Angelo van der Sijpt is fellow security & connected devices bij Luminis. Als engineer en architect heeft hij een neus voor het herkennen van patronen en vormen van succesvolle applicatietechnologieën. Hij ziet security en privacy als de grootste bedreiging – en daarmee als kans.
Van der Sijpt verdiept zich dagelijks in uitdagende onderwerpen die op hun kop zijn gezet door het internet, goedkopere maar capabele hardware, mobiele telefoons en last but not least het internet of things (IoT). Recent gaf hij bij iSense ICT Professionals een presentatie over hoe bedrijven en it’ers verschillend naar security kijken. ‘Security is ieders verantwoordelijkheid.’
Verantwoordelijkheden in het midden
‘Wat je in de praktijk ziet, is dat het management van een organisatie denkt: we moeten iets met security’, aldus Van der Sijpt. ‘Tegenover het management staat de it-afdeling, zij lopen tegen problemen aan waarvan zij niet weten wat zij ermee moeten. Daarom blijven de verantwoordelijkheden vaak in het midden liggen. Een engineer kan een mooi systeem bouwen, maar als hij dat niet op een veilige manier uitrolt, niet juist installeert of als het niet juist gebruikt wordt, levert dit beveiligingsrisico’s op.’
Van der Sijpt maakte recentelijk bij een webstore een account aan en kreeg daarna een accountbevestiging met daarin zijn wachtwoord. ‘Dit vertelt mij dat die organisatie niet zorgvuldig met mijn wachtwoord (en mogelijk andere gegevens) omgaat. Ik vermoed dat een projectmanager ooit dacht: dat is handig! Vervolgens heeft de engineer zijn schouders opgehaald en gebouwd wat de projectmanager heeft gevraagd. Als laatste heeft de system administrator een systeem opgezet waar de database op draait. De verantwoordelijkheid voor de data blijft hiermee in het midden liggen, terwijl het ieders verantwoordelijkheid is: signalerend, aansturend of oplossend.’
Digital security ondergesneeuwd
Blijkbaar is het slecht gesteld met de digital security van Nederlandse bedrijven. Waarom denkt Van der Sijpt dat Nederlandse bedrijven achterlopen op dit gebied? ‘De gevolgen voor bedrijven door het onzorgvuldig omgaan met persoonsgegevens waren tot voor kort niet gekwantificeerd. Hierdoor is het onderdeel digital security bij bedrijven redelijk ondergesneeuwd.’
De conclusie dat het slecht gesteld is met de digital security van Nederlandse bedrijven heeft volgens Van der Sijpt te maken met onbekendheid. ‘In de praktijk willen bedrijven vaak dat het wel veilig is. Wat betekent veilig? Security is een veelomvattend probleem. Je kunt dit vergelijken met het beveiligen van jouw huis, dat je beveiligt door op elk raam een zwaar slot te zetten. Maar als jij één raam vergeet, dan maakt het niet uit hoe goed de beveiliging op al die andere ramen is, want een inbreker zal altijd het raam kiezen dat niet beveiligd is. Hetzelfde geldt voor security-incidenten, het is altijd de zwakste schakel die geraakt wordt. Staat er een firewall open? Is een productiewachtwoord gelijk aan een testwachtwoord en staat dit wachtwoord in een database? Zo zijn er ontzettend veel risico’s en het is moeilijk om deze allemaal in kaart te brengen.’
GDPR
Tegenwoordig wordt in Nederland de wet- en regelgeving rondom digital security duidelijk. Dankzij de General Data Protection Regulation (GDPR) kunnen bedrijven tegenwoordig verantwoordelijk gehouden worden voor het onzorgvuldig omgaan met persoonsgegevens. Doen zij dit? Dan kunnen zij een boete krijgen die kan oplopen tot vijf procent van de wereldwijde jaaromzet.
‘Dit valt voor mij als persoon wel mee’, meent Van der Sijpt, ‘maar voor een bedrijf hakt dit behoorlijk in de marge. Mede om die reden verwacht ik dat we verbeteringen zullen gaan zien bij Nederlandse bedrijven als we het hebben over security.’
Ransomware als WannaCry
In deze tijd hebben we echter met meer typen cyberaanvallen te maken. Neem ransomware. Hoe kunnen bedrijven zichzelf zo goed mogelijk beschermen tegen attacks zoals WannaCry? Van der Sijpt: ‘Naar mijn idee zit de beste beveiliging aan twee kanten: de voorkomende kant en de oplossende kant. Het leuke is: beide zijn niet technisch! Aan de voorkomende kant heb je eenvoudige zaken zoals het gebruik van e-mailfilters, maar denk vooral ook aan een security awareness training. Wat sommige grote bedrijven regelmatig doen is intern een phishing mail uitsturen en kijken wie er op klikt. Op het moment dat jij klikt kom je terecht in een zes uur durende security awareness training Geloof mij, er is altijd wel iemand die er in trapt. Eén persoon die op een verkeerde link klikt is genoeg om een compleet bedrijf over te nemen. Ditzelfde gebeurde met WannaCry.’
Aan de oplossende kant heeft Van der Sijpt ook nog wel wat aanbevelingen. ‘Zorg ervoor dat jij als bedrijf een recovery-plan hebt, bijvoorbeeld met goede backups die zijn getest. Het hoeft niet complexer te zijn dan dat. Welke maatregelen je ook treft, het kan alsnog misgaan! Het kan namelijk ook opzet zijn, zoals bij Yahoo waar een system administrator was omgekocht door hackers.’
Tijdperk vol cyberattacks
Als het zo eenvoudig is om een gerichte aanval op een organisatie uit te voeren, is WannaCry dan nog maar slechts het begin van een tijdperk vol cyberattacks? ‘Sterker nog, we leven al in een tijdperk vol cyberattacks’, laat Van der Sijpt weten. ‘Als jij een apparaat onbeveiligd aan het internet hangt, dan is dat apparaat, afhankelijk van het type, binnen negentig seconden overgenomen. Zo werkt het Mirai-botnet bijvoorbeeld.’
Van der Sijpt verwacht daarom dat aanvallen agressiever zullen worden. ‘WannaCry was wat mij betreft een buitencategorie-aanval. Het maakte gebruik van een aantal geavanceerde kwetsbaarheden die een tijd daarvoor van de NSA gestolen waren. Deze kwetsbaarheden zaten al lang in Windows, ik vermoed dat de NSA hier nuttig gebruik van heeft gemaakt.’
Tips voor it’ers
In antwoord op de vraag of hij tips heeft voor it’ers om de digital security te verbeteren, reageert Van der Sijpt met de opmerking dat je als it’er een voorbeeldfunctie hebt. ‘Daarom is het belangrijk dat je verantwoordelijk met tools omgaat en niet hetzelfde wachtwoord gebruikt voor verschillende systemen.’
Daarnaast zijn er nog drie manieren waarop de it’er de digital security kan waarborgen bij het bedrijf waarvoor hij werkt:
- Zorg als it’er dat de systemen die jij gebruikt up-to-date zijn, of gebruik ze niet meer. De meest praktische aanvallen op bedrijven vinden niet plaats door een directe aanval op een firewall, maar door een WordPress-servertje dat vier jaar geleden is opgezet en daarna is vergeten.
- Wees je ervan bewust dat het óók jouw verantwoordelijkheid is. Het is jouw taak om naar je manager te stappen en zaken te melden die jou opvallen in de digital security. Tegelijkertijd mag jij pleiten voor een security awareness-training voor de rest van het bedrijf.
- Ben je een engineer? Doe dan mee aan een hacking-event. Zo kom je erachter hoe eenvoudig het is beveiligingen te omzeilen.
Tips voor bedrijven
We vroegen Van der Sijpt ook om tips voor bedrijven voor het verbeteren van hun digital security.
Zoals hij al eerder aangaf, heeft het verbeteren van de digital security niet alleen met technologie te maken. Bedrijven kunnen verschillende dingen doen om de digital security te verbeteren:
- Verdeel de taken duidelijk. Maak iemand (binnen het managementteam) verantwoordelijk voor de veiligheid van het systeem en de data. Vaak is dit de infrastructuurmanager of chief information security officer.
- Zet security op de managementagenda. Maak security bespreekbaar. Verlaag de drempel voor engineers om naar het management toe te stappen over security-issues.
- Ga ervan uit dat het misgaat en bereid je passend voor. Zorg voor een escalatieplan met duidelijke uitwijk- en herstelplannen. Maak het communicatieplan onderdeel van het escalatieplan, zodat stakeholders binnen een redelijk tijdsbestek op de hoogte worden gebracht van de situatie en de oplossingen.
Gedegen artikel. Dank! Bij sommige artikelen haal ik wel de wenkbrauwen op. Wellicht voor Belgische maatstaven een beetje ‘forte’. Een project manager die niet weet wat de mensen onder hem doen, verantwoordelijkheden niet goed belegt, die heeft in de automatisering wat mij betreft niet veel te zoeken.
Automatiseren, exact, 100% voorspelbaar
Vrijwel niemand van de klanten van de IT dienstverlener, laat staan de gebruikers zelf, weten dat digitaal automatiseren met IT, een exacte zaak is met een voorspelbaarheid van 100%. Hiaten in systemen en processen kunnen natuurlijk voor komen, waar mensen werken, zijn spaanders. Maar wanneer het nievau daalt naar een niveau dat leidinggevenden a: geen inzicht betonen in materie en processen en IT professionals ongecontroleerd dingen doen, dan is dit vragen om problemen.
Toegegeven, heel veel IT professionals, zijnde een crack op hun vakgebied, doch geen notie blijken te hebben van de wetmatigheden waar digitaal automatiseren aan is onderworpen, is juist het grootste risico voor de veiligheid binnen elke echelon, discipline en vakgebied waar IT word geimplementeerd. Niet zo zeer de beveiliging.