‘De digitale maatschappij vraagt om nòg meer aandacht voor security’
Een van de meest onderschatte aspecten van de digitale maatschappij is security. Met name in de enthousiaste groei van de grote diversiteit aan connected apparaten staat de beveiliging niet altijd voorop. Zaken als standaard fabriekswachtwoorden en gebrek aan updates zorgen voor veiligheidsrisico’s in het netwerk. De redactie sprak hierover met Harco Enting, General Manager bij Kaspersky Lab Benelux.
“Het thema van de digitale maatschappij is voor ons heel herkenbaar”, zegt Harco Enting, General Manager bij Kaspersky Lab Benelux. Concreet betekent de digitale wereld dat er steeds meer apparaten met elkaar verbonden worden. Daar zit natuurlijk ook een security-aspect aan. Wij kijken er wel met enige zorg naar, omdat het wel allemaal veilig moet zijn. Dat is ons vak, en wij raden zowel eindgebruikers als fabrikanten aan om ervoor te zorgen dat die connectiviteit, van welk apparaat dan ook, veilig is.”
In alle enthousiasme voor dit Internet of Things (IoT) wordt volgens Enting namelijk te weinig rekening gehouden met de veiligheid van de oplossing: “We zien dat er allerlei leuke en slimme oplossingen komen met sensoren, waar niet vanaf het design rekening wordt gehouden met de veiligheid. Dergelijke apparaten worden opgehangen, terwijl ze zijn voorzien van het standaard wachtwoord, dus zijn ze relatief makkelijk toegankelijk.”
Verantwoordelijkheid
Daarnaast is het onduidelijk wat de verantwoordelijkheid is van de producent van dergelijke appraten. Want hoe lang zijn ze bijvoorbeeld verplicht om te zorgen voor patches en updates van de software? “Door de groei van het Internet of Things worden die discussies steeds relevanter, maar in praktijk zien we veel voorbeelden op dat domein waar het een stuk veiliger zou kunnen dan nu het geval is.”
Zelf heeft Kaspersky Lab daar onlangs een initiatief ontplooid om die veiligheid van het IoT te verbeteren: “We hebben een eigen operating system ontwikkeld, heel licht en heel veilig, dat fabrikanten kunnen gebruiken in IoT-sensoren en -apparaten. Het is een veilig operating systeem voor geconnecteerde apparaten dat volledig vanuit de security ontwikkeld is.”
Awareness
Om het IoT, en daaraan gekoppeld de digitale maatschappij, veiliger te maken zijn volgens Enting verschillende zaken belangrijk: “Het eerste is nog steeds de awareness. Dat geldt overigens voor veel domeinen die te maken hebben met security. Niet voor niets is de overheid net weer een campagne gestart om dat te verbeteren.”
“Maar ook belangrijk is het gebruiksgemak. Want er zijn maar weinig mensen die iets begrijpen van bijvoorbeeld de gebruiksaanwijzing van hun router, of van andere verbonden apparaten. Dat maakt het niet eenvoudiger voor die gebruikers om zelf het wachtwoord te veranderen. Daar ligt wel een duidelijke verantwoordelijkheid van de fabrikanten om het hun klanten makkelijker te maken. Naast natuurlijk het veilig maken va die apparaten zelf.”
Discussie
“Dat alles maakt deze discussie lastig. Er moeten op vele plekken in de keten dingen veranderd worden. Die discussie staat bij IoT nog in de kinderschoenen. Wat wel logisch is, want het krijgt nu pas momentum. Wel is het zaak om nu stappen te zetten. Want één ding is zeker: het aantal incidenten groeit nog steeds. Per dag vinden we 300.000 stukken malware bij de devices van onze klanten. Hoe meer geconnecteerd de wereld, hoe groter het domein van de hacker wordt.”
Wat betreft de bedreigingen waar organisaties mee te maken hebben ziet Kaspersky Lab nog steeds het aantal gevallen van ransomware toenemen. “Maar daarnaast zien we een duidelijke stijging van de tendens dat computers onder water worden gegijzeld voor het minen van cryptocurrency. Dan wordt er in ieder geval geen geld gevraagd zoals bij klassieke ransomware, maar het blijft vervelend omdat je computer steeds trager wordt.”
Gerichte aanvallen
“We zien absoluut een groei van Advanced Persistent Threats, waarbij specifiek één bedrijf of één functionaris van dat bedrijf wordt aangevallen. In plaats van de bekende Phishing-mails zie je dat bijvoorbeeld een CEO of CFO het doelwit wordt, in de hoop het bedrijf zo grote hoeveelheden geld over te laten maken. State sponsored hacken neemt ook steeds serieuzere vormen aan, bijvoorbeeld vanuit Rusland of Noord-Korea. “Uiteindelijk doet ieder land het, daarin moeten we niet Roomser zijn dan de Paus, of het nu voor aanval of verdediging is.”
De gesprekspartner op de grootzakelijke markt is ondertussen vaak de Chief Information en Security Officer, de CISO, die aan de CIO rapporteert of zelfs een peer is. “Die zit dedicated op deze rol, met een heel team. Maar dat zijn er in de Benelux niet veel. In andere gevallen zitten we nog vaak met de IT te praten, terwijl de zwakke schakel niet de technologie is maar het gedrag van de medewerkers.”
Mens
“De verantwoordelijkheid daarvoor ligt bij de line managers, en uiteindelijk bij de algemeen directeur. Daar zou nog wel iets in kunnen verbeteren, security is meer dan antivirus. Technologisch is er van alles mogelijk om het dicht te timmeren, maar als mensen bijvoorbeeld een USB-stick in de trein laten liggen wordt dat ondermijnd. De mens blijft de zwakste schakel.”
Bij bekende incidenten, zoals de Wannacry-aanval, gaat de bewustwording voor security merkbaar omhoog. “’Als het kalf verdronken is dempt men de put’ gaat hier zeker op. Ook ontstaat vanuit de overheid positieve druk op de markt, ook op bedrijven. Onder meer door de GDPR, wat organisaties verplicht serieus met privacy en security om te gaan. Dat zien we terug in de aandacht voor onze awareness-trainingen.”
“Daarnaast zijn we met de branche, in de vorm van Nederland ICT, aan he kijken of er niet een bepaalde certificering moet komen voor bedrijven. Dat is wat verzekeraars graag willen. Dat is natuurlijk een lastig vraagstuk, omdat gedrag zo’n belangrijke component is. Hoe certificeer je gedrag? Dat staat in de kinderschoenen, maar je ziet wel dat de druk op awareness groeit. Er is niet één silver bullet, het is een combinatie van maatregelen die de digitale maatschappij veilig maakt.”
