Ondanks de alsmaar toenemende expertise in cyberbeveiliging, neemt het aantal zware hacks niet af. Hoe komt dat? En welke keuzes maak je als bedrijf om met die realiteit om te gaan?
Het cyberlandschap verandert, maar dat mag niemand verwonderen. Dat blijkt uit een rondetafelgesprek georganiseerd door HP Wolf Security. In een digitaal gesprek gemodereerd door Ed Amoroso, CEO van Tag Cyber, delen Deneen DeFiora, CISO bij United Airlines, Kurt John, Chief Cybersecurity Officer bij Siemens USA, Joanna Burkey, CISO voor HP Inc en Dr. Ian Pratt, Head of Security bij HP, hun inzichten over een veelvoud aan onderwerpen.
“Waarom blijven we gehackt worden?”, werpt Amoroso als centrale vraag op. “We gooien zoveel geld, tijd en mensen tegen het probleem aan, waarom krijgen we het niet opgelost?” De experten zijn het erover eens dat complexiteit een rol speelt, langs twee kanten.
Complexiteit en legacy
Enerzijds is er de complexiteit van organisaties zelf. Bedrijven groeien en worden complexer maar blijven ook hun geschiedenis meesleuren. “Veel beveiligingsproblemen vinden hun oorsprong in legacy”, zegt Pratt. “Toestellen zijn geboren in de jaren ’80, toen beveiliging geen prioriteit was. Zij staan garant voor een bijna oneindige voorraad aan kwetsbaarheden.”
Legacy staat garant voor een bijna oneindige voorraad aan kwetsbaarheden.
Dr. Ian Pratt, Head of Security HP
John staat vanuit zijn rol bij Siemens dicht bij de OT-kant van het beveiligingsverhaal. Hij bevestigt wat Pratt zegt. “Machines worden gebouwd om soms zelfs een halve eeuw mee te gaan. De levenscyclus van software is veel korter. Nu infrastructuur via digitalisering gemoderniseerd wordt, brengt dat risico’s met zich mee.”
Pratt: “Gelukkig wordt de rommel over het algemeen sneller opgekuist dan er nieuwe wordt aangemaakt. Het zal wel nog decennia duren voor infrastructuur overal vervangen is door nieuwe toestellen met een security-first-aanpak.”
Criminele bedrijven
Anderzijds mag je cybercriminelen niet onderschatten. Ook zij evolueren naar meer complexiteit. “We vergeten soms dat ook Threat actors succesvolle enterprises hebben”, zegt John. “Het zijn mensen met een zakeninstinct die er voornamelijk voor het geld zitten. Ze verdelen de winst, werken samen en zetten hun specialisaties in als een dienst, naar analogie met legitieme bedrijven.”
Pratt: “Criminele organisaties investeren ook in R&D. Ze hebben tijd om zaken beter uit te buiten en richten zich niet op één bedrijf, maar zoeken naar kwetsbaarheden die vele organisaties tegelijkertijd treffen.” Hij doelt onder andere op Log4j en Kaseya.
Burkey merkt hetzelfde: “Vroeger viel de aanvaller een enkel slachtoffer aan in een een-op-een-verhouding. Vandaag zoeken aanvallers gemeenschappelijke kenmerken tussen honderden of duizenden slachtoffers. Zo kunnen ze met dezelfde hoeveelheid werk veel meer slachtoffers maken.”
Resistent maar niet immuun
Alle experts in het panel zijn het erover eens dat het in het huidige landschap zo goed als onmogelijk is om incidenten uit te sluiten. Het is daarom belangrijk om de juiste focus te kiezen. “Wij spreken van een shift van cyberbeveiliging naar cyberweerstand”, zegt DeFiora. “De organisatie moet operationeel blijven, wat er ook gebeurt in het cyberlandschap. Crisisbeheer moet daarom ingebakken worden. Je moet in staat zijn om te antwoorden op een aanval zonder dat het bedrijf daardoor tot een halt komt.”
Wij spreken van een shift van cyberbeveiliging naar cyberweerstand.
Deneen DeFiora, CISO United Airlines
John denkt eveneens dat het belangrijk is om te kijken wat er echt kritiek is binnen een onderneming. “Dat zijn de assets waar je nauwer op moet focussen.” In het huidige klimaat mag een succesvolle aanval geen verrassing meer zijn, maar moet je een plan klaar hebben.
Goede basisprincipes
Dat alles impliceert natuurlijk niet dat de strijd verloren is, en dat je je maar moet neerleggen bij het feit dat een aanvaller zich vroeg of laat wel een weg naar binnen verschaft. Er is voldoende dat je wel kan doen. “Er zijn zoveel kwetsbaarheden”, weet Pratt. Volgens hem is er geen beginnen aan om je daar op individuele basis tegen te beschermen. “Je moet oplossingen zoeken die een hele klasse van problemen kunnen aanpakken. Als je bedreigingen in een hele categorie afdekt, maat het niet uit dat er nieuwe variaties ontstaan.”
Er zijn enkele basisprincipes die volgens Pratt de tand des tijds hebben doorstaan en waarvan je intussen kan verwachten dat ze een goede basis vormen om veilige systemen mee te bouwen. Eén zo’n belangrijk principe is dat van beperkte privileges. “Verminder de toegangsrechten van een persoon of applicatie tot het striktst noodzakelijke.” Het hele panel merkt op dat aanvallen nog steeds heel vaak een menselijke component hebben. Iemand wordt overtuigd om een bestand uit te voeren of om op een link te klikken. Van daaruit werkt de hacker verder. Door accounts geen onnodige toegang te verlenen, maak je het de aanvaller moeilijk om al te veel schade aan te richten.
lees ook
Beveiliging zonder detectie: de kracht van virtuele machines
Een ander belangrijk principe is isolatie van processen. “Stop dingen in een container. Loopt er dan toch iets mis, dan verspreidt de infectie zich niet. Vroeg of laat zal er iets mislopen, maar zo beperk je de impact.” Pratt denkt dat die twee technieken niet tijdgevoelig zijn, en vindt ze geschikt voor zowel nieuwe systemen als voor het retrofitten van oude.
Samengevat bevestigt iedereen dat honderd procent veiligheid niet bestaat, maar op basis van de juiste principes kan je wel een heel eind komen. “IT-beveiliging moet een deel worden van de bedrijfscultuur”, zegt Burkey daarover.” Ze stelt vast dat de conversatie wat dat betreft wel volwassener wordt. “Het gaat meer over business. Cyberbeveiliging wordt een deel van goede bedrijfsvoering.”
Wat met transparantie?
Verder mag je niet hopen dat een succesvolle inbraak nooit zal gebeuren, maar moet je er binnen je onderneming voor zorgen dat zo’n inbraak snel gedetecteerd wordt. Vervolgens is het een kwestie van een goede respons klaar te hebben die de bedreiging oplost, zonder dat de kernactiviteiten daaronder leiden.
Wat tot slot met transparantie? Daar praten de CISO’s plots andere taal. Niemand in het panel is een grote fan van disclosure. Hier merken we dat we een op en top Amerikaans panel voor ons hebben. Hoewel alle deelnemers het belangrijk vinden om van elkaar te leren, hebben ze net zo goed allemaal een reden klaar die aangeeft waarom het verplicht aangeven van hacks een slecht idee is. John denkt dat teveel transparantie de concurrentie een voordeel kan geven. DiFiore vindt het belangrijk om een duidelijke business-uitkomst voor ogen te hebben wanneer het over externe communicatie gaat en Burkey raadt aan om creatief te zijn over wat disclosure precies betekent. “Is het wel altijd nuttig om iets te delen?”, vraagt ze zich af.
lees ook
Google Analytics illegaal in heel Europa volgens Oostenrijkse GDPR-interpretatie
In Europa is deze kwestie intussen een non-discussie: zijn er persoonsgegevens mee gemoeid, dan moet je als onderneming kennis geven van een hack. Dat bepaalt de GDPR. De toon van de CISO’s illustreert evenwel dat de geesten nog niet rijp zijn voor al te veel transparantie over cybersecurity bij grote ondernemingen. Dat zorgt voor een vicieuze cirkel, waarbij zelf gehackt worden in een taboesfeer blijft zitten. Waarom worden we nog steeds gehackt? Misschien wel voor een stuk omdat we schrik hebben om transparant over hacks te communiceren.