In de periferie van de nieuwe IT-vakbeurs TBX, de opvolger van de beurzen Infosecurity.nl en Data & Cloud Expo, kwamen begin november vier securityspecialisten bij elkaar om te praten over actuele dreigingen en dan vooral over ransomware. En niet zonder reden: van lege kaas-schappen bij Albert Heijn, de aanvallen bij VDL en MediaMarkt tot het nieuws dat Booking.com een aanval lange tijd geheim wist te houden: security lijkt bedrijven boven het hoofd te groeien. In een restaurant in Utrecht kwamen Wytze Rijkmans (Regional Vice President bij Tanium), Ronald Ooms (Vice President EMEA BACH – Benelux, Oostenrijk & Zwitserland – bij Veeam), Rense Buijen (Technical Director bij Trend Micro) en Joost Hage (Solution Architect bij Zscaler) bij elkaar.
Rijkmans, die in zijn lange loopbaan binnen de IT al vaker opviel door het innemen van stellige posities, opent het gesprek stevig. “Het is bedroevend hoe slecht organisaties hun security op orde hebben.” Hij onderbouwt zijn uitspraak met een praktijkvoorbeeld. “Als je bij een onderneming binnenkomt, en ja, dat kan zelfs een beursgenoteerd bedrijf zijn, en vraagt hoe de security georganiseerd is, dan luidt het antwoord natuurlijk dat alles op orde is. Maar als je gewoon eens checkt: weet je eigenlijk wel hoeveel endpoints je hebt? Hoeveel applicaties in gebruik zijn (nog los van schaduw-IT)? Wie die devices gebruiken en waar en hoe medewerkers – zeker tijdens de lockdowns – toegang krijgen tot de IT-omgeving, dan stuit je te vaak op onbegrip en een totaal gebrek aan inzicht. Ik vind dat schokkend.”
De andere aanwezigen herkennen de observatie. “Pas als je ‘visibiliteit’ hebt, dus weet wat zich in het netwerk bevindt, weet je wat er te beveiligen valt”, stelt Rense Buijen (Trend Micro). Hij gaat verder: “Dan pas kun je analyseren wat de data waard zijn en wat de gevolgen zijn – uitgedrukt in schade door bijvoorbeeld onderbrekingen in de productie of reputatieschade – in geval van een aanval. En om dan meteen de brug naar ransomware te maken: als je niet weet wat de impact van de gijzeling kan zijn, als je niet weet of de back-up betrouwbaar is na een aanval, dan kun je ook niet bepalen wat de prijs ervan is.”
Menselijke fouten als basis
Uit de discussie blijkt: security is geen rocket science. Vaak is en blijft een menselijke fout de basis: niet patchen terwijl het nodig is, of toch op een verdachte link klikken. En wat ook speelt is naïviteit. “Er wordt nog te vaak gedacht dat de buurman eerder wordt aangevallen”, aldus Ronald Ooms (Veeam). “Terwijl nu toch wel duidelijk moet zijn dat het niet de vraag is óf je zult worden aangevallen, maar wanneer – want je wordt een keer getroffen. Sterker nog, wellicht is de aanvaller al een paar weken binnen.” Joost Hage (Zscaler) constateert een verschil in beleving tussen de aanvaller en het slachtoffer. “Voor heel veel bedrijven is security niet hun core business.
Terwijl de aanvallers er hun businessmodel van hebben gemaakt om er veel geld aan te verdienen. Ze concentreren zich op een bepaald aspect en werken daarbij ook nog eens met elkaar samenwerken. De ene partij is dan gespecialiseerd in het binnenkomen in het netwerk, terwijl de ander voor het monetiseren kiest, of voor het ontwikkelen van een ransomware-as-a-service propositie.” Ooms (Veaam) wil een nuancering aanbrengen. “Toch is het zo dat eer een pot jam de fabriek verlaat, die gecheckt wordt. Het gewicht moet kloppen, net als de kleur en de smaak. Dat hebben bedrijven perfect op orde. Waarom dan niet een patch-check? Of een digitale brandalarmoefening?”
Het belang van de Ciso
Tijdens het gesprek komt ook de rol van de Chief Information Security Officer (Ciso) aan de orde. Veel Ciso’s zien het als hun taak, zo is de analyse, om ervoor te zorgen dat de organisatie beveiligd wordt. Daar zijn de heren aan tafel het niet mee eens. Men vindt dat de meeste Ciso’s te technisch denken. Dit, terwijl hun taak zou moeten zijn risicoanalyses uit te voeren om er vervolgens voor te zorgen dat de risico’s verkleind worden. Ooms (Veeam): “Risicoanalyse is de kerntaak van een Ciso. Dat is zijn rol. Hij moet er daarbij niet alleen vanuit gaan dát een aanval een keer succesvol zal zijn, maar ook moet hij kunnen aangeven naar de directie wat het risico is als een crimineel erin slaagt binnen te dringen. En, uiteraard, hoe je dat herstelt en hoelang dat duurt.” Een Ciso moet, kortom, weten hoe je bepaalt hoeveel data verloren gingen bij een aanval. Maar ook hoe lang een bedrijf zonder al te veel schade down kan zijn. Rijkmans: “Maar daarvoor moet je eerst weten wat eigenlijk de meest kritische systemen zijn. Dat weten ze vaak niet – of ze worden door de directie niet gehoord.”
Hage (Zscaler) is het ermee eens: “Op directieniveau denken nog te veel mensen: ‘Als ik maar beter beschermd ben dan mijn buurman, dan gebeurt me niks’. Maar zo werkt het op de lange termijn niet. Iedereen is kwetsbaar. Als een cybercrimineel in één beweging twee clubs kan infecteren in plaats van een dan doet hij dat.” Rense Buijen (Trend Micro) is het daar niet helemaal mee eens. “Er geldt wel een wet van de remmende voorsprong. Je kunt een drempel opwerpen die zo hoog is dat de indringer het eerst elders gaat proberen. Zorg er dus voor dat je niet bovenaan de lijst van targets komt te staan.”
‘Het is bedroevend hoe slecht organisaties hun security op orde hebben’
Rol van de leverancier
Als een klant dan ondanks de mooie oplossingen van de security-aanbieders toch slachtoffer wordt, waar ligt dan de verantwoordelijkheid? “Er is een verschil tussen verantwoordelijkheid en aansprakelijkheid. Natuurlijk hebben we samen met collega’s en partners een gedeelde verantwoordelijkheid voor het ecosysteem. Maar dat kan niet altijd een aansprakelijkheid betekenen”, maakt Rijkmans duidelijk. “Er is daarnaast een verschil tussen een product en services. Een serviceprovider levert een dienst. Als je heel goed afspreekt hoe die dienst eruitziet, dan kan daaruit een aansprakelijkheid volgen. Bij een product ligt dat anders.”
Joost Hage (Zscaler) beaamt dit: “Je hebt vaak te maken met partners tussen jou en de eindgebruiker. Denk aan distributeurs, resellers en/of MSP’s. Doen die security er een beetje bij of zijn ze erin gespecialiseerd? Wil de eindgebruiker security zelf inrichten of besteedt hij het uit? Je kunt in dat geval als vendor niet verantwoordelijk zijn, of zelfs aansprakelijk gehouden worden voor de totale implementatie.” Dat vindt ook Rense Buijen (Micro Focus): “Vaak verkoop je slechts een klein deel van de totaaloplossing, omdat de partner of de eindgebruiker daarvoor kiest. Bij hen ligt dan ook een stuk verantwoordelijkheid voor die keuze.”
