Security Academy Nieuws

Nieuws over de Security Academy en blogs van docenten over het vakgebied Cyber Security en Governance

Doen we met z'n allen genoeg?

20-1-2015

Informatiebeveiliging heeft de laatste jaren een enorme groei doorgemaakt, en het ziet ernaar uit dat deze groei de komende jaren alleen maar zal toenemen. Dit kun je niet alleen zien in het flink toenemen van vacatures voor security specialisten, maar ook aan het aantal bedrijven dat wil en/of moet voldoen aan verschillende regelgevingen en normenkaders op het gebied van informatiebeveiliging. Volgens het International Information Systems Security Certification Consortium, oftewel (ISC)2, zullen er de komende jaren dan ook wereldwijd nog “miljoenen” specialisten bij moeten komen. Kortom: een goed vooruitzicht voor onze sector!

Deze groei zal vermoedelijk gepaard gaan met een groei in draagvlak en bewustzijn in het bedrijfsleven, bij overheden en de consument. Hoewel ik deze beweging toejuich, rijst bij mij toch de vraag of we de beveiliging van onze netwerken en informatie juist aanpakken. Door de toename in digitale fraude, cyberspionage en hacking (vanaf nu gezamenlijk “cybercriminaliteit” genoemd) werden overheden, branche-organisaties en toezichthouders gedwongen om partijen te verplichten te voldoen aan steeds meer normen en regelgevingen. Hoewel dit een flinke stap voorwaarts is, merk ik wel dat heel veel bedrijven zich vooral zorgen maken over de boetes die voortkomen uit het niet voldoen aan de gestelde normen en regelgevingen, boven de financiële schade die daadwerkelijk voorkomt uit cybercriminaliteit. Denk hierbij bijvoorbeeld aan de beruchte hack bij DigiNotar; op papier voldeden ze aan alle normen en wetgeving, maar toch werden zij gehackt met desastreuze gevolgen. Kortom, hoewel normen en regelgeving goed zijn voor het verkrijgen van een bepaalde security baseline, draagt dit totaal niet bij aan het verkrijgen van inzicht in de daadwerkelijke risico's gerelateerd aan cybercriminaliteit.

Wat zou een betere aanpak zijn? Uiteraard blijft een security baseline altijd raadzaam om te voorkomen dat je een gelegenheidsslachtoffer wordt. Hier kunnen normen of best practices prima in voorzien. Na deze maatregelen is het wel noodzakelijk om de informatiebeveiliging actief te focussen op de digitale assets waarvan de risico's op het gebied van cybercriminaliteit het grootst zijn. Dit klinkt erg makkelijk, maar in de praktijk blijkt het erg moeilijk te zijn om te bepalen hoe groot risico's nu eigenlijk zijn. De klassieke methode voor het kwantificeren van risico's is het vermenigvuldigen van de gevolgschade met de kans hierop. Het bepalen van directe gevolgschade is in veel gevallen relatief gemakkelijk; risico-, financieel, en operationeel management kunnen hier gezamenlijk redelijk goed inzicht in geven. Indirecte schade, zoals imagoschade, is echter een stuk lastiger te bepalen. Bedrijven staan niet te popelen om gegevens vrij te geven over aantallen verloren klanten naar aanleiding van cybercriminaliteit; daar bovenop is het bepalen van gemiste toekomstige klanten ook voor hen zelf lastig vast te stellen.

De grootste uitdaging bij het kwantificeren van risico's is echter het bepalen van de kans hierop. Op microniveau kan natuurlijk wel worden gekeken naar inschalingen van kwetsbare systemen door vulnerability management software, maar op macroniveau zegt dit erg weinig. Hoe groot is bijvoorbeeld de kans dat een bedrijf ten prooi valt aan een spear phishing aanval? Hoe groot de kans dat gebruik gemaakt wordt van zero-day exploits? En hoe verschilt dit per branche? Dit soort informatie is bijna niet te vinden, terwijl dit wel hele waardevolle inzichten kan geven. In het verleden heeft het Computer Security Institute (CSI) in samenwerking met het Federal Bureau of Investigations (FBI) de jaarlijkse CSI Computer Crime & Security Survey gepubliceerd waar deze informatie wél in stond, maar de laatste publicatie stamt helaas uit 2011 en was bovendien enkel gericht op de Amerikaanse markt. De jaarlijkse trendrapporten van het Nationaal Cyber Security Centrum (NCSC) beschikken over rudimentaire gegevens op dit vlak, maar dit is nog te weinig concreet om echt bruikbaar te zijn. De huidige en toekomstige meldplicht voor datalekken zal hier nog wel wat aan toe kunnen voegen, maar ook dit zal niet zaligmakend zijn. Een betere aanpak is mijns inziens het op gestandaardiseerde wijze delen van generieke informatie over incidenten op het gebied van cybercriminaliteit, vanuit zowel de overheid als de private sector met het NCSC. Uiteraard moet dit gepaard gaan met het kweken van een cultuur om deze gegevens ook daadwerkelijk aan te leveren en met een hoge mate van betrouwbaarheid én vertrouwelijkheid (om te voorkomen dat dit door bijvoorbeeld toezichthouders of verzekeraars misbruikt wordt!). Zelfs op mondiaal niveau zouden statistieken gepubliceerd kunnen worden door bijvoorbeeld FIRST (het mondiale forum voor Incident Response en Security Teams), door het combineren van statistieken van de landelijke CERT's. Om te voorkomen dat hierbij appels met peren worden vergeleken is het noodzakelijk dat de classificatie van dreigingen, staffels van schade en overige componenten van een survey, zodanig gestandaardiseerd zijn dat deze wereldwijd samengevoegd kunnen worden tot daadwerkelijk bruikbare informatie.

Pas wanneer dit soort statistieken beschikbaar is, kunnen weloverwogen beslissingen worden genomen over het doorvoeren van eventuele extra beveiligingsmaatregelen, en de daarbij behorende additionele kosten. Tot deze tijd zal bij de meeste bedrijven en overheidsinstanties de focus van de informatiebeveiliging helaas primair blijven liggen bij het voorkomen van directe en indirecte schade door het niet voldoen aan verplicht gestelde normen en regelgeving. Wanneer men meer wil doen, zal gebruik gemaakt moeten worden van wellicht minder bevredigende methoden uit de black swan theory (Wikipedia is your friend!) om de impact te minimaliseren van de risico's waarvan de kans niet te bepalen is.

door Patrick van den Berg   |  20-1-2015

Patrick van den Berg is Security Consultant bij Heroth BV, dochterbedrijf van de Security Academy. Hij is momenteel werkzaam als Security Architect en gespecialiseerd in het snijvak van techniek en business.

Meer

Uw Internet Explorer versie is verouderd.

Deze website kan niet met deze browser worden bekeken!

Upgrade uw browser naar de laatste versie van Internet Explorer 8 of installeer een andere browser, zoals Firefox of Google Chrome.