Cybercrime vraagt om Security Nieuwe Stijl
Cloud computing en mobility-concepten maken consumenten vrijer, werknemers productiever, bedrijven concurrerender en overheden effectiever. Er ontstaat een nieuwe wereld, een nieuwe economie en een ‘new style of IT’. In die wereld is het ondenkbaar dat de factor ‘veiligheid’ niet de aandacht krijgt die het verdient. Waar de strijd tegen cybercriminelen langzamerhand niet te winnen lijkt, hebben overheden en bedrijven een plicht richting hun medewerkers, burgers en consumenten om er in elk geval alles aan te doen om onwetendheid, IT-versnippering en een reactieve houding ten opzichte van security los te laten. Bestrijden van cybercrime draait niet alleen om technologie, maar ook om risk management, governance, mensen en cultuur. Tijd voor een eye-opener en gerichte antwoorden op de vraag: wat kan ik er als bedrijf dan aan doen?
Begin met simpele logica. Zo lang de ‘omzet en winstgevendheid’ van cybercrime jaar over jaar alleen maar stijgt, zullen de investeringen in cybercrime blijven toenemen. Daardoor zit cybercrime in de lift. Cybercriminelen zijn steeds beter georganiseerd, specialiseren zich in het doorontwikkelen van de aanvalsmethodieken en – een recente ontwikkeling – delen steeds vaker kennis en kunde onderling via ‘marktplaats’-achtige omgevingen. Hacktivisten, criminelen en zelfs landen werken zodoende vaak nauw samen, of ze nou dezelfde ideologie ondersteunen of niet.
Tegelijkertijd krijgen ‘beveiligers’ relatief weinig mankracht en budget, waardoor zij (te) reactief en gefragmenteerd moeten werken. Veel organisaties werken zonder overkoepelend security-beleid dat ook risk management en governance omvat. Zonder plan waarin niet alleen de technologie, maar ook de organisatie en de medewerkers worden voorbereid op dreigingen. Nog steeds is de menselijke maat bij security het grootste risico.
Grip op veiligheid
We trekken een realistische maar tegelijkertijd keiharde conclusie: online technologie zal nooit 100 procent waterdicht zijn. Maar dat hoeft niet te betekenen dat we de cybercrime-tornado niet kunnen overleven of ontregelen. Ten eerste zullen we in alle stappen van het IT-proces het security-bewustzijn moeten verhogen, bijvoorbeeld met de proactieve security services die HP biedt. Dat gaat van architect tot programmeur, van gebruiker tot beheerder. Een lastig proces, mede omdat de professionals hiervoor vaak niet zijn opgeleid en vertrouwen op het werk van hun collega´s en leveranciers. Gebruikers verwachten dat alles wat er op hun PC, laptop, tablet of smartphone bruikbaar is ook te vertrouwen is. Een begrijpelijke, maar volledig misplaatste verwachting.
Bedenk ten tweede dat slechts 10 procent van alle op dit moment gebruikte firewalls zogenaamde ‘next generation’-security-technieken gebruikt. Bij een deel van de firewalls is dit euvel verholpen door een Intrusion Prevention Systeem (IPS) te combineren met de bestaande firewall, maar bij veel organisaties komt ‘next generation’ pas in beeld bij het vervangen van de huidige firewall-hardware. Combineer de huidige kostenbeheersing met de bekende IT-mentaliteit ‘we vervangen iets pas als het kapot is’ en je bent te laat met je beveiliging. Terwijl criminelen, zoals genoemd, investeren in de doorontwikkeling van hun aanvalsmethodieken, moet je als organisatie en IT-manager zorgen dat je op zijn minst beschikt over nieuwe technologie die is ge-update volgens de laatste specificaties.
Ten derde speelt 80 procent van de geslaagde cyber-attacks zich inmiddels af op de applicatie-laag. Iedereen die software schrijft krijgt daarmee een extra verantwoordelijkheid om security-testing onderdeel te maken van het Application Lifecycle Management-proces. Een investering in kwaliteit van software die inmiddels onmisbaar is, maar vaak nog geldt als sluitpost van een software-ontwikkelingstraject. Achteraf oplossen is echter niet alleen duurder en vervelender, maar qua security is het tegenwoordig ook funest.
Als laatste blijkt dat een security-probleem gemiddeld pas na 200 (!) dagen wordt ontdekt. Dus zelfs wanneer het gebruik van log-bestanden vanwege wet- of regelgeving verplicht is, beschermen ze ons geenszins als je er niet geautomatiseerde rapportages uit genereert. En voor overheden en bedrijven die nog een stap verder willen gaan: pas als je de verzamelde gegevens van verschillende bronnen op een intelligente manier kunt correleren kom je tot een real-time alarmeringssysteem.
Integrale security-roadmap
Vanuit HP zetten we ons hele portfolio aan security-oplossingen in met maar één doel: met een integrale benadering het criminelen zo onaantrekkelijk en moeilijk mogelijk maken onze klanten te raken. Dat betekent enerzijds dat we security workshops en vulnerability assessment services aanbieden om IT-specialisten te helpen om een volledige security-roadmap te ontwikkelen. Natuurlijk gericht op de technologie, maar ook om hen te helpen hun (business) management te overtuigen van het belang van een bredere culturele en organisatorische aanpak. Tegelijkertijd hebben we een breed aantal security-producten waarmee we het security-niveau verhogen ten aanzien van zowel het netwerk (TippingPoint), de applicaties (Fortify) als de informatie (Arcsight).
De opbrengst van cybercrime zal altijd een veelvoud zijn van wat bedrijven en overheden kunnen uitgeven aan het bestrijden ervan en dat betekent dat je per definitie een ongelijke strijd voert. Een bedrijf of overheid die security dan ook nog eens ziet als sluitpost op de IT-begroting neemt een onverantwoord risico. Dat is de mening van HP en met die gedachte werken we samen met overheden en bedrijven. Een IT-project kan niet zonder security-roadmap. Een bedrijf kan niet zonder security roadmap. De overheid kan niet zonder security roadmap. De wereld verandert, de IT verandert. En de IT-nieuwe-stijl heeft behoefte aan security-nieuwe-stijl.
Henk Janssen, Security Specialist HP Software