Inhoudsopgave

1. De kortste weg naar paranoïde gedrag
2. Management van de angst
3. Welke aap komt hier uit de mouw?
4. Beveiliging is wel degelijk een serieuze zaak
5. Het VIR, ISO 2700X of NEN 7510
6. Verantwoordelijkheid nemen 

1. De kortste weg naar paranoïde gedrag

Als ICT’er zou je er toch gestoord van worden: Je bent als professional natuurlijk geabonneerd op tientallen nieuwsbrieven en uiteraard ook op vakbladen als Computable en AG. Die maken je duidelijk dat informatiebeveiliging intussen is gepromoveerd naar de champions league van aandachtspunten en daarin voortreffelijk scoort:

• Het is puur geluk dat er nog iets in de informatievoorziening werkt.
• Het is onwaarschijnlijk dat je morgen geen probleem hebt.

Ter illustratie kunt u hieronder de koppen lezen, zoals die werden gepubliceerd in één van de wekelijkse nieuwsbrieven van www.security.nl. Men slaagt er bij security.nl in om wekelijks een hoeveelheid nieuws te verspreiden, die niet onderdoet voor spam. Feitelijk is het erger dan spam; het komt namelijk serieus over. Eigenlijk raden wij u aan dit hoofdstuk niet verder te lezen (hooguit te scannen) en direct door te gaan naar hoofdstuk 2:

• Kopieerbeveiliging beschermt Trojaans paard
  De makers van de beruchte Zeus Trojan hebben hardwarematige kopieerbeveiliging aan hun creatie toegevoegd, om zo illegaal gebruik tegen te gaan.
• Microsoft “fixt” Internet Explorer-lek
  Microsoft heeft voor het meest recente zero-day beveiligingslek in Internet Explorer een handige oplossing uitgebracht.
• FBI meldt explosieve stijging internetfraude
  De schade door internetfraude is vorig jaar meer dan verdubbeld, zo blijkt uit cijfers van de FBI”
• “Add-ons bepalen veiligheid browser”
  Miljoenen Windows gebruikers krijgen deze week de vraag welke browser ze willen gebruiken, maar wie echt veilig wil zijn kan beter naar de juiste add-ons kijken.
• Turkse politie arresteert 23 PKK-hackers
  De Turkse politie heeft 23 Koerdische hackers gearresteerd die onderdeel van het “Cold Attack Team” uitmaakten en banden met de PKK hadden.
• “Chinese hackers hebben meer IE-lekken in petto”
  De manier waarop het nieuwste zero-day beveiligingslek in Internet Explorer is gebruikt, is een aanwijzing dat de aanvallers over nog veel meer exploits beschikken, volgens een bekende beveiligingsexpert.
• “Zwarte patchdinsdag Microsoft in april”
  De patchcyclus van maart ligt nog geen drie dagen achter ons, maar volgens beveiligingsexpert Andrew Storms kunnen systeembeheerders voor april hun borst nat maken.
• “BIM-wet bedreigt privacy Belgen”
  Belgische advocaten maken zich ernstig zorgen over een nieuwe wet die inlichtingendiensten vrij spel geeft om de staat te beschermen. 
• Microsoft ziet explosie van Zeus-bots
  Het aantal infecties door de Zeus-bot is de afgelopen drie maanden explosief gestegen, zo blijkt uit cijfers van Microsoft.
• Apple patcht 16 lekken in Safari
  Apple heeft een nieuwe versie van de Safari browser uitgebracht die in totaal 16 beveiligingslekken verhelpt, waardoor aanvallers kwetsbare systemen kunnen overnemen. 
• Internet Explorer 0-day verstopt in spam
  Het nieuwe zero-day beveiligingslek in Internet Explorer werd voor de bekendmaking door Microsoft ook al in spamberichten gebruikt. 
• Gevangenisstraf voor 44-jarige virusschrijver
  Een Estse virusschrijver is wegens het schrijven van het Allaple malware veroordeeld tot een gevangenisstraf van 2 jaar en zeven maanden, daarnaast moet hij zijn slachtoffers 421.000 euro terugbetalen. 
• Expert: Googlehackers waren amateurs
  De hackers die bij Google en dertig andere bedrijven inbraken, hadden voldoende aan een beetje geluk en amateuristische malware, dat zegt Gunter Ollmann van beveiligingsbedrijf Damballa. 
• Nep-virusscanner vermomt zich als Windows Update
  Er is een nieuwe nep-virusscanner in omloop die zich voordoet als Windows Update.
• Seoul en Bombay zwaarst getroffen door mega-botnet
  Het bijna 13 miljoen computers tellende Mariposa botnet heeft in Seoul en Bombay de meeste slachtoffers gemaakt, zo blijkt uit statistieken van Panda Security.

De rest zullen we u besparen, maar de wekelijkse portie is uitgebreider. Op elke aankondiging kun je ook nog doorklikken, waarna de kans bestaat dat je subiet in een depressie raakt, vanwege de ICT-ellende in deze wereld.

2. Management van de angst

Het is een bekende truc: Zaai angst en je zult succes oogsten.
Osama Bin Laden deed het. Hij is het meest bekende voorbeeld, op de voet gevolgd door George W. Bush. Waar het op neer komt, is dat angst tegenwoordig vaak bewust geëxploiteerd wordt door partijen, om er zelf beter van te worden. (Zie ook ‘Angst tegenwoordig het enige echt werkende marketingwapen’.)
Iedereen weet dat tweederde van de beveiligingsincidenten wordt veroorzaakt door interne medewerkers. Van de externe dreigingen wordt 80% veroorzaakt door het feit dat organisaties zelf de deur open hebben gelaten. Het gaat dan dus om insluiping en niet om inbraak. Ondanks vaak zeer geavanceerde beveiligingsmiddelen kan de insluiper gewoon naar binnen wandelen, zonder last te hebben van de beveiligingswal. Slechts 6% van het totaal aan beveiligingsincidenten is te beschouwen als een bewuste, externe inbreuk, die veelal ook nog uitgevoerd wordt onder het motto: als we maar genoeg organisaties aanvallen (met virussen enzovoort), dan treffen we ongetwijfeld doel.
Als we met deze feiten in het achterhoofd nu nog eens kijken naar de lijst in hoofdstuk 1, lijkt het opsommen van al die incidenten weinig meer dan het managen van angst voor zaken die u waarschijnlijk niet zullen overkomen of raken. 

3. Welke aap komt hier uit de mouw?

Natuurlijk hebben wij eens even gekeken naar de partij achter security.nl. Wij vonden het volgende:
Exploitant van de site is een bedrijf dat zich oorspronkelijk profileerde als leverancier van wat tegenwoordig gezien zou worden als elementaire internet diensten. Over zijn eigen ontwikkeling schrijft dit bedrijf:

Waar organisaties niet langer een partner konden vinden in de grote internet service providers, wanneer zij meer geavanceerde eisen stelden, groeide onze organisatie dankzij het bekwaam en flexibel ondersteunend personeel. Beveiliging was, en is nog steeds, een gebied waar onze klanten speciale aandacht aan geven. Wij ontwikkelden verschillende unieke beveiligingsproducten en -diensten voor onze klanten. In de loop der tijd zijn wij hierdoor de leider geworden in de Nederlandse digitale beveiligingsindustrie. Tegenwoordig vormen wij de thuisbasis voor vele complexe e-mail en webdiensten, die wij huisvesten voor organisaties die het beste eisen in termen van digitale beveiliging, beschikbaarheid, en verbindingssnelheid voor zichzelf en hun klanten. Onze e-mail en secure web hosting diensten zijn complementair met een breed scala aan diensten, om een complete digitale beveiligingsoplossing te kunnen leveren voor elke organisatie.

Hier komt dus de aap uit de mouw. Toen succes met internetdiensten uitbleef, heeft dit techneutenbedrijf het productportfolio uitgebreid met allerlei beveiligingsproducten, waarvan men ook nog beter dan de klant wist hoe ze werkten.
Op zich is het knap, dat men er iedere week opnieuw in slaagt te komen met zo veel beveiligingsellende om de doelgroep onder druk te houden. Het zal dit bedrijf dus niet overkomen, dat als een beveiligingsincident optreedt, dat gerekend kan worden tot de zes procent die te beschouwen is als een bewuste, externe inbreuk, men niet kan zeggen: “Daarvoor hadden we toch al gewaarschuwd in onze nieuwsbrief!”. 

4. Beveiliging is wel degelijk een serieuze zaak

Met bovenstaande willen we niet aangeven dat beveiliging niet een serieuze zaak zou zijn. Maar we moeten het niet ingewikkelder maken dan het is. Laat u zich vooral niet gek maken door bureaus die gespecialiseerd zijn in 6% van het probleem. Dan loopt u het risico dat die andere 94% van de beveiligingsrisico’s aan uw aandacht ontsnapt.
Natuurlijk loopt u met uw ICT risico’s. Dat zal nooit veranderen. De essentie is echter niet dat u zich moet verdedigen tegen elke mogelijke dreiging. De essentie is risicobeheersing. Door beheersing van processen en afdekking van risico’s, door in elk geval de deur niet open te laten staan, komt u al heel ver. (Zie ook  ‘Informatiebeveiliging: van onbewust risico lopen naar bewust risico nemen’.) Die collega drie kamers verderop vormt in feite een veel groter risico dan al die ellende in hoofdstuk 1.
ICT’ers zijn gek op nieuwe technologische speeltjes. Als ze de argumenten vinden om die speeltje aan te schaffen, experimenteren ze er graag mee. En argumenten zijn er volop. Sterker nog, ICT’ers merken dat ze macht krijgen binnen hun organisatie, wanneer ze continu meedenken in de bedrijfsrisico’s.
Natuurlijk kan de business niet beoordelen in hoeverre beveiligingsrisico’s echt tellen. Men wil er in elk geval geen last van hebben. En om een eventueel slecht geweten te voorkomen, in geval er incidenten optreden, mag de ICT’er zijn speeltje hebben.
In feite geldt voor de ICT’er iets dergelijks. Hij kan wel beoordelen of er kans is op incidenten, maar totaal niet hoe groot die kans is en ook niet wat de daaruit voortvloeiende bedrijfsschade is.
Achter security.nl zit een commercieel bedrijf. De site echter lijkt een brancheorganisatie te representeren, en lijkt op grond daarvan betrouwbaar. En juist daardoor is het soort berichtgeving als op security.nl als een virus, en wel één van de ergste soort.
Uitgangspunt voor informatiebeveiliging is en blijft het risico dat bedrijfscontinuïteit in gevaar wordt gebracht of dat ernstige schade wordt aangericht. Bij dit laatste tellen vooral aansprakelijkheidsrisico’s. (Zie ook ‘Kosten en baten van beveiliging’.)
Dat de ICT-voorziening een keer even plat gaat, is geen punt. Dat gebeurt ook zonder externe bedreigingen wel eens. Dat bij u privé ingebroken kan worden is toch ook geen reden om uw huis te bepantseren, camerabeveiliging aan te brengen en nog 10-20 maatregelen door te voeren? De beste verdediging is, een eventuele inbreker niet in de verleiding brengen om juist bij u in te breken. Want als die inbreker het echt op uw spullen heeft gemunt, dan zal hij ze krijgen, welke maatregelen u ook getroffen heeft. De achterdeur gewoon op slot doen is echter in veel gevallen afdoende. 

5. Het VIR, ISO 2700X of NEN 7510

Vaak is paranoïde gedrag met betrekking tot beveiliging er de oorzaak van dat het niet lukt om het Het VIR, ISO 2700X of NEN 7510 op een werkende manier te implementeren. De implementatie wordt meestal overgelaten aan beveiligingstijgers, die denken dat elk regeltje geïmplementeerd moet worden. (Zie ook ‘Hoe 400 maatregelen terugbrengen naar hooguit 20′.)
Beide voorschriften beginnen echter met de richtlijn, dat eerst via een risicoanalyse of een A&K-analyse de behoefte aan informatiebeveiliging vastgesteld moet worden. Juist daar gaan de meeste trajecten de mist in. De risico- of A&K-analyse wordt vaak op hoog niveau gedaan en daarna wordt besloten om de maatregelen over te nemen van de desbetreffende norm, zonder te kijken of voor de organisatie hiermee daadwerkelijk in een behoefte wordt voorzien. (Zie ook ‘ISO 27001 of 27002 ‘lean en mean’ implementeren als security management systeem’.) Men weet heel goed dat de implementatie van honderden maatregelen niet gaat lukken, maar men heeft in elk geval aan specialisten de opdracht verstrekt om de problematiek conform de norm aan te pakken. Het management heeft zich nu ingedekt en kan weer lekker slapen. 

6. Verantwoordelijkheid nemen

Het gaat echter niet om maatregelen, maar om beveiliging.
Zowel voor het management als voor de informatiebeveiligers geldt, dat ze hun verantwoordelijkheid moeten nemen. En daarbij is risicoreductie tot nul niet haalbaar. De enige vraag die telt: Wat zijn de risico’s voor de bedrijfscontinuïteit en wanneer zijn deze onacceptabel? Dat is voor het management te begrijpen, en dus hoeven geen moeizame Awareness-trajecten uitgevoerd te worden. (Zie ook ‘Informatiebeveiligers verpesten iedere awareness’.)
En als het gaat om bedrijfscontinuïteit, dan is het niet moeilijk managers te betrekken in het in kaart brengen van de risico’s, mits je ook daadwerkelijk praat over risico’s. Additioneel voordeel is dat je dan ook niet hoeft te praten over honderden maatregelen, maar over meestal slechts 10-20. (Zie ook ‘Business continuity los je niet op met preventie’.) Dan lukt het ook het benodigde commitment te verkrijgen om die maatregelen te implementeren en werkend te maken, die het meest bijdragen aan de informatiebeveiliging, door de beperking van bedrijfsrisico’s.
De ICT-afdeling kan dan doorgaans gewoon verder, mits het beheer goed is ingericht, de normale beveiligingsvoorzieningen getroffen zijn en patches tijdig geïnstalleerd worden. Natuurlijk kunnen er dan nog 10.000 dingen fout gaan, maar het is zinloos om deze te reduceren naar 9990.
Kortom, laat u niet gek maken door angst, die gezaaid wordt door bedrijven die omzet willen oogsten.

Oorspronkelijk versie: 5 oktober 2007.  Herziene versie: 29 maart 2010

Download: