22-02-2014

'Onderschat het effect van cybercrime niet'

 

Tachtig procent van de Nederlandse bedrijven ziet geen gevaar in cyberaanvallen. Toch staan de kranten vol met nieuws over bedrijven, organisaties en overheden die gedupeerd worden door cybercriminelen. Minister Opstelten heeft de Tweede Kamer zelfs in een brief gewaarschuwd voor de gevolgen van cybercriminaliteit en cyberspionage voor de Nederlandse economie.  Tijdens de meest recente kennissessie van Trend Micro discussieerden de deelnemers dan ook over de risico's van cybercrime, en de gevolgen daarvan voor de IT-infrastructuur.

De directe aanleiding voor het organiseren van deze sessie zijn de uitkomsten van het project 2020. Hierin werkt Trend Micro samen met onder meer het International Cyber Security Alliance (ICSPA) en Europol, met als doel vooruit te kijken naar de toekomst van cybercrime in het jaar 2020. Hoe ziet onze samenleving er uit aan het einde van de het decennium? Hoe zullen we als bedrijf onze klanten identificeren, onze diensten beheren en onze gevoelige data beschermen?  Vertegenwoordigers van organisaties uit zowel de publieke als private sector discussieerden  onder leiding van dagvoorzitter Gerard Jongehuis over deze vragen.

Tonny Roelofs, directeur Nederland van Trend Micro: “Het gaat om mensen, processen en technologie. Security is een breed vraagstuk, alleen een antiviruspakket installeren is niet voldoende meer. Daarnaast is bewustwording in organisaties belangrijk. Hoe ga je om met risicobewustzijn? Alle drie de aspecten van security zijn belangrijk. Uiteindelijk hebben we allemaal dezelfde vijand. Tijdens de kennissessie willen we kennis delen.”

Implicaties

Het eerste thema dat aan bod kwam was de DDOS-aanval, een fenomeen dat relatief veel in het nieuws is, en zowel implicaties heeft voor security als imago van organisaties. Dit riep de vraag op of cybercrime nog steeds abnormaal is, of onderdeel van onze samenleving. Zorgt een DDOS-aanval nog voor imagoschade, of weten mensen ondertussen dat het kan voorkomen? De deelnemers waren het er over eens dat het in ieder geval belangrijk is om een eventuele aanval goed uit te leggen, waarbij de samenleving ondertussen begrijpt dat het kan voorkomen. Aan de andere kant moet het niet te vaak voorkomen, want de drempel om online naar een concurrent over te stappen is zeer laag.

De aard van de gecompromitteerde data speelt hierin ook een rol. Informatie over welke boodschappen iemand heeft gedaan is over het algemeen minder gevoelig dan medische gegevens of de gegevens van kinderen. Het is belangrijk om daarin gradaties aan te brengen.  Het is dus zaak goed te bepalen welke data wordt beschermd, en hoe. “Wat is het single point of failure? En wat is het risico, wat valt er om?”, zegt een van de deelnemers. “Probeer je het slot te beschermen door de slotgracht dieper te maken, of zorg je dat de schatkist binnen beter wordt beschermd? Ik denk dat je dat laatste moet doen. Alles is met elkaar verbonden, onder meer door consumerisation wordt daardoor het gevaar ook groter.”

Het is hierbij altijd belangrijk dat op het hoogste niveau betrokkenheid is, bestuurders en het management moeten goed weten wat er kan gebeuren, en wat de risico's zijn. “In praktijk blijkt er veel onwetendheid te bestaan over de maatregelen die genomen zouden kunnen worden, en wat de gevolgen van bijvoorbeeld een DDOS-aanval zouden zijn. Ook daarom is een communicatieprotocol belangrijk, want als probleem door cybercrime in de media komen schaadt dat toch het vertrouwen in een organisatie. Het is belangrijk om betrokken medewerkers daarin te trainen.” Hier spelen social media een belangrijke rol. Iedereen kan reporter spelen, en dat heeft een organisatie niet in de hand. Dat is dus een aspect van security waar de communicatieafdeling bij betrokken zou moeten worden.”

Bewustwording en gedragsverandering

Naast de DDOS is er ook een gerichte aanval mogelijk, waar hackers de tijd voor nemen. Bijvoorbeeld uitgevoerd door een ontevreden werknemer. Hoe ga je daarmee om?

Daarin spelen zowel de factoren techniek als mens en cruciale rol. “Social engineering is een belangrijk aspect in het slagen van een dergelijke aanval. Het is lastig je daartegen te wapenen, als je een uitnodiging krijgt van iemand die je vertrouwt ben je geneigd die te openen.  Uiteindelijk is de beste beveiliging bewustwording en gedragsverandering.”

De discussie spitste zich vervolgens toe op de vraag wat verwijtbaar is. “De werknemer doet op zijn werk wat hij thuis ook doet. Om daadwerkelijk gedragsverandering te bewerkstelligen is in ieder geval periodieke herhaling van de trainingen of informatiesessie nodig. En dan veranderen ze ook thuis hun gedrag.”

Ook op juridisch vlak zal er nog een en ander veranderen. De nieuwste voorwaarden die banken hebben opgesteld rond digitaal bankieren leggen veel verantwoordelijkheid bij de eindgebruiker. Maar de deelnemers zijn het er wel over eens dat het maar de vraag is hoe lang dat standhoudt, de eerste rechtszaak moet hierover nog gevoerd worden, en de uitkomst van een rechtszaak zal een belangrijk precedent scheppen over die verantwoordelijkheid.

Bij bedrijven is het zeker zo belangrijk om verantwoordelijkheden helder te krijgen. Gebruikers zijn er direct bij betrokken, maar niet altijd duidelijk is wie uiteindelijk waarvoor verantwoordelijk is. Ook dat hoort goed uitgezocht zijn in organisaties, voordat er iets gebeurt. Wie is de probleemeigenaar?

Security hoort daarom altijd hoog op de wensenlijst te staan bij een aanbesteding of investeringsbeslissing. Dat vraagt bij ontwikkelaars om 'hygiënisch programmeren', dus langs een aantal richtlijnen de code bouwen. “Dan kost de security nauwelijks extra geld. Want pas als je het achteraf gaat inbouwen kost het veel geld, en krijg je de klacht dat security duur is.

Die theorie is mooi, maar de praktijk is weerbarstiger. In ieder geval moet je het altijd in het ontwerp meenemen, èn dat vervolgens testen.”

Kroonjuwelen

De overheid heeft veel last van zake als identiteitsfraude en identiteitsdiefstal door de georganiseerde misdaad. Een medewerker van de verheid zegt: “Waar het vooral om gaat is dat de data veilig is. Dat is de kern van het probleem. We zetten daarom in op dataclassificatie databeveiliging. Ongeacht waar de data staat moet die veilig zijn, dat is de richting waar we naartoe gaan. Het is een kwestie van tijd dat je gehackt wordt, dat kan gewoon gebeuren. De vraag is vervolgens, waar kan die hacker bij? De kroonjuwelen moten dan ook het beste beveiligd zijn, en zelfs beveiligd blijven als een hacker er onverhoopt mee vandoor gaat.”

Ook daarbij is het belangrijk de gebruiker te betrekken, “We hebben de afdelingen zelf laten bepalen wat de belangrijkste documenten zijn die beveiligd moeten worden. Daar is geen technische kennis voor nodig. In praktijk gaat dat goed, het is niet zo dat iedereen zijn eigen informatie tot de tien procent zwaarst beveiligde data ging rekenen. Dat heeft geleid tot vier classificaties, waarbij we bij de laagste twee categorieën het risico nemen dat die data naar buiten zou kunnen.”

Een collega van hem vult aan: “Je kunt niet meer volstaan met beveiliging van de periferie, want de mensen werken overal, en de data gaan mee. Ze blijven al niet meer binnen de poorten van het bedrijf. Het  is dus zaak om op het niveau van de data de beveiliging te regelen. Belangrijk is duidelijk beleid, dat is afgestemd met alle betrokkenen. Wanneer er dan en vraag ontstaat op het gebied van veiligheid zijn er twee mogelijkheden: je voert aanpassingen door, of je accepteert dat er een risico is. Dat is een managementbeslissing, waarbij de verantwoordelijkheid vervolgens bij de betrokken managers moet komen te liggen.”

Ook verzekeren is een optie bij het omgaan met de risico's van cybercrime. Een verzekeraar: “Gebruikers zijn bewust onbekwaam, daar moet je rekening mee houden. Ook in het verzekeren om risico's af te dekken. Je kunt je geld maar een keer uitgeven, dus of je koopt antivirus, en een firewall, of je koopt een verzekering. Virusscanners staan in budgetten nergens ter discussie, maar verzekeringen zijn nog zeker geen gemeengoed. Risicofinanciering kan echter een optimale beslissing zijn om de kansen op grote financiële impact te verminderen. Het een is niet beter dan het ander, het gaat erom wat het meest van belang is voor de organisatie. Verzekeren is gewoon een vorm van risicomanagement. Niemand verzekert omdat het zo leuk is.”

Zijn we in 2020 zo ver dat we ons over cybercrime geen zorgen meer hoeven te maken? Tonny Roelofs gaf een korte samenvatting. “Steeds meer apparaten zijn IP-based, en hoeveel impact gaat dat krijgen? Dat levert echter ook bepaalde risico's op, naarmate mensen meer afhankelijk worden van die connected apparaten. Roelofs verwacht dan ook niet dat we in 2020 zover zijn dat we alle risico's onder controle hebben. Dat vraagt vooral om een nieuwe manier van denken: het is niet veilig buiten, en hoe gaan we dat beveiligen. Wees bewust dat het internet niet veilig is, en dat het niet veilig gaat worden. Houd daar in de organisatie van security daarom rekening mee.”

(MvdH)

Bekijk hier een video-interview met Tonny Roelofs

 

Terug naar video overzicht

Tags

Security