Bijna alles is lek!

Security is belangrijker dan ooit. Toch zijn de informatiesystemen van lang niet elk bedrijf goed beveiligd. Hoe kan dat? Maar vooral: wat doe je eraan? “Dagelijks lees je op internet en in de krant over digitale bedreigingen. DDoS-aanvallen, hacks en uitbraken van ransomware bijvoorbeeld”, zegt Jort Kollerie, Security Specialist bij Dell Security. “Of je hoort van laptops die onbeheerd worden achtergelaten en waarop mogelijk vertrouwelijke data staan, zoals patiëntgegevens. Dan begrijp je wel dat security een belangrijk onderwerp is voor bedrijven.

Aantal bedreigingen groeit

Het aantal bedreigingen zal eerder toe- dan afnemen, stelt Kollerie. “Vergelijk het maar met de opkomst van auto’s en snelwegen. In de jaren vijftig van de vorige eeuw waren er weinig auto’s en dus weinig ongelukken. Tegenwoordig is dat andersom: veel verkeer en veel incidenten. Zo is het ook op de digitale snelweg. Daar wordt het alleen maar drukker. Ga maar na: bijna de gehele wereldpopulatie is via 2G met elkaar verbonden. Het aantal breedband/glasvezel-, 3G- en 4G-aansluitingen stijgt met een enorme snelheid. Dat kan niet anders dan tot meer ongelukken leiden. Bewust, dus door criminelen, of onbewust.'

‘We vertrouwen veel te vlug op de veiligheid van de nieuwste technieken'- Jort Kollerie

De mens als zwakste schakel

Zo’n onbewust digitaal ongeluk heeft in de ogen van Kollerie maar één oorzaak: de mens, de gebruiker zelf. “Die is namelijk de zwakste schakel . Als kuddedieren adopteren wij de nieuwste technieken vrij snel en gemakkelijk. Daarbij vertrouwen we veel te vlug op de veiligheid ervan. Maar helaas: bijna alles is lek!”

Bewust van alle risico’s

“Het is dus enorm belangrijk dat elke gebruiker zich bewust is van alle risico’s. Ik hoor zo vaak bij klanten dat ze nieuwe medewerkers een toegangspas, een laptop en wat toegangscodes geven. Daarbij gaan ze ervan uit dat die medewerker heus wel weet hoe hij met een computer en (vertrouwelijke) informatie moet omgaan.”

Volgens Kollerie is dat een misverstand. “Neem een telemarketingbedrijf, waar vaak studenten of vakantiewerkers werken. Die krijgen met een gigantische hoeveelheid vertrouwelijke data te maken, zoals namen en telefoonnummers van allerlei mensen. Hoe voorkomt het bedrijf dat de werknemers deze data niet kopiëren, delen of per ongeluk lekken? Echt, je kunt de allergrootste firewall hebben, maar die voorkomt niet dat de mens fouten maakt. De meeste incidenten kun je bijvoorbeeld met training voorkomen. Train de gebruiker in het omgaan met digitale informatie en de mogelijke gevaren.”

Kostenpost?

Overigens treft niet alleen de gebruiker blaam. De bedrijven zelf hebben security te lang als ondergeschoven kindje beschouwd. “Om eerlijk te zijn gebeurt dat nog steeds. Percentages kan ik niet geven, maar bij heel veel organisaties is het nog altijd niet goed gesteld met security. Dat heeft ermee te maken dat security vooral als kostenpost wordt beschouwd. Het is een investering die niets oplevert, ja, hooguit bescherming. En veelal zelfs extra irritatie bij een gebruiker, zoals de vertragingsfactor die optreedt bij de tweestapsverificatie bij het inloggen.”

‘In de afgelopen vijf jaar is Sony meerdere malen het slachtoffer geworden van onder andere hacks. De laatste keer zelfs extreem zwaar'- Jort Kollerie

Achteloze houding

Een voorbeeld van hoe zo’n achteloze houding tegenover security rampzalige gevolgen kan hebben, is Sony. “Nog geen tien jaar geleden zei de security-baas van Sony dat hij geen reden zag om zo’n 10 miljoen dollar te investeren in security. Omdat beveiliging hooguit 1 miljoen dollar verlies zou kunnen voorkomen. In de afgelopen vijf jaar is Sony echter meerdere malen het slachtoffer geworden van onder andere hacks. De laatste keer zelfs extreem zwaar, want die laatste hack resulteerde in publicatie van vele interne gegevens zoals filmbudgetten, films, passwords, burgerservicenummers, salarissen en andere gegevens van medewerkers. Kortom, het commerciële belang heeft bij Sony lang zwaarder gewogen dan het security-belang.”

Benader security proactief, niet reactief

Hamvraag: wat dan? Hoe moet je als bedrijf omgaan met security? De visie van Dell Security is kortweg: benader security proactief, en niet langer reactief. Kollerie legt dat uit: “Veel bedrijven reageren alleen. Die hebben te maken met een virus en kopen vervolgens een virusoplossing. Dan krijgen ze te maken met een hack en verbeteren ze de firewall. Dit is echter niet meer dan het plakken van pleisters achteraf met als gevolg dat er ‘silo’s’ ontstaan in het securityapparaat in een bedrijf.”

Security chain

“Het is veel beter om proactief security te benaderen. Door het koppelen en het laten samenwerken van verschillende securityoplossingen krijg je als het ware een ‘security-chain’, die wij shared context-aware intelligence noemen. Een goed voorbeeld van wat je hieraan hebt is de next step in bedreigingen.”

“Nu heb je nog te maken met massale aanvallen op het netwerk. Maar in de toekomst vinden meer gepersonaliseerde aanvallen plaats, op specifieke personen (social engineering). Een firewall houdt alle kwaad in principe tegen, maar laat geen alarmbel afgaan als de aanval op één persoon in een organisatie is gericht. Door de firewall te koppelen aan bijvoorbeeld het identity & access management-platform wordt dit wel inzichtelijk. Door vooraf gedefinieerde beveiligings- en beleidsmaatregelen kunnen de rechten van die gebruiker vervolgens proactief worden verlaagd tot nader onderzoek heeft plaatsgevonden.”