Cybersecurity as a service
door René van Buuren, directeur Cybersecurity, Thales
Organisaties hebben vaak moeite met het outsourcen van taken waar bedrijfsrisico’s aan kleven. Juist als het gaat om cybersecurity kan daar maar beter snel verandering in komen. Cybersecurity as a service biedt uitkomst.
Huizen
Voor de meeste ondernemingen geldt allang niet meer dat ze zelfstandig in staat zijn het hoofd te bieden aan de groeiende en steeds professionelere bedreiging van cybercriminaliteit. We hebben inmiddels te maken met beroepscriminelen die ‘langdurige en hoogwaardige operaties uitvoeren’, buitenlandse inlichtingendiensten die de concurrentiepositie van Nederland onder druk zetten met digitale economische spionage en geavanceerde en frequent voorkomende vormen van ransomware die ondernemers direct bedreigen. Dat is het beeld dat het Nationaal Cyber Security Centrum (NCSC) schetst in het Cybersecuritybeeld Nederland 2016. (1) Het rapport constateert ook dat vooral kleinere ondernemingen niet de maatregelen nemen die nodig zijn om deze risico’s in te perken. Maar ook veel grotere ondernemingen verzaken, zo is mijn ervaring. Het is tijd dat bedrijven wat realistischer gaan kijken naar de uitdaging die cybersecurity vormt. Dat begint met de erkenning dat je organisatie kwetsbaar is. Dat vindt niemand prettig, maar liever nu erkennen dat je een risico loopt, dan achteraf met de brokken zitten.
Voorkomen is een illusie
Preventie alleen is tegenwoordig niet meer voldoende gezien de eisen die aan cybersecurity worden gesteld. Als je een digitale onderneming goed wilt beveiligen en er zeker van wilt zijn dat je voldoet aan de eisen die bijvoorbeeld door de Europese General Data Protection Regulation worden gesteld, dan zul je aanvullende maatregelen moeten nemen. Preventieve maatregelen kunnen en zullen onvermijdelijk een keer worden omzeild omdat de mens de zwakste schakel is. Tegen onzorgvuldig gebruik of identiteitsdiefstal via bijvoorbeeld phishing bieden preventieve maatregelen nauwelijks bescherming. Daarom is het onvermijdelijk en urgent om achter de poort nieuwe beveiligingsmethoden toe te passen. Voor dergelijke oplossingen is gespecialiseerd personeel nodig, dat in staat is IT-securityincidenten of malware te detecteren, maar ook verstand heeft van encryptie van data. Eigenlijk zou iedere onderneming een eigen security operations center (SOC) moeten hebben. Vanuit een SOC wordt het bedrijfsnetwerk 24x7 in de gaten gehouden door securityspecialisten – net zoals veel bedrijven al veel langer beveiligingspersoneel, camera’s en nachtwakers gebruiken om de fysieke organisatie te beschermen.
Voorbeelden
Bij het draaien van zogenoemde ‘trial runs’ bij organisaties constateren we regelmatig dat er op computers ‘remote admins’ actief zijn die van buiten de organisatie volledige controle hebben over het systeem. Dat hoeft niet te betekenen dat het systeem gehackt is. Het gaat meestal om gebruikers die op die manier hun eigen versie van het nieuwe werken hebben ingevoerd, zodat ze ook thuis of onderweg bij hun data kunnen. Maar geheel zonder risico is het bepaald niet en meestal is het ook in strijd met het beveiligingsbeleid. Wat ook vaker voorkomt dan je zou verwachten, is dat (externe) hackers, of zelfs eigen medewerkers, delen van het systeem gebruiken om bitcoins te genereren. Opvallend vaak gebruiken ze hiervoor grafische kaarten. Tegen de huidige koers van de bitcoin (1.663,14 euro op het moment van schrijven) kan dat aardig lucratief zijn – mits je goedkoop over veel rekenkracht
kunt beschikken. En waarom zou je daar niet de systemen van je werkgever voor inzetten? Die staan toch vaak niets te doen... Daarnaast treffen we regelmatig resten aan van oudere bedreigingen, zoals ‘sinkholes’ als restant van inmiddels opgerolde botnetnetwerken of malware die weliswaar onschadelijk is gemaakt, maar nog wel contact zoekt met niet langer bestaande servers. Meestal gaat het om ongewenste afwijkingen die weliswaar nog geen schade hebben veroorzaakt, maar wel een potentieel risico zijn of kunnen worden. Bovendien: er is malware terechtgekomen in je systemen, dat kan dus weer gebeuren.
Iedere onderneming een eigen SOC is onhaalbaar.
Inzicht
Een organisatie weet pas echt waar haar zwakke plekken en bedreigingen zitten, als er inzicht is in wat zich binnen haar systemen afspeelt. Diverse onderzoeken hebben aangetoond dat het nu nog gemiddeld meer dan 200 dagen duurt voordat organisaties een datalek ontdekken en dan nog is het in veruit de meeste gevallen een derde partij die ze erop wijst. Voor je merkreputatie is dat funest, zeker in een tijd dat bedrijfsmodellen steeds afhankelijker worden van data. Uit een recent Data Threat Report (2) van Thales blijkt dat een gebrek aan het juiste personeel voor veel IT-executives het grootste obstakel is bij de invoering van nieuwe cybersecuritymaatregelen. Goed geschoold IT-personeel is schaars, peperduur en lastig vast te houden. Daarnaast vermeldt het State of Cyber Security 2017-rapport van beroepsvereniging ISACA (3) dat meer dan 50 procent van de organisaties niet alleen personeel zoekt met de juiste opleiding, maar ook met de juiste ervaring.
Uitbesteden
Het dilemma is dat snelle detectie om goedgeschoold cybersecuritypersoneel vraagt – en die mensen zijn schaars. Dat probleem is op te lossen door security te outsourcen. Toch schrikken veel organisaties daarvoor nog terug, omdat het al snel klinkt als een grote, dure operatie. Dat hoeft het niet te zijn. Om detectiemaatregelen goed te implementeren is het mogelijk, maar vaak ook verstandig, de capaciteit stapsgewijs op te bouwen. De maatregelen die je neemt, moeten aansluiten bij de organisatie, maar de organisatie moet het ook kunnen verwerken. Het is niet ondenkbaar dat detectie tientallen incidenten per dag oplevert. Dat hoeven niet allemaal (ernstige) dreigingen te zijn, maar als je als organisatie niet in staat bent deze allemaal tijdig te duiden, creëer je vooral veel onrust. Bovendien leidt het vinden van incidenten vaak ook tot de wens om de infrastructuur aan te passen. Dat kun je allemaal in één keer willen doen, maar het is vaak verstandiger eerst de hoogste prioriteiten aan te pakken en daarna slim door te groeien. Op die manier ontstaat een beheersbare, maar ook betaalbare oplossing.
Denk groot, start slim
Ook hier geldt het adagium: denk groot en start slim. Het is bijvoorbeeld mogelijk om eerst een deel van de detectiemethoden te automatiseren met behulp van ‘probes’: kleine kastjes die in het netwerk worden geplaatst en daar het verkeer analyseren op verdachte bewegingen. Op die manier kan tegen beperkte kosten al een inschatting worden gemaakt van het bedreigingsniveau. Soms levert zo’n trial run weinig op. Dat kan een geruststellende gedachte zijn, ook al is het slechts een momentopname en geeft het geen garantie voor de toekomst. Voor andere organisaties is het een bevestiging van het vermoeden dat zich meer op het netwerk afspeelt dan bekend was. In zo’n geval kan het de aanzet zijn voor een langetermijnstrategie, waarin aantoonbare risico’s worden afgeschermd. In beide gevallen is het uitgangspunt dat je weet wat je in huis hebt en erkent dat je er wat aan moet doen. Dat is altijd beter dan je kop in het zand steken.
Het duurt gemiddeld 200 dagen voordat organisaties een datalek ontdekken.
Conclusie
Het is tijd onze visie op cybersecurity bij te stellen: zonder specialistische hulp zijn bedrijven niet opgewassen tegen cybercriminaliteit. Tenzij specifiek geïnvesteerd wordt in eigen maatregelen en personeel omdat het bedrijfsmodel dat rechtvaardigt, is het voor de meest organisaties verstandiger samenwerking te zoeken met externe partijen. Partijen die hun kennis en ervaring als dienst aan anderen willen aanbieden. Cybersecurity as a service is niet raar of eng. Ik ben ervan overtuigd dat outsourcing van cybersecurity de enige manier is waarop we ons in de huidige maatschappij, voor een acceptabele prijs, kunnen wapenen tegen de dreigingen die op ons afkomen.
uit Boardroom IT, een uitgave van ICT Media.
Noten:
1. Cybersecuritybeeld 2016: http://bit.ly/CSBN2016
2. 2017 Thales Data Threat Report: https://dtr.thalesesecurity.com.
3. ISACA State of Cyber Security 2017: http://bit.ly/ISACA_SCS2017.