Het is tijd om anders te denken over databeveiliging
De oprichting van het Nationaal Cyber Security Centrum, de aanzwellende media-aandacht voor privégegevens die via het web op straat komen te liggen, en de toenemende angst binnen de maatschappij om gehackt te worden – allemaal voorbeelden van hoe cybercrime in Nederland zich ontwikkelt. Ik ben voorstander van de aandacht die cybercrime op dit moment krijgt, omdat de gevolgen ervan desastreus kunnen zijn voor elke onderneming.
De vraag is echter of de focus niet teveel ligt op het voorkomen van datalekken, terwijl dit voor moderne, complexe IT-omgevingen geen haalbare doelstelling is. De gedachte dat een inbreuk op een systeem te voorkomen is met technologie aan de rand van het netwerk, die criminelen buiten de deur houdt, is vandaag de dag niet meer houdbaar. Het is tijd voor een nieuw tijdperk: het ‘secure breach’-tijdperk.
Denk eens terug aan het harnas, de firewall van de middeleeuwen. Die was bestand tegen stenen en pijlen, maar toen de eerste vuurwapens opkwamen, was het afgelopen met de bescherming die het harnas bood. In de Tweede Wereldoorlog raakten oorlogsschepen verouderd door de opkomst van vliegdekschepen en tegenwoordig zorgt stealth-technologie ervoor dat de conventionele radar een beperkte functie heeft.
Het voorkomen van hacks is jarenlang de meest gangbare benadering geweest, terwijl het nu even nuttig en betrouwbaar is als destijds een harnas tegen een vuurwapen. Echter, mensen en organisaties houden niet van verandering. We zijn vaak bang om de dingen anders te doen dan we gewend zijn, zelfs als het overduidelijk is dat een andere aanpak beter is.
Maar het is echt tijd dat we accepteren dat een aanval, en daarmee vaak een inbreuk op een netwerk of systeem niet te voorkomen is. Organisaties moeten accepteren dat een hack vroeg of laat plaatsvindt en daar hun strategie op afstemmen, die uitgaat van het beschermen van de data.
Cybercriminelen zijn steeds vaker goed georganiseerd en eropuit om de beveiliging van organisaties te omzeilen. Ze beschikken over de kennis en de middelen om de zwakke plekken in de beveiliging van organisaties te vinden. Wordt een zwakke plek gedicht, dan zullen ze gewoon weer op zoek gaan naar een andere.
Het is dan ook zaak om datgene te beschermen, waar het aanvallers in veel gevallen om gaat: data. Daarbij is encryptie van informatie de doodsteek voor iedere aanvaller. Door de data zelf te beveiligen, maakt u het voor een aanvaller niet meer interessant om een inspanning te leveren. Die zal het dan bij een volgende deur gaan proberen. En als er wel wordt ingebroken, is er niks interessants om mee te nemen. Aan versleutelde data heeft de dief niks. Dat is een ‘secure breach’.
We moeten accepteren dat inbreuken nu eenmaal plaatsvinden doordat ze simpelweg niet meer te voorkomen zijn. Maar als we ze kunnen omzetten in een ‘secure breach’, is er veel gewonnen. Dan hoeft geen enkele organisatie zich zorgen te maken over een succesvolle aanval. Zorg dus voor processen die data volledig nutteloos maken zodra ze in verkeerde handen vallen.
Door Dirk Geeraerts, Regional Sales Director Benelux bij SafeNet
