ZBC Kennisbank

Techneuten vaak het probleem bij informatiebeveiliging

 

In veel organisaties wordt onmiddellijk naar de ICT-afdeling verwezen, als informatiebeveiliging aan de orde komt. Juist deze afdeling attendeert de organisatie immers continu op de risico’s die zij loopt, vanwege zwakke plekken in de techniek en die mogelijk dramatische gevolgen kunnen hebben. Trap er niet in. Zo erg is het niet.

De media die op dit terrein graag deskundig overkomen, huilen vaak lekker mee met de wolven in het bos. Van drama houden ze wel. Hun lezers/kijkers vinden dit immers leuk. En ze nodigen graag experts uit, die het verhaal nog wat aandikken. Die doen dat op hun beurt maar al te graag. Want een goedkopere marketing campagne kun je natuurlijk niet krijgen. Een gratis STER-spot van vele minuten. Wie wil dat niet?

Elk voordeel heeft zijn nadeel

Elk voordeel heeft zijn nadeel. Cruijff zei het andersom. Maar het is een bekend gegeven, dat elke medaille twee kanten heeft. Zo ook de ICT, die zich razendsnel ontwikkelde. Tegenwoordig is er voor vrijwel iedere toepassing een app beschikbaar, die je kunt krijgen voor vrijwel geen geld. Ik kan me nog goed herinneren, dat ik 35 jaar geleden zelf moest programmeren om de toepassing te krijgen, die ik wilde voor de leerlingen in mijn klas op een PC met minder geheugenruimte dan nodig is om één simpele foto op te slaan. Nu is dat ondenkbaar. De Wet van Moore betekende enorme kansen voor innovaties. Wizzkids spannen zich nog steeds dagelijks in om betere toepassingen te maken. Dat beveiliging daarbij van ondergeschikt belang was en is, is bijna vanzelfsprekend. En daardoor bevatten nu vrijwel alle ICT-middelen zwaktes die misbruikt kunnen worden. Maar is dat eigenlijk wel zo erg? Laten we de highlights van de afgelopen maanden er maar eens bij pakken.

Beveiligingslekken

Begin dit jaar (2018) werden we via de media opgeschrikt door Meltdown en Spectre: vrijwel alle processors die nu in gebruik zijn, bleken twee fundamentele lekken te bevatten.
Vervolgens gingen de media over naar een beveiligingsincident van heel andere orde: grote DDoS-aanvallen op banken en overheidsinstellingen, aanvallen waar alleen Nederland doelwit van was. Hoewel genoemde organisaties echt wel wat gewend zijn wat betreft aanvallen op hun wapenschild, lukte het de aanvaller(s) toch om de veelgebruikte sites even uit de lucht te krijgen. Sinsdien horen we vrijwel niets meer over die fundamentele lekken in de processoren. Het is nu DDoS wat de klok slaat. De ene na de andere expert moet in de media duiding geven, zoveel, dat soms de vraag opkomt of het wel een expert was die aan tafel zat. Hoe ging het vorig jaar ook alweer? Toen domineerden WannaCry, Petya, NotPetya elk een paar weken de media. Hebben bedrijven daar nu nog last van?
We zijn inmiddels weer een aantal maanden verder. En de kans is aanwezig, dat het spoedig niet meer zal gaan over DDoS, maar dat weer een ander incident het nieuws zal domineren. En telkens wanneer de storm is gaan liggen, rijst de vraag hoe erg het nu allemaal was. Van Meltdown en Spectre is nog geen misbruik gemaakt. Een DDoS is vervelend, maar buiten het platleggen van bepaalde websites, is verder geen misbruik vastgesteld.

Informatiebeveiliging is een proces

Natuurlijk is waakzaamheid geboden. Want er zijn nu eenmaal beveiligingslekken. Veel daarvan zijn nog niet bekend. Er is een incident nodig om ze zichtbaar te maken. Laten we maar hopen, dat jij niet degene bent, die getroffen wordt door dat incident. En daar kun je zelf een heleboel aan doen.
Zorg er ten eerste voor, dat je kunt traceren, dat er inbreuk gemaakt wordt op je beveiliging. Als je dat niet kunt, dan weet je sowieso niet of je veilig bent of dat er misschien iemand bezig is om je data of erger nog, die van je klanten en/of ketenpartners te jatten. Je bent in dat geval sowieso een onbetrouwbare partner. Wanneer je wel inbreuk kunt traceren, kun je dus zien dat er een incident plaats vindt.
Ten tweede moet je ervoor zorgen, dat je leert van die incidenten. Natuurlijk los je het incident op. Als het echter een ernstig incident is of als hetzelfde incident te vaak voor komt, dan zorg je voor een structurele oplossing. Meestal doe je dat door de oorzaak weg te nemen. Daarmee voorkom je, dat je dezelfde fout steeds weer maakt.
En daarmee komen we dan tevens op de zwakste schakel in dit proces: de gebruiker. Je kunt problemen niet oplossen door procedures en protocollen. Juist de meest loyale gebruiker kiest voor efficiency in plaats van voor beveiliging. Daarmee dient hij immers het bedrijfsbelang. En hoe meer procedures je maakt, hoe onverschilliger de gebruiker wordt. Verlos daarom die gebruiker van allerlei overbodige procedures en help hem. Geef hem verantwoordelijkheid, inzicht (zie ‘Informatiebeveiliging is helemaal niet zo moeilijk’) en basale kennis om stommiteiten te vermijden. (Zie ook ‘Online training informatiebeveiliging en privacy: de human firewall’).
En last but not least: als er een nieuw beveiligingslek ontdekt wordt, dan is er tegenwoordig vrijwel altijd zeer snel een patch beschikbaar, waarmee dat lek gedicht wordt. Dat kan vaak via een automatisch proces. Helaas zijn er nog te veel techneuten die vinden, dat zij het lek zelf moeten dichten. De schade die vorig jaar werd aangericht door WannaCry, Petya, NotPetya trof steeds bedrijven, waar techneuten deze mening toegedaan waren, waardoor men te laat was met het installeren van de beschikbare patches.

ISO 27001 of NEN 7510 prima hulpmiddel

Het is dus gevaarlijk om informatiebeveiliging over te laten aan techneuten. Zij denken en werken meestal incident-driven. Ze zijn daardoor uitstekend in staat om technische incidenten op te lossen. Hun zwakte ligt echter bij het beoordelen van risico’s. Ze slaan alarm als er weer een nieuw beveiligingslek opduikt en beschouwen dat dan direct als een groot risico. Ze beseffen vaak niet, dat het bedrijfsrisico bijzonder laag is. En ze zien de gebruiker als de bron van alle ellende. (Zie ook ‘Techneut en gebruiker snappen beiden niet hoe informatiebeveiliging werkt’.) Daarom ligt het niet voor de hand om de rol van security officer over te laten aan een techneut. Het is dus niet alleen, dat de techneut meestal niet de taal van de directie spreekt waardoor het moeilijk communiceert, ook redeneert hij vaak teveel vanuit de technische risico’s, zonder oog te hebben voor de bedrijfsrisico’s.
Procesgerichte benaderingen als ISO 27001 of NEN 7510 zijn heel geschikt om invulling te geven aan het opzetten van het managementsysteem voor informatiebeveiliging. Techneuten kunnen door hun ervaring een belangrijke rol spelen bij het opzetten van dit management systeem. Echter begint het probleem vaak, nadat het certificaat eenmaal behaald is. Want wie zorgt er dan voor, dat er gemonitord wordt op inbreuken, dat er geleerd wordt van incidenten en dat gebruikers steeds weer uitgedaagd worden om bij de les te blijven? Een dergelijke rol is doorgaans niet geschreven op het lijf van een techneut. Helaas zijn er intern vaak maar weinig alternatieven voor handen. (Zie ook ‘Security officer is vaak een hondenbaan’.) We zien informatiebeveiliging dan ook dikwijls stranden op het kerkhof van goede voornemens. En dat is niet doordat het zo moeilijk is, maar doordat het moeilijk gemaakt wordt. Nodig is dat niet. Een organisatie loopt wel grotere risico’s dan die op het gebied van informatiebeveiliging.

Door de krachtenbundeling met Kader kan ZBC naast het behalen van ISO 27001 certificaat in drie maanden nu op pragmatische wijze als parttime Security Officer helpen het ISMS in stand te houden en de waarde ervan te verhogen.
DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur(s): Wiebe Zijlstra | 31 maart 2018


Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *