ICT Zine

Wat kunnen we de komende twaalf maanden verwachten op het gebied van beveiliging en cybercriminaliteit? Waar moeten organisaties echt meer aandacht aan besteden en wat voor nieuwe ontwikkelingen zijn er gaande? Een ding is zeker: het zal zeker geen ‘business as usual’ zijn.

Het jaar van het Internet of Things
2014 wordt het jaar dat het Internet of Things (IoT) echt invulling gaat krijgen. Nadat het een aantal jaren vooral ging over de prachtige nieuwe mogelijkheden en zakelijke kansen die het IoT ons gaat brengen, denk ik dat we volgend jaar de eerste concrete toepassingen en diensten gaan zien. Dit betekent echter ook dat de systemen en sensoren die het IoT vormen, aantrekkelijke doelwitten worden voor cybercriminelen en hackers. Een voorbeeld: stel dat de essentiële infrastructuur van een gebied wordt aangestuurd via intelligente systemen, die beslissingen nemen op basis van informatie afkomstig van talloze sensoren in dat gebied – denk bijvoorbeeld aan het automatisch optimaliseren van de verkeerslichten op basis van het actuele verkeersaanbod. Dan zou het voor cybercriminelen of hackers heel aantrekkelijk kunnen zijn om dat systeem te verstoren door ‘valse’ sensorinformatie te genereren. Plotseling staan op een kruispunt alle stoplichten tegelijkertijd op rood (of groen!), of ze gaan zich totaal onverwacht gedragen. De gevolgen laten zich raden. We moeten dus heel goed nadenken over hoe we dat IoT optimaal kunnen beveiligen. En we bevinden ons nu in de positie om dat van meet af aan goed aan te pakken, in plaats van eerst complete systemen te bouwen en daar vervolgens de beveiliging als extra aan toe te voegen. Nee, dit vraagt om geïntegreerde, intelligente en real-time beveiligingsoplossingen die al standaard ‘embedded’ zijn ingebouwd in de hardware- en softwaresystemen die het Internet of Things vormen. Alleen dan kan het IoT ons ook daadwerkelijk die voordelen bieden die in theorie mogelijk zijn, zonder dat de risico’s te groot worden.

Geavanceerde dreigingen
Maar ook op het meer ‘traditionele’ beveiligingsvlak zal er in 2014 het nodige gebeuren. Het afgelopen jaar werd al duidelijk dat geavanceerde dreigingen – Advanced Persistent Threats (APT’s) – steeds gevaarlijker worden en in aantal toenemen. We hebben het dan over dreigingen die zeer moeilijk te detecteren en te verwijderen zijn, zoals rootkits en malware dat het BIOS van systemen besmet. Deze kunnen alleen effectief bestreden worden door de beveiliging op een andere manier in te richten. Bijvoorbeeld door ervoor te zorgen dat de beveiliging al op een eerder moment actief wordt dan pas tijdens het starten van het besturingssysteem. Ook ‘whitelisting’, waarbij alleen toepassingen gestart kunnen worden die zijn goedgekeurd, zal het komende jaar een steeds grotere rol gaan spelen.

De dreigingen en risico’s waar organisaties mee te maken krijgen, zijn inmiddels dermate complex en breed dat effectieve bescherming en beheer niet meer mogelijk zijn wanneer de beveiliging bestaat uit allerlei individuele componenten. De tijd dat voor de servers een oplossing van leverancier A kan worden ingezet, voor de databases een product van leverancier B en voor de endpoints een oplossing van leverancier C, is voorbij. In plaats daarvan zou de beveiliging een volledig geïntegreerd geheel moeten vormen. Daarbij wordt dan informatie uit de verschillende onderdelen van de infrastructuur – het netwerk, de servers, de pc’s, mobiele devices, de bedrijfsapplicaties, hardware-apparaten, etc. -gecorreleerd en op een eenduidige en overzichtelijke wijze gepresenteerd. Dit is ondertussen ook de enige manier waarmee grootschalige aanvallen of besmettingen tijdig en effectief kunnen worden bestreden.

Boardroomthema
Het thema ‘beveiliging’ moet volgend jaar echt een strategisch boardroomthema worden. Security is inmiddels te belangrijk voor de bedrijfsvoering en de potentiele risico’s zijn groot. Maar de maatregelen die genomen moeten worden om de beveiliging op het vereiste niveau te brengen, kunnen zelf ook gevolgen hebben voor de bedrijfsvoering. Security moet daarom onderdeel zijn van de overall business-strategie, niet alleen van de ICT-strategie. Bedrijven moeten de risico’s in kaart brengen en aan de hand daarvan beslissingen nemen over wat wel en wat niet beveiligd moet worden. Want die keuzes zullen gemaakt moeten worden. Daarbij is het kostenaspect natuurlijk een centrale factor. Het is zonder meer mogelijk om de kosten voor security omlaag te brengen met een geïntegreerde aanpak, want die resulteert in aanzienlijk lagere operationele kosten, terwijl het niveau van de beveiliging omhoog gaat.

MKB
Kleinere bedrijven beginnen zich bewust te worden van het feit dat ook zij een potentieel doelwit zijn voor cybercriminelen, hetzij via een doelgerichte aanval, hetzij door ‘algemene’ malware, die iedere organisatie kan treffen. De infecties door ransomware zoals ‘Cyberlocker’ zijn daar een goed voorbeeld van: bedrijven die hierdoor besmet raken, kunnen enorme schade lijden. Een van de manieren waarop kleinere organisaties – die vaak zelf niet beschikken over de benodigde kennis en tijd – hun beveiliging op orde kunnen brengen, is door in ieder geval een deel van de beveiliging te outsourcen naar een betrouwbare en deskundige partner. Denk bijvoorbeeld aan het monitoren en auditeren van de beveiliging, maar ook aan het in kaart brengen van de beveiligingsbehoeften en de beste oplossingen daarvoor. Effectieve beveiliging vraagt om meer dan alleen het installeren van een antivirusprogramma op de pc’s. En juist het MKB heeft vaak waardevolle gegevens in de vorm van klantendatabases, unieke productontwerpen, etc., die beter beschermd zouden moeten worden.

Bewustwording en voorlichting
En tot slot zullen organisaties meer moeten doen aan de bewustwording en voorlichting over risico’s en beveiliging. Bedrijven krijgen nog vaak te maken met cybercriminaliteit en dataverlies omdat medewerkers zich niet bewust zijn van bepaalde risico’s. Er wordt bijvoorbeeld nog steeds blindelings op links geklikt in e-mails of social media-berichten. Ook van de risico’s van onbeveiligde mobiele privéapparaten die voor het werk gebruikt worden, zijn mensen zich lang niet altijd bewust. Hetzelfde geldt voor het zakelijk gebruik van allerlei ‘handige’ clouddiensten en tools, zoals Dropbox of webmaildiensten. Bedrijven moeten zorgen voor heldere beleidsregels op dit gebied en oplossingen inzetten die ervoor te zorgen dat deze beleidsregels ook kunnen worden afgedwongen.

Radboud Beumer, Regional director Northern en Eastern Europe Channel en acting Regional Director Benelux, McAfee.