificaat in kwestie ook daadwerkelijk door de server wordt gebruikt. Dit vertrouwen tussen de computer en de remote server kan een beveiligingsriscico met zich meebrengen. Certificate pinning biedt een oplossing voor dit probleem. Met deze techniek wordt de SSL-verbinding eerst ontsleuteld en voorzien van een eigen certificaat, en
vervolgens weer versleuteld. Banken maken gebruik van SSL pinning voor een controleslag in de beveiliging naar de computer. Het dataverkeer van en naar banken kan dan ook niet geïnspecteerd worden door firewalls met SSL-decryptie, omdat ze van deze SSL pinning-techniek gebruik maken en zodoende de encryptie breken.

Let’s encrypt

Vertrouwt men op een uitgegeven certificaat van derden of is het mogelijk om zelf certificaten uit te geven? Een nieuwe ontwikkeling die hier op aansluit is het Let’s Encrypt-initiatief van de Linux Foundation, dat in september dit jaar gelanceerd zal worden. Dit maakt het voor elke gebruiker mogelijk om een http-server in te stellen die automatisch een browser-trusted certificaat genereert. Om dit mogelijk te maken draait er een certificate management agent op de webserver. Let’s Encrypt is een gratis, geautomatiseerde en open certificaat-autoriteit.

Aanpassing IT-architectuur

Wat veel bedrijven zich moeten afvragen is of hun IT-infrastructuur wel goed is voorbereid op de toename van HTTPS-verkeer. Waarschijnlijk is dit niet het geval, want de meeste organisaties hebben in de afgelopen jaren gekozen voor bescherming van hun netwerkinfrastructuur met technologie die enkel in staat is om informatie in platte tekst, waaronder HTTP- en FTP-verkeer, te inspecteren. Het is daarom noodzakelijk dat men de komende tijd versneld de transitie maakt naar geavanceerde en krachtigere Next Generation Firewalls, die in staat zijn om een hoog aantal DPI-SSL- connecties te ondersteunen. Dit soort apparatuur is namelijk wel geschikt om het HTTPS-verkeer te ontsleutelen en de data te controleren op malware en andere risciofactoren.

Er is nog een lange weg te gaan om encryptie standaard onderdeel te maken van het internetverkeer. De vraag is echter of dit de veiligheid op het internet in het algemeen zal vergroten. Ik denk dat dit zeer waarschijnlijk het geval is. Ongetwijfeld zullen hackers manieren weten te vinden om deze verbeterde beveiliging te omzeilen. Recent toonden onderzoekers van de KU Leuven nog aan dat RC4- encryptie (gebruikt in onder andere SSL/TLS) steeds makkelijker en sneller te kraken valt.


Overleeft onze privacy de wildwest-jaren van het internet?

Wat we onder privacy verstaan, is uiterst rekbaar. Tien jaar geleden waren we met z’n allen nog heel verontwaardigd over het plaatsen van camera’s in de openbare ruimte, maar tegenwoordig vinden we dat de normaalste zaak van de wereld. Er zitten echter grote risico’s aan dit afbrokkelende gevoel van privacy, waar we ook nu al de eerste gevolgen van zien.

Hoe we denken over privacy is vrijwel niet meer te vergelijken met pakweg vijftien jaar geleden. Denk maar aan de introductie van de mobiele telefoon. Toen de eerste toestellen in het straatbeeld verschenen, riepen er nog mensen dat ze zo’n mobiel niet nodig hadden. Bellen kon je immers thuis. En waarom zou je altijd en overal bereikbaar willen zijn? Toch werden die mobieltjes razendsnel populair. Inmiddels heeft iedereen er eentje en heeft vrijwel niemand er bezwaar tegen dat hij continu in contact staat met de rest van de wereld. Nu word je gezien als een hipster als je géén mobiele telefoon hebt.

Beveiligingscamera’s

Een vergelijkbare gewenning zie je op het gebied van je privacy. Toen we de eerste publieke beveiligingscamera’s verschenen, schreeuwden we nog moord en brand. Maar nu we er aan gewend zijn, bekommert niemand er zich nog om. Inmiddels worden zelfs de voordelen van deze camera’s geprezen: ze maken de buurt veiliger en lossen criminaliteit op. Nog duidelijker is die ontwikkeling te zien op het internet. Bedrijven als Google, Facebook en Whatsapp bieden gratis diensten aan en verzamelen daarmee constant gegevens van hun gebruikers. Door slim verbanden te leggen krijgen ze een uiterst gedetailleerd beeld van al die gebruikers en bieden op basis daarvan gepersonaliseerde reclames aan. Vijftien jaar geleden werden we hier heel erg kwaad om, maar tegenwoordig vinden we het de normaalste zaak van de wereld dat we onze persoonlijke data als wisselgeld gebruiken.

Verzekering en privacy

Een deel van je privacy inruilen voor een gratis dienst met gepersonaliseerde reclame is één ding. Maar de interpretatie van wat privacy is, lijkt nu steeds verder te versoepelen. En waar het stopt, is niet duidelijk. Ik heb daar wel zo mijn bedenkingen bij. Laatst las ik dat Kassa had uitgezocht dat ex-kankerpatiënten geen hypotheken meer kunnen afsluiten. Kanker, zo redeneert de verzekeraar, kan altijd terugkomen en een overlijdensrisicoverzekering zit er daarom niet in. En als je zo’n verzekering niet hebt, mag je ook geen hypotheek afsluiten. Dat de dokter een ex-kankerpatiënt genezen en gezond kan verklaren, wordt even vergeten. Ik vind dat een verschrikkelijk gevolg van ons verslapte besef over de waarde van privacy. Volgens mij bestaat er een serieus risico dat dit soort zaken in de toekomst steeds meer gaan voorkomen. Internetbedrijven verzamelen nu gegevens om reclame en marketing te personaliseren. Maar wat als ze die gegevens ook gaan gebruiken voor andere doeleinden? Wat gebeurt er als er databrokers ontstaan, die het nog makkelijker maken om gegevens te koppelen? En wat als wij al onze rechten op privacy dan al lang hebben opgegeven. Dat zijn volgens mij heel reële toekomstscenario’s.

Meren van data

Wie denkt dat de overheid onze privacy wel beschermt, heeft het mis. Het CBP, de instantie die toeziet op de naleving van privacy, heeft niet de mensen en juridische slagkracht om goede privacy-bescherming af te dwingen. Daar komt nog bij dat de wetgeving over privacy ook internationaal niet goed is afgestemd. En bovendien, hoe bereik je overeenstemming over een subjectief begrip als privacy? Daarnaast kunnen persoonlijke gegevens natuurlijk ook nog illegaal verkregen en verhandeld worden. We leven momenteel in de wildwest-jaren van het internettijdperk, omdat wettelijke kaders en standaarden nog grotendeels ontbreken. Het zou goed zijn als we die gaan optuigen. Waarom zouden we bijvoorbeeld bedrijven niet kunnen verplichten om gegevens met een bepaald veiligheidsniveau te beschermen? Alleen als we dit soort regels internationaal met elkaar afspreken, kunnen we echt gaan werken aan een betere privacy-bescherming.


Een veiliger internet begint met voorlichting voor gebruikers

Regelmatig berichten de media over het oppakken van hackers op verdenking van cybercrime. De vraag is of de overheid nog actiever zou moeten optreden tegen cybercrime. Zou het niet meer een proactief security-beleid moeten voeren in plaats van achteraf actie te ondernemen? Moet de lokale overheid actie ondernemen om de internetveiligheid te waarborgen en handhaven of is het beter om dit in internationaal verband te doen?

Om de overheid daarin te adviseren is onlangs een rapport uitgebracht door de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) over ‘de publieke kern van het internet’. Onder de ‘publieke kern’ verstaat men de verzameling internetprotocollen, waaronder de TCP/IP, DNS en routing. In dit rapport komt men tot de conclusie dat ‘overheden uiterst terughoudend moeten zijn met beleid, wetgeving en operationele activiteiten die ingrijpen in de kernprotocollen van het internet’. Het rapport stelt dat het beheer van deze publieke kern van het internet in handen is van een aantal organisaties, de ‘technische gemeenschap’ genaamd. Het rapport vermeldt dat het beheer in principe in goede handen is, maar dat er vanuit verschillende kanten druk wordt opgebouwd om daar verandering in aan te brengen. Waar die precies vandaan komt, wordt niet vermeld.

Neutrale zone

Een van de aanbevelingen is om een internationale norm op te stellen, waarin de centrale protocollen van het internet aangemerkt worden als een neutrale zone, en overheidsbemoeienis omwille van nationale belangen niet geoorloofd is. De gedachten gaan uit om bijvoorbeeld via de EU, OESO, VN en Raad van Europa in handelsverdragen een clausule op te nemen. Echter over het handhaven en controleren van de naleving van een dergelijke internationale norm, wordt met geen woord gerept. De vraag is of de naleving daarvan ooit gaat lukken. Nu al is het, ondanks alle technische middelen die ons ter beschikking staan, vaak lastig om te achterhalen wie er achter een cyber-aanval zit. De vraag is daarom of de aanvaller (lees: een overheid) voor een internationaal gerechtshof kan worden gesleept.

Haalbaar

Het rapport komt met veel aanbevelingen in de vorm van normen, waarbij de vraag is of deze realistisch dan wel haalbaar zijn. Het stellen van normen biedt absoluut geen garantie dat landen zich gaan houden aan deze afspraken. Neem als voorbeeld het verdrag tegen de verspreiding en verdere ontwikkeling en productie van kernwapens. Dat verdrag is door de meeste landen ondertekend, maar in het geheim gaan sommige landen gewoon door met de ontwikkeling van kernwapens, puur voor de ‘veiligheid’.

Begin bij de jeugd

Kunnen we dan helemaal niets doen om ons tegen het gebruik van het onveilige internet te beschermen? Jazeker, de oplossing ligt voor een groot deel aan de gebruikerskant. Zij moeten op de gevaren worden gewezen en op de mogelijkheden om hun veiligheid te vergroten. Dat kan al bij de jeugd beginnen door, net zoals verkeerslessen, lessen over internetveiligheid op te nemen in het onderwijs. Verder zou men kunnen denken een ‘rijvaardigheidsbewijs’ voor het gebruik van het internet. Wil men een (digitale) dienst afnemen bij de overheid of bank, dan moet men eerst een cursus volgen voor een veilig gebruik en het nemen van voorzorgsmaatregelen zoals firewalls en virusscanners. Dit is een veel effectievere aanpak dan het door de overheid laten uitvaardigen van normen in ‘de publieke kern van het internet’, die in de praktijk waarschijnlijk niet kunnen worden gehandhaafd.


De Next Generation Firewall moet hackers buiten de poort houden

Helaas zijn er nog steeds ondernemingen en organisaties die denken dat hun eerste generatie firewall nog een goede bescherming biedt tegen aanvallen van buitenaf. Wat ze niet weten is dat hackers steeds vaker gebruik maken van de openstaande netwerkpoorten om de inhoud van data packets te inspecteren. Op basis van deze informatie zijn hackers in staat om kritische informatie te verzamelen om gerichte aanvallen uit te voeren.

In een eerdere blog gaf ik aan dat een bedreiging kan worden veroorzaakt door kwaadaardige email, de zogenaamde spam en phishing. De traditionele ‘state full packet inspection’ van alleen packet headers, is een verouderde inspectiemethode die gebaseerd is op port filtering. Het biedt slechts een beperkte bescherming omdat het merendeel van het Internetverkeer nu via een web browser gaat op basis van slechts één standaard protocol (http of https). Internet services, van mail en streaming video tot social networking, gaan allemaal via dezelfde (altijd openstaande) poort 80 en/of 443.

De huidige en steeds vaker kritische zakelijke applicaties worden via de open poorten verstuurd, die voorheen gereserveerd waren voor een enkele functie (zoals http). De legacy firewall-technologie is in feite ‘blind’ geworden en niet in staat om een onderscheid te maken tussen het gewone http-verkeer en de nieuwe niet-http-services, zoals VoIP, Skype, Torrents, of Instant Messaging (IM). Het is dan niet verstandig om langer te blijven vertrouwen op de port en protocol- combinaties bij het bepalen welke netwerkapplicaties toegang hebben en welke niet. Tijd dus voor een firewall die in staat is om de inhoud van alle data packets te inspecteren om vast te stellen welke applicaties over welke poorten mogen gaan. Op basis daarvan zijn beslissingen te definiëren over welke applicaties wel of niet toegang hebben. Een dergelijke functionaliteit wordt geboden door de nieuwe generatie firewalls: de Next Generation Firewall (NGFW).

De nieuwe generatie firewall is met oog op de performance die geleverd moet worden gebasseerd op een hardware-apparaat dat in staat is om gesofisticeerde aanvallen te detecteren en blokkeren. Het maakt gebruik van security policies op zowel applicatie als op port en protocol-niveau. Het voegt een extra functie toe aan het beslissingsproces doordat het de details van het web-applicatieverkeer ‘begrijpt’. Aan de hand daarvan kan het actie ondernemen, bijvoorbeeld de blokkering van het betreffende netwerkverkeer of het genereren van een waarschuwing.

De nieuwe firewall-technologie omvat (naast de traditionele firewall-technieken): Intrusion Prevention System (IPS), Content Filtering System (CFS), Anti-Malware Prevention, DPI-SSL en Application Intelligence & Control (AIC). Deep Packet Inspection (DPI) is een geavanceerde methode van packet filtering die op de applicatielaag van het OSI-model functioneert. Met behulp daarvan zijn packets te vinden, te identificeren, te classificeren en packets met specifieke data of code payloads te blokkeren of om te leiden. Met deze techniek biedt een NGFW bescherming tegen malware, intrusions en exploits in applicaties. Ook door het toenemende gebruik van Web 2.0 en sociale netwerken (zowel voor zakelijk als persoonlijk gebruik), kan met behulp van beleidsregels voor individuele gebruikers en groepen een betere inzage verkregen worden in het verbruik van het netwerk- en applicaties. We spreken hier dan over netwerkoptimalisatie.

SSL wordt in toenemende mate inmiddels ook door cyber-criminelen gebruikt om detectie te omzeilen en malware te distribueren. Daarom hebben de meeste NGFW-firewalls de mogelijkheid om de met SSL versleutelde data packets te decrypten. De inspectie van de met SSL-versleutelde packets vergt wel het nodige van de system resources; de organisatie NSS Labs (https://www.nsslabs.com/next-generation-firewall-security-value-map-download) onderzoekt ieder jaar diverse leveranciers van NGFWs. En zij doen dit niet alleen op technisch vlak, maar ook bijvoorbeeld op papier (datasheet). Er zijn namelijk een aantal leveranciers die op papier pretenderen een bepaalde performance te kunnen leveren, terwijl dat in de praktijk helemaal niet het geval is.

De Next Generation Firewall

De nieuwe generatie firewall is met oog op de performance die geleverd moet worden gebasseerd op een hardware-apparaat dat in staat is om gesofisticeerde aanvallen te detecteren en blokkeren. Het maakt gebruik van security policies op zowel applicatie als op port en protocol-niveau. Het voegt een extra functie toe aan het beslissingsproces doordat het de details van het web-applicatieverkeer ‘begrijpt’. Aan de hand daarvan kan het actie ondernemen, bijvoorbeeld de blokkering van het betreffende netwerkverkeer of het genereren van een waarschuwing. De nieuwe firewall-technologie omvat (naast de traditionele firewall-technieken): Intrusion Prevention System (IPS), Content Filtering System (CFS), Anti-Malware Prevention, DPI-SSL en Application Intelligence & Control (AIC). Deep Packet Inspection (DPI) is een geavanceerde methode van packet filtering die op de applicatielaag van het OSI-model functioneert. Met behulp daarvan zijn packets te vinden, te identificeren, te classificeren en packets met specifieke data of code payloads te blokkeren of om te leiden. Met deze techniek biedt een NGFW bescherming tegen malware, intrusions en exploits in applicaties. Ook door het toenemende gebruik van Web 2.0 en sociale netwerken (zowel voor zakelijk als persoonlijk gebruik), kan met behulp van beleidsregels voor individuele gebruikers en groepen een betere inzage verkregen worden in het verbruik van het netwerk- en applicaties. We spreken hier dan over netwerkoptimalisatie.

NGFW en SSL-versleutelingSSL wordt in toenemende mate inmiddels ook door cyber-criminelen gebruikt om detectie te omzeilen en malware te distribueren. Daarom hebben de meeste NGFW-firewalls de mogelijkheid om de met SSL versleutelde data packets te decrypten. De inspectie van de met SSL-versleutelde packets vergt wel het nodige van de system resources; de organisatie NSS Labs (https://www.nsslabs.com/next-generation-firewall-security-value-map-download) onderzoekt ieder jaar diverse leveranciers van NGFWs. En zij doen dit niet alleen op technisch vlak, maar ook bijvoorbeeld op papier (datasheet). Er zijn namelijk een aantal leveranciers die op papier pretenderen een bepaalde performance te kunnen leveren, terwijl dat in de praktijk helemaal niet het geval is.

Tenslotte, NGFWs worden vaak nog als perimeter ingezet. Ze doen een prima job in het bewaken van de poort van en naar het internet. Maar wat als je hacker nu binnen zit? Tijd om na te denken om de NGFW ‘inline’ te plaatsen waarbij zowel north-to-south als east-to-west traffic geinspecteerd kan worden.


Security levert helemaal niets op, totdat…

Bij ondernemingen vormt security vaak het sluitstuk op de begroting. Immers, de CFO zal gelijk vragen wat het oplevert. Het antwoord zal ‘niets’ zijn. Want net zoals bij een verzekering is er geen return on investment. Totdat er zich een calamiteit voordoet want pas dan gaat het geld opleveren. Althans, er wordt nog steeds niets mee verdient maar het voorkomt dat men geld verliest. En reputatieschade en klanten en ga zo maar door.

Die calamiteit kan ook worden veroorzaakt door kwaadaardige email, de zogenaamde spam en phishing. Een grote ‘bolle’ webshop ondervond dat nog de afgelopen tijd. Hoewel een jaar geleden het bedrijf ook al werd getroffen door spam en phishing, was het deze keer weer raak. Kennelijk mankeerde er toch iets aan het mail security-systeem. Wat zou dat nou kunnen zijn?

DMARC de oplossing voor spam?

Om dat duidelijk te maken geven we een vergelijking met een huis dat is beveiligd met een firewall - in de vorm van een inbraakalarm - en camera’s die de hele omgeving in de gaten houden; de virusscanner. Alles lijkt goed beveiligd. Maar hoe goed dat huis ook beveiligd is moeten er altijd wel een paar ‘poorten’ open blijven; men wil toch mensen kunnen toelaten? Stel er belt een collectant aan en voordat we geld geven willen we zeker weten of deze collectant en de organisatie waar hij voor werkt echt is. Gelukkig zijn er steeds meer mensen die in zo’n geval alert zijn om naar een identiteitspasje te vragen. Diezelfde controle zou met email ook moeten gebeuren. Welnu, die techniek is er in de vorm van DMARC.

Wat is DMARC?

Domain-based Message Authentication (DMARC) is een techniek die vraagt naar de identiteit van de verzender van email. DMARC is een standaard waarin staat aangegeven hoe de ontvanger van email aan de hand van de wel bekende SPF en DKIM-mechanismen de herkomst van email kan verifiëren. De verzender geeft met DMARC aan dat de emails zijn beschermd door SPF en/of DKIM en vertelt de ontvanger wat deze moet doen als het niet door de SPF/DKIM-test komt. Deze policy wordt in het publieke Domain Name System (DNS) gepubliceerd en is voor iedereen beschikbaar.

DMARC heeft goede papieren

DMARC werd door AOL, Gmail, Hotmail en Yahoo! ontwikkeld en toegepast om hun klanten te beschermen tegen spam/phishing. De DMARC-specificatie werd aan de Internet Engineering Task Force (IETF) voor standaardisatie overhandigd op 31 maart 2013. DMARC wordt ondertussen al grootschalig toegepast. Enkele cijfers: begin 2012 werd DMARC al ruwweg voor 2 miljard email accounts gebruikt, 60% van alle emails wereldwijd en 80% van de mailboxen in de US. Dit waren 80,000 actieve domains. Meer dan 25 miljoen gespoofde emails werden in 2013 ontmaskerd. Outlook.com rapporteerde een afname van 50% aan kwaadaardige email. Twitter meldde dat 110 miljoen messages per dag hun domains spoofden. Na de invoering van DMARC waren dit er nog slechts 1,000 per dag. Dat is natuurlijk een ongelofelijke afname.

Wel of niet DMARC implementeren?

Natuurlijk. Per definitie biedt geen enkel (email-)beveiligingssysteem 100% zekerheid. Maar omgekeerd, zonder beveiliging, is er wel 100% zekerheid dat men vandaag of morgen een keer getroffen wordt door bijvoorbeeld spam/phishing emails en dat de gevolgen dan zeer nadelig kunnen uitpakken.


Security is: niet langer reactief pleisters plakken

Wat ik vaak bij organisaties neerleg zijn de onderbelichte kanten van security. Zoals bijvoorbeeld het Internet of Things. De meeste mensen zien dat als een consumentenontwikkeling: domotica thuis. Maar het Internet of Things doet ook zijn intrede bij organisaties, zoals ziekenhuizen. Er komen steeds meer apparaten die connected zijn of kunnen zijn. Denk naast thermostaten, in huizen én bedrijfspanden, ook alarmsystemen. Die apparaten geven ons voordelen, laten ons kosteneffectief werken. Maar ze brengen ook risico’s met zich mee.

Gebrek aan richtlijnen

Veel producten worden tegenwoordig zó snel op de markt gebracht dat security onderbelicht is. Daar zijn helaas ook geen richtlijnen voor. Voor stofzuigers bijvoorbeeld wel: die moeten qua vermogen en brandgevaar aan bepaalde regels voldoen. Voor de securitykant van connected devices is dat er helemaal niet. Terwijl er allang gespecialiseerde zoekmachines zijn die kwetsbare systemen in kaart brengen.

Uiteenlopende apparaten vallen af te luisteren, te manipuleren of zelfs geheel van malafide firmware te voorzien. In de Verenigde Staten zijn er al incidenten geweest in ziekenhuizen. Security-onderzoekers hebben daar niet alleen verkeerd geconfigureerde pc’s ontdekt, maar ook via internet benaderbare pacemakers, anesthesiesystemen en andere medische apparatuur. Europol heeft al gewaarschuwd dat we binnenkort de eerste cybermoord kunnen verwachten.

Regeren is vooruitzien en dat is moeilijk

Organisaties zijn qua security namelijk vaak bezig met ‘pleisters plakken’. Dat is een reactieve aanpak. Ze kijken niet voorbij de horizon. Regeren is vooruitzien, maar vooruitzien kan bijna niet in de IT. We weten niet wat eraan komt. Toch moeten we meer vooruitkijken, want de wereld verandert flink en snel. Vandaag de dag bezitten de meeste mensen gemiddeld twee devices: een smartphone en een laptop/tablet. Daar komt het Internet of Things straks nog bij. Onderzoeksbureau Gartner voorspelt dat we tegen 2020 wereldwijd 26 miljard connected devices hebben.

Ondanks die groei aan apparaten blijft de mens de zwakke schakel. Denk aan te simpele wachtwoorden, waarvan er complete databases in omloop zijn op underground-fora. Het komt dan ook grotendeels neer op opvoeding. Het is een probleem zoals de politie ook heeft: 100 procent veilig bestaat niet. Maar we kunnen en moeten daar wel naar blijven streven. Ik vroeg laatst bij een klant: wat doe je preventief? Wat doe je als je een nieuwe medewerker in dienst neemt? Het antwoord was: account aanmaken, rechten toekennen, toegangspasje geven, en klaar. Daar ontbreekt dus bijvoorbeeld een securitytraining: wat er wel en niet mag in de organisatie.

Je kunt wel de nieuwste of beste securitytechnologie in huis hebben, maar het gaat erom hoe mensen omgaan met data, devices en dergelijke. Als iemand voorkeur heeft voor een iPad en dan bestanden overhevelt via een eigen Dropbox-account om deze te bekijken, heb je al een mogelijk securityprobleem. Het probleem is dat niemand werknemers training geeft. Wel hoe je je werk moet doen, om het bedrijf winst te bezorgen. Maar niet hoe je dat securityminded moet doen.

Het gaat om mensen

Ondertussen probeert de IT-afdeling krampachtig om de hele organisatie veilig te houden. De kosten daarvoor zullen alleen maar de pan uitrijzen, tenzij organisaties echt op security gaan hameren. Iedereen denkt ‘Dat is een probleem van IT’, maar het is een kwestie voor de hele organisatie. Pleisters plakken kan iedereen. We moeten kijken waar we naartoe willen.