‘Laat het device los en richt je op de gebruiker’
IT-security is één van de vele dingen waar CIO’s mee worstelen, maar het verdient een centralere rol. Een omslag naar moderne beveiliging kan de business namelijk veel voordeel brengen, stelt Tonny Roelofs, country manager bij Trend Micro.
“We hadden ooit één device om te beveiligen”, vertelt de Trend Micro-landsdirecteur. Met op die ene pc één belangrijke toepassing, of hooguit een handjevol. Tegenwoordig is de wereld heel anders, qua IT-gebruik en dus ook qua beveiliging daarvan. “We moeten daarom van device-security over naar gebruikers-security”, stelt hij. “Ook vanuit compliancy.” Zo zijn in de zorg groepsaccounts niet meer toegestaan, geeft Roelofs aan, omdat daarbij immers niet valt te achterhalen welke persoon iets heeft gedaan in een systeem.
Welkom in de moderne wereld
De verschuiving in de IT-wereld om rondom de gebruiker te gaan werken, is volgens Roelofs onontkoombaar. Ooit kon de IT-manager nog wegkomen met botte afwijzing van een nieuwe technologie, device of product: ‘Dat supporten we niet’. Dat is geen haalbare kaart meer, zeg Roelofs, die zelf ooit technisch beheerder is geweest. De oogkleppen moeten echt af. De CIO van nu heeft te maken met drie belangrijke factoren, somt Roelofs op.
Ten eerste de veranderde gebruiker. Hij of zij gebruikt allerlei middelen, devices en diensten. Daarbij ziet die gebruiker dat als normaal; het verwachtingspatroon is heel anders dan vroeger, toen de werkgever de werkmiddelen bepaalde en verschaftte. “Kijk dus naar de gebruiker, richt je daarop”, tipt Roelofs. Anders loop je het risico van ‘wild gebruik’ van Dropbox of Google Drive, of van gebruikers die gevoelige documenten doormailen aan hun Hotmail-account, of die ze onwetend synchroniseren met hun Apple iCloud.
De tweede belangrijke factor waar de CIO mee om moet gaan, is de veranderde infrastructuur. De IT-omgeving van nu is heel anders, kan veel meer, en dat heeft consequenties voor security. Virtuele machines en clouds zijn mooie middelen om business-gedreven pieken op te vangen; flexibel en goedkoop. “Voor de business is dat prachtig! Vanuit security-oogpunt niet zo.” De vraag is namelijk welke - eventueel gevoelige - bedrijfsgegevens waar staan en waar ze heen gaan. Is de tijdelijke inzet van een publieke clouddienst wel in overeenstemming met de beveiligingsvereisten voor data?
De professionalisering van cybercrime
Tenslotte wijst Roelofs op de derde factor die de CIO security-kopzorgen geeft: de veranderde aanvaller. Die is geëvolueerd; niet langer een buitenstaander die een los mailtje (met phishing of malware) afvuurde om een reputatie als l33t hacker te behalen. De aanvaller is tegenwoordig een professioneel onderdeel van een omvangrijke business. “In de cybercrime gaat zes keer meer omzet om dan in de drugsscene”, weet Roelofs.
De doelwitten zijn volgens hem dan ook niet meer alleen de banken en organisaties met waardevol intellectueel eigendom. Iedereen kan op de korrel worden genomen, om zakelijke redenen. Zoals de Russische online-betalingsfirma Assist, die drie jaar terug business verloor door een DDoS-aanval in opdracht van concurrent ChronoPay.
Malware in de Antwerpse haven
Roelofs noemt ook het aansprekende voorbeeld van malware in de haven van Antwerpen. Daar zijn bij containerterminals, expediteurs en rederijen via fysieke inbraak keyloggers (in de vorm van stekkerblokken) en via phishing-mails malware geplaatst. Vervolgens hebben de daders binnenkomende containers met daarin verstopte drugs ‘omgeleid’ en opgehaald. De gehackte havenbedrijven waren slechts een middel, niet het doel van de criminelen.
Het is dus essentieel dat bedrijven de door hun gebruikte technologie, hun eigen processen en hun organisatie op één lijn hebben voor betere beveiliging. Roelofs geeft als voorbeeld de alarminstallatie van een huis, wat bij een bos en een bejaardentehuis ligt. Als iets gebeurt, gaat het alarm wel af, maar wie hoort het? Koppeling aan een effectief responsesysteem is nodig om deze deeloplossing tot een goed beveiligingsgeheel te maken.
‘Ook onze deeloplossing voldoet niet’
Hetzelfde geldt voor IT-beveiliging, stelt Roelofs. Bedrijven hebben een security-framework nodig: om een beter, completer beeld te krijgen van hun staat van beveiliging. Dit is niet slechts een leveranciersboodschap; in de praktijk worden er al wel security-frameworks gebouwd, ziet Roelofs. Organisaties zijn zich er steeds meer van bewust dat ze niet langer voor elk deelgebied een oplossing moeten kopen.
“Zelfs de hedendaagse antimalware-oplossingen zijn onvoldoende”, zegt de directeur van Trend Micro openhartig. Zelfs de som der delen van verschillende deeloplossingen biedt geen soelaas. “Het gaat om correlatie van events.” Losstaand kunnen events onschuldig lijken, maar in een breder beeld kan blijken dat het verkenningspogingen zijn van hackers.
Het inrichten van een Security Operations Center maakt dit mogelijk. Overigens is dat niet eens iets dat elk bedrijf zelf moet doen; SoC’s zijn ook beschikbaar als dienst, geleverd door derden. “Combinatie van de deelgebieden brengt niet alleen centraal management en rapportage, maar door de interconnectiviteit breng je security naar een hoger niveau”, voegt Roelofs toe.
Verantwoordelijk voor wat je niet weet
Trend Micro stelt CIO’s dan ook op de proef met de vraag: ‘Weet je wat er op je netwerk plaatsvindt en ben je er zeker van dat er niets verkeerds tussen zit?’. Want de CIO is daar immers verantwoordelijk voor. Zo’n driekwart geeft eerlijk aan dat ze niet goed weten wat er op hun netwerk gebeurt, vertelt Roelofs. En in honderd procent van de gevallen weet de securityleverancier met een scanoperatie aan te tonen dat er wel degelijk verkeerde dingen gebeuren. Zoals bij een ziekenhuis waar Trend Micro maar liefst zes command&control-servers aantrof van een hacker.
Roelofs vindt dat zorgwekkend: CIO’s zijn dus verantwoordelijk voor dingen waar ze geen weet van hebben. Bovendien is het tegenwoordig niet meer alleen verantwoordelijk ‘op papier’ maar met echte gevolgen. CIO’s worden ter verantwoording geroepen door hun business. De recente grote cyberinbraak bij de Amerikaanse winkelketen Target heeft dat aangetoond: de CIO en ook de CEO zijn hun baan daar kwijt.
Jongleeract voor de CIO
Bovenop de huidige complexiteit van de veranderde gebruiker, infrastructuur en aanvaller komen nog nieuwe ontwikkelingen. Zoals de toename van IP-connected devices, de notificatieplicht voor gegevensverlies, en in gemeenteland de decentralisatie van overheidstaken. Allemaal zaken die meer taken en verantwoordelijkheden brengen, zonder dat daar automatisch budget voor meekomt.
De kunst voor CIO’s is om de juiste balans te vinden tussen goede beveiliging en de business-vereisten van de organisatie. “Er zal altijd een spanningsveld zijn tussen de business en security. Beveiliging moet wel werkbaar zijn, nu meer dan ooit. Want dat is de gebruiker gewend.”
Door: Jasper Bakker
