Denk niet dat u wél veilig bent...

In 2013 leek het alleen maar te gaan om de onthullingen van Edward Snowden. Ineens was de grootste cybercrimineel ter wereld gevonden: de NSA. Iedereen valt van verontwaardiging over elkaar heen. VN-moties zijn in de maak en privacy-activisten halen eindelijk hun gelijk. Intussen wijzen de Amerikanen en Australiërs Huawei de deur, wijzen de Canadezen Lenovo de deur inzake Blackberry, zetten de BRIC-landen een alternatief Internet op om aan de Amerikaanse invloed te ontkomen en zou Rusland gevaarlijke USB-sticks op de G-20 top hebben uitgedeeld. Met alles wat we inmiddels weten over virussen als Stuxnet, kunnen we vaststellen dat er een koude digitale wereldoorlog volop aan de gang is waarbij grootmachten over een indrukwekkend en groeiend arsenaal van digitale wapens beschikken. Tegelijkertijd ontbreekt het aan een democratische controle op deze middelen, waardoor men de bevoegdheden nogal ruim lijkt te interpreteren, met onder meer het gevaar van bedrijfsspionage als gevolg.

In de security-wereld vindt men het altijd prettig als het bewustzijn rond informatiebeveiliging binnen de organisatie, of

Peter Vermeulen is onderzoeker bij Pb7 Research.

klantorganisatie, wordt versterkt door opvallende incidenten. Maar de mate waarin deze kwestie het bewustzijn is gaan domineren, leidt de aandacht af van dreigingen die veel meer schade berokkenen aan organisaties. Kijken we bijvoorbeeld naar de hoeveelheid incidenten waarbij het Nationaal Cyber Security Centrum (NCSC) is betrokken binnen de overheid, dan zien we dat het aantal incidenten per kwartaal wat fluctueert, maar ook duidelijk toeneemt. Binnen het type incidenten zijn bovendien sterke verschuivingen waar te nemen. Was tijdens de vorige meting (van het tweede kwartaal van 2011 tot en met het eerste kwartaal van 2012) de malware-infectie al het meest voorkomende incident, een jaar later is een zeer sterke toename van deze incidenten zichtbaar. En terwijl bijvoorbeeld phishing voor het eerst wat afnam - als gevolg van ‘het nieuwe pinnen’ – en ook het uitlekken van informatie verminderde dankzij de nodige maatregelen, nam het aantal hack-pogingen juist weer sterk toe.

Figuur 1: Ontwikkeling incidenten bij de overheid (NCSC), percentage van totaal. Bron: Nationaal Cyber Security Centrum, 2013 “Cybersecuritybeeld Nederland, CSBN-3”.

Terwijl privacy de publieke discussie domineert en aan het security-veld trekt, is het dus zeker niet de enige uitdaging die sterk aan het groeien is. Aan de ene kant zitten komen cybercriminelen, die steeds beter georganiseerd zijn, almaar met nieuwe, steeds complexere dreigingen die steeds meer schade kunnen berokkenen. Aan de andere kant staat de klantorganisatie, die altijd, overal en op ieder apparaat toegang wil tot gevoelige bedrijfs- en klantinformatie en vinden dat IT dat zonder gezeur zou moeten accepteren. Het is dan ook niet vreemd dat security in 2013 en ook weer in 2014 bovenaan het lijstje staat van geplande IT-investeringen bij Nederlandse bedrijven.

Laten we de belangrijkste uitdagingen van de Chief Security Officer voor 2014 op een rijtje zetten.

Uitdaging 1: privacy

We kunnen er niet omheen: privacy opent de rij. De afgelopen jaren bleek uit diverse incidenten dat organisaties onzorgvuldig omgaan met privé-gegevens van klanten, werknemers en burgers. Bij veel organisaties ontbreekt het simpelweg aan het bewustzijn: wat mag er eigenlijk wel en vooral ook niet met persoonlijke gegevens? Hoe lang mag je persoonlijke data bewaren en gebruiken? Welke data heb ik eigenlijk en waar is die opgeslagen? Welke maatregelen wordt je geacht te nemen om data te beschermen? De roep van klokkenluiders om hier wat aan te doen, moest het voornamelijk hebben (streng gereguleerde sectoren daargelaten) van het waarschuwen voor imagoschade, iets wat pas echt tastbaar wordt voor organisaties als het een keer goed misgaat.

De klokkenluider krijgt in 2014 veel meer munitie. In Europa is al enige jaren een ontwikkeling gaande om data beter te beschermen. Sinds 2012 is er een meldplicht van kracht voor datalekken van elektronische communicatienetwerken en –diensten met boetes die op kunnen lopen tot EUR 450.000. Inmiddels staat een veel bredere meldplicht op stapel die van toepassing is op iedere publieke en private organisatie, waarbij dezelfde boete kan worden opgelegd aan iedere organisatie die zich niet aan de meldplicht houdt. Daar houdt het echter net op. Naar verwachting treedt in de EU begin 2014 de Algemene Verordening Gegevensbescherming (AVG) in werking die de bestaande meldplichten vervangt. Bij dataverlies kunnen organisaties torenhoge boetes krijgen van maximaal 5% van de wereldwijde jaaromzet tot EUR 100 miljoen (ja, de bedragen zijn op het laatst nog verder omhoog geschroefd), afhankelijk van wat het hoogste is. Organisaties die de gegevens van meer dan 5000 verwerken worden bovendien geacht om een privacy officer aan te stellen en er dient een pro-actief privacybeleid te worden gevoerd dat wordt vastgelegd zodat het gecontroleerd kan worden.

De meeste Nederlandse bedrijven zijn hierdoor wel wakker geschud (zie figuur 2) en geven een duidelijke tot hoge prioriteit aan het onderwerp. Ze hebben duidelijk op de radar dat  er nog ze niet klaar voor zijn. Maar één op de vier geeft verder aan dat ze al voldoende hebben geïnvesteerd in toegangs- en identiteitsbeheer ter voorbereiding, terwijl 60% aangeeft concrete plannen te hebben of aan het uitzoeken is welke maatregelen noodzakelijk zijn.

Figuur 2: Prioriteit Algemene Verordening Gegevensbescherming, Nederlandse organisaties met 50 of meer medewerkers. Bron: Pb7 Research, September 2013

Uitdaging 2: Prioriteit van security in de business

De meeste organisaties beschouwen security als een IT-probleem: het is aan IT of de IT-leverancier om de informatievoorziening veilig te houden en er wordt te gemakkelijk vanuit gegaan dat de veiligheid ook daadwerkelijk in orde is. Je ziet dit bij de grootste bedrijven – denk bijvoorbeeld aan KPN die vorig jaar struikelde over verouderde software in servers en routers, maar misschien nog wel het meest bij kleine bedrijven.

In een onderzoek onder bedrijven met maximaal tien PC’s, ontdekte Pb7 dat deze bedrijven onrealistisch klein inschatten dat ze in de komende 2 jaar met een beveiligingsincident te maken krijgen. Bijna 4 op de 10 kleine bedrijven schat de eigenaar/directeur de kans op schade door cybercrime op lager dan 1% in de komende twee jaar. Met andere woorden, deze organisaties denken dat minder dan eens in de 200 jaar ze schade door cybercrime zullen ondervinden. Nog eens 32% denkt dat de kans tussen de 1 en de 5% ligt, dus eens in de 40 tot 200 jaar.

Figuur 3: Hoe groot acht u de kans dat u in de komende twee jaar door cybercrime wordt getroffen, waarbij uw organisatie daadwerkelijk schade oploopt? Bron: Pb7 Research i.o.v. G Data, Juli 2013.

Uitdaging 3: Digitalisering van bedrijfsprocessen

De realiteit is dat beveiligingsincidenten steeds meer impact hebben. Nederlandse organisaties zijn volop bezig om bedrijfsprocessen verder te digitaliseren, worden daardoor steeds afhankelijker van IT en verzamelen en delen steeds meer bedrijfs- en privacygevoelige data op hun netwerk. De impact van bijvoorbeeld een DDoS-aanval, of een andere vorm van cybersabotage, op de continuïteit van bedrijfsprocessen wordt daarom steeds groter. Bovendien is het steeds meer de moeite waard om systemen illegaal binnen te dringen en data te ontfutselen.

Aangezien ook steeds meer “industriële” data en besturingssystemen worden ontsloten op netwerken, liggen nieuwe gevaren op de loer. Het afgelopen jaar zagen we een spectaculaire hack van de terminalcomputer in de Antwerpse haven, waardoor criminelen de kranen van de containerhaven konden gebruiken om een drugscontainer te laten verdwijnen. Het is een aankondiging van een nieuwe golf van geavanceerde cybercrime, voor zover we het nog cybercrime kunnen noemen. We zien in feite dat cybercrime een geïntegreerd onderdeel aan het worden is van de georganiseerde misdaad, terwijl maar weinig van deze “industriële” systemen echt “secure by design” zijn.

Uitdaging 4: De mobiele explosie

De tijd dat de PC dominant was om toegang te krijgen tot de informatievoorziening is definitief voorbij. Hoewel PC’s nog altijd een belangrijke rol spelen en zullen blijven spelen in het zakelijke landschap, is de PC niet meer alleen en steeds vaker ook niet meer het apparaat van de voorkeur. Hoewel de meeste IT-afdelingen en verantwoordelijken inmiddels overstag zijn gegaan en van alles en nog wat aan slimme apparaten achter de firewall toelaten, hebben ze de nodige moeite om alles goed onder controle te krijgen en te houden. Terwijl in een rap tempo slimme apparaten als smartphones en tablets een vaste rol opeisen in bedrijfsprocessen, zijn er qua beheer en beveiliging nog wel de nodige uitdagingen.

Terwijl in rap tempo nieuwe en verbeterde Mobile Device Management (MDM)-oplossingen over elkaar heen duikelen, hebben veel organisaties de grootste moeite om goede afspraken met gebruikers over veilig gedrag af te spreken. Dat wordt bemoeilijkt door de druk vanuit gebruikers om eigen apparatuur toegang tot het netwerk te geven (Bring Your Own Device). Terwijl veel managers dat uiteindelijk toelaten, ontstaat er wel onduidelijkheid over wie er verantwoordelijk is voor de beveiliging. Veel organisaties (in de figuur worden de antwoorden van organisaties met 1 tot 10 PC’s weergegeven) zeggen dat ze zelf voor de beveiliging zorgen. Maar een grote groep organisaties schuift deze verantwoordelijkheid terug naar de gebruiker, terwijl de aansprakelijkheid toch bij de organisatie ligt. Bovendien lijkt het er sterk op dat bij veel organisaties de beveiligingsmaatregelen erg gebruikersonvriendelijk, want te rigide, of juist nogal beperkt zijn en een schijnzekerheid creëren. De komende jaren zullen organisaties op zoek moeten naar de juiste balans tussen toegang en gebruikersvriendelijkheid versus veiligheid.

Figuur 4: Worden aan deze apparaten beveiligingseisen gesteld? Bron: Pb7 Research i.o.v. G Data, Juli 2013.

Uitdaging 5: Schaduw-IT

Veel IT managers en beveiligers hebben het gevoel dat het hek van de dam is. Het begon het met een zeurende manager en zijn Blackberry. Het werd gevolgd door een losgeslagen horde modieuze smartphones en tablets. Deze gebruikers namen vervolgens allerlei apps en clouddiensten mee de organisatie binnen, waardoor nu uiteindelijk hele business units IT-oplossingen uit de cloud afnemen buiten de IT-afdeling om. Waar bedrijven er niet in slagen om hier een lijn in te brengen, dreigen veel van deze schaduw-oplossingen niet te voldoen aan de minimale eisen die uw organisatie aan beveiliging stelt of moet stellen op basis van wet- en regelgeving.

Met de komst van de AVG, worden organisaties feitelijk gedwongen om paal- en perk te stellen aan deze wildgroei, omdat de gevolgen van falende schaduw-IT wel eens heel direct in de portemonnee te voelen zouden zijn. Simpelweg verbieden is geen lange termijnoplossing. Daarom zien we gelukkig dat steeds meer organisaties beleid beginnen te ontwikkelen rond schaduw-IT en Bring Your Own Software (BYOS) en op zoek gaan naar aggregatie-oplossingen, waarbij de nadruk in eerste instantie vooral op identiteits- en toegangsmanagement wordt gelegd.

Vooruitblik

Met het jaar wordt het ‘aantrekkelijker’ om als cybercrimineel je brood te verdienen en ‘leuker’ om de cyber-vandaal of –activist uit te hangen: de hoeveelheid data die de moeite van het stelen waard is, neemt exponentieel toe en de verstoring die je kan realiseren met een aanval heeft een steeds grotere impact op organisaties, gebruikers van diensten en zelfs de maatschappij. Tegelijkertijd liggen er grote gaten in de beveiliging, doordat organisaties er veel moeite mee hebben om schaduw-IT en BYOD onder controle te krijgen. Ook in 2014 is de gebruiker een van de grootste beveiligingsrisico’s en het is een utopie dat gedragsregels daar een sluitende oplossing voor kunnen bieden.

De belangrijkste vriend en vijand tegelijk van de CSO is de AVG. De AVG is de stok achter de deur om de controle terug te krijgen over de IT-omgeving. Tegelijkertijd moeten organisaties uitkijken dat ze zich niet teveel laten leiden door de vereisten van wet- en regelgeving. Wet- en regelgeving is noodzakelijk, maar loopt logischerwijs vrijwel altijd achter de feiten aan. Belangrijker is dat het security denken stevig ingebed wordt (of blijft) binnen de organisatie: dat duidelijk beleid wordt opgesteld, gebruikers erin worden getraind en dat innovatie zoveel mogelijk op basis van ‘secure by design’ plaatsvindt.

Terug naar de waan van de dag: het komend jaar zullen we veel diensten zien die met veel bombarie worden aangekondigd om je organisatie NSA-proof te maken. Deutsche Telekom heeft de aftrap gedaan en is een “clean pipe” dienst aan het voorbereiden die ook bereikbaar is voor het MKB om buitenlandse pottenkijkers buiten de deur te houden. Maar ook de Amerikaanse giganten als Yahoo!, Google, AWS en Microsoft laten van zich horen: ze zetten zich openlijk af tegen de spionagepraktijken van de Amerikaanse overheid en rollen plannen uit om spionage te bemoeilijken. Ook vergroten ze hun investeringen in datacenters binnen EU-landen om Europese klanten tegemoet te komen bij het voldoen aan wet- en regelgeving. Willen ze hun marktaandelen buiten de V.S. beschermen, dan zullen ze wel moeten. De slag om het Europese dataverkeer is begonnen.

Peter Vermeulen is directeur van onderzoeksbureau Pb7 Research