Geplaatst: 20-04-2017

Risico’s kwalificeren belangrijker dan kwantificeren

 IT Boardroom organiseerde in maart jl. een ronde tafel met het onderwerp Secure op de agenda. Vincent Meijer, businessunit manager Security bij ilionx, was hiervoor uitgenodigd om met andere professionals het thema vanuit verschillende invalshoeken te behandelen.


Op 10 april jl. verscheen het artikel in Boardroom IT, dat als bijlage in Het Financieele Dagblad gevoegd was. Je kunt het artikel nu ook hier lezen. 

Vaststellen security-budget blijft nattevingerwerk
Cybercriminaliteit teistert het bedrijfsleven, de overheid en burgers al jaren. Beroepscriminelen organiseren zich steeds professioneler en maken gebruik van geavanceerde aanvalsmethoden zoals ransomware, DDoS en phishing. Digitale economische spionage zet de concurrentiepositie van Nederland onder druk. Hoe kunnen Bedrijven zich hiertegen wapenen? Een groep dienstverleners discussieerde over dit thema in de Vughtse villa van ICT Media.

Vught – Analistenfirma Forrester voorspelt dat dit jaar een onderneming uit de Fortune 1000-lijst zal omvallen door een datalek. Een voorspelling die volgens de aanwezigen nog aan de voorzichtige kant is. Sytse van der Schaaf, research consultant bij Metri, wijst op de dramatische gang van zaken bij het Amerikaanse Yahoo, waar twee grote datalekken de teloorgang van de onderneming versnelden. De merkreputatie kreeg een flinke knauw. Dichter bij huis werd KPN enkele jaren geleden geconfronteerd met een impactvolle hack en bij DigiNotar ging na een gebrekkige beveiliging het licht wel heel snel uit. Bij de recente overname door telecomreus Verizon bleek internetbedrijf Yahoo opeens 350 miljoen dollar minder waard te zijn.

“Een fors datalek maakt een onderneming inderdaad kwetsbaar, waardoor het een overnamedoelwit kan worden”, zo merkt Rob van Cutsem, director of sales Benelux bij Cognizant op. Volgens Rene Pluis, lead cyber security bij Cisco, zijn vooral de household names kwetsbaar. Vincent Meijer, businessunit manager Security bij ilionx: “Bij beursgenoteerde bedrijven zie je de gevolgen direct terug in de aandelenkoers.”

 

Boetes
De keiharde sancties die de Europese Commissie vanaf 2018 gaat opleggen bij datalekken op grond van de General Data Protection Regulation (GDPR) kunnen net dat laatste zetje geven om bedrijven, voor zover nog nodig, wakker te schudden. Boetes die kunnen oplopen tot 4 procent van de wereldwijde omzet zijn niet kinderachtig. Voor multinationals kan dat een flinke aderlating zijn.

Marcel van Opzeeland, director Service Providers Benelux bij Juniper Networks: “De waarde van informatie wordt steeds groter, het zijn je belangrijkste assets. Als die kroonjuwelen gevaar lopen, doet dat al heel snel pijn.” Meijer ziet nog wel een verschil tussen jongere en oudere generaties: “Jonge mensen redeneren in de trant van: ‘Privacy? Ik heb niets te verbergen!’ Het delen van informatie vinden zij veel belangrijker.” Niels den Otter, security engineer team leader bij Check Point, beaamt dit: “Het afplakken van webcams met ducttape was ooit een heel praktische maatregel tegen ongemerkt observeren en afluisteren. Encryptie, versleutelen van gegevens, is nu voor bedrijven een must.”

Perceptie
Met de meldplicht datalekken heeft Nederland alvast een voorschot genomen op de Europese GDPR. Volgens Pieter Lacroix, managing director Nederland bij Sophos – dat bedrijven in een vroeg stadium waarschuwde door met roadshows het land in te trekken – is de perceptie ten aanzien van security mede door klokkenluiders Edward Snowden en Julian Assange drastisch veranderd. “Vroeger vonden we het gewoon als iemand zijn USB-stick ergens liet slingeren, maar sinds de Sony-hack weten we wel beter. Medische gegevens, salarisgegevens en gevoelige bedrijfsinformatie horen niet op straat te liggen. Dat is pijnlijk en gênant. Opmerkelijk is dat de Autoriteit Persoonsgegevens tot nog toe alleen waarschuwingen heeft gegeven en geen enkele boete heeft uitgedeeld.” Van der Schaaf: “Een wet heeft alleen zin als er daadwerkelijk wordt gehandhaafd, anders is het symboliekpolitiek, net als de cookiewetgeving.”

Nieuwe dreigingen
Van Opzeeland: “We hebben het nu steeds over datalekken, maar wat te denken van het Internet of Things. Daar ontstaan nieuwe dreigingen. Een DDoS-aanval kan bruggen of sluizen, een fabriek of een vitale sector compleet lamleggen. De Vodafone-brand enkele jaren geleden maakte een groot deel van het telefoonverkeer in de Randstad dagenlang onmogelijk. Toen was er een brand, maar morgen is het een hacker. Misschien is het wel gezond dat we af en toe worden wakker geschud door dergelijke incidenten, dat houdt ons scherp.” Over scherp gesproken: “Bij ons stuurt het management regelmatig phishing-e-mails naar het eigen personeel om te testen of iedereen wel alert is en juist reageert”, zo vertelt Van Cutsem. “Klik je op de e-mail of bijlage, mag je eerst een cursus security volgen voordat je weer toegang krijgt tot je e-mailbox. Een harde maar effectieve leerschool.”

Pluis reageert: “Wij scannen in de cloud 950 miljoen e-mails per dag, 85 procent daarvan is spam en verwijderen we. Maar wat kan je tegenwoordig nog doen tegen een DDoS-aanval van 1 terabit per seconde? Daartegen is geen kruid gewassen. We zouden het internet fundamenteel anders moeten inrichten.”

Marcel van Opzeeland ziet het minder somber in: “De NBIP (Nationale Beheersorganisatie Internet Providers, red.) is goed bezig door samenwerking te faciliteren. Bij een DDoS-aanval op een van de aangesloten instellingen wordt via AMS-IX of NL-IX de datastroom doorgezet naar NBIP, daar apart gezet in een sandbox, geïnspecteerd en opgeschoond, een soort digitale wasstraat. Hiermee loopt Nederland voorop.”

Stuxnet
Pluis: “De ontdekking van Stuxnet was eigenlijk een zegen. We weten nu dat niet alleen een ultracentrifuge is te hacken, maar in principe elk industrieel netwerk en individueel apparaat. PLC’s (programmable logic controllers, red.) waren semigesloten systemen die nooit voor internet zijn ontworpen en dat maakt ze kwetsbaar voor hacking. Bedrijven willen daar niet aan, omdat ze hun systemen het liefst de komende twintig jaar ongestoord willen laten draaien.” Lacroix: “Dat klopt, ze zien de noodzaak niet in van beveiliging, omdat ze de materie niet begrijpen, security zit niet in hun DNA. Bij consumenten is het nog erger, ze willen de goedkoopste smart-tv, ook al speelt die stiekem allerlei privacygevoelige informatie door.” Van der Schaaf: “Hier ligt echt een taak voor de overheid, die moet zorgen dat nieuwe IoT-apparaten goedgekeurd en 100 procent veilig zijn.”

Van Opzeeland: “Niemand heeft een goed zicht op de miljoenen goedkope Aziatische apparaten die de wereldmarkt overspoelen.” Lacroix over het Internet of Things: “Er is geen standaardisatie, geen gemeenschappelijke taal, geen afgesproken protocol en geen standaard operating system, tel uit je winst.” Van der Schaaf: “De meeste kwetsbaarheden ontstaan al bij het schrijven van software. De kwaliteit van coding laat sterk te wensen over, zo blijkt uit testen bij Metri.”

Schaarste
Naast goede softwareontwikkelaars bestaat er een schaarste aan professioneel opgeleide securityexperts. Pluis: “In het kader van Cisco’s Digitale Versnelling Nederland gaan we in totaal 75.000 IT-mensen opleiden, onder wie securityexperts.” Lacroix: “Opleiden blijft inderdaad noodzakelijk, maar je loopt altijd drie tot vier jaar achter. Overheidsspotjes, zoals Kies Exact, halen uiteindelijk niet zo veel uit.” Van Opzeeland: “We zouden als werkgevers iets aan de beloning en waardering van het vak moeten doen. Tot op heden worden salesmensen bijna altijd beter gehonoreerd.” Meijer ziet wel een kentering: “Bij ilionx kunnen ervaren en goede securityspecialisten een hoger salaris verdienen dan verkoop- of BU-managers. Verder participeren wij in het initiatief ‘Geef IT door’ en verzorgen we gastcolleges.” Ondertussen blijft het aantrekken van expats volgens iedereen een goed alternatief. Expats genieten in Nederland een gunstig fiscaal regime voor de inkomstenbelasting.

De bietenbrug op
De hamvraag, tot slot: hoeveel moet je in security investeren om te voorkomen dat je net zoals Yahoo de bietenbrug op gaat? Vastomlijnde richtlijnen bestaan niet. Een ton, vijf ton, een miljoen? Het blijft nattevingerwerk, vindt iedereen. Lacroix: “Risico is nog steeds ‘kans maal impact’, maar hiermee ben je er nog niet. Een businesscase moet je goed voorbereiden.” Pluis: “Kwalificeren van risico’s is belangrijker dan kwantificeren.” Van der Schaaf: “Het kuddegedrag overheerst, als de concurrent investeert, vraagt de CEO: ‘Moeten wij ook niet iets aan security doen?’” Meijer stelt: “Je moet geen veiligheid bieden, maar weerbaarheid.” Christoph Heller, senior business manager bij ICT Media: “Waar zijn de commissarissen in deze hele discussie, zij hebben toch een eigen verantwoordelijkheid is deze?” Rob van Cutsem reageert hierop met: “Het klinkt misschien cynisch, maar misschien komt het echte bewustzijn pas met een nieuwe generatie bestuurders en commissarissen. In het Nederlandse bedrijfsleven regeert het old boys netwerk nog.”

Kortom: hoop doet leven en morgen wordt alles beter; ook voor Yahoo, als onderdeel van Verizon.

Bron: Boardroom IT