Beveilig kroonjuwelen met holistische blik

Lees hieronder het opiniestuk door Walter Belgers dat is gepubliceerd op 7 januari 2016 op Computable.nl.

Overheden willen inzage in zoveel mogelijk gegevens. Cloud-providers zullen daardoor gedwongen worden om backdoors in te bouwen. Ik denk dan ook niet dat de beveiliging de komende jaren zal toenemen en eerder zal afnemen. Om de 'kroonjuwelen' toch te beveiligen is een goede inventarisatie met een holistische aanpak nodig.

De toekomst voorspellen is altijd lastig. Van ontwikkelingen die zich al hebben ingezet, kun je natuurlijk nog wel bedenken wat daarmee gaat gebeuren. Zo zullen er steeds meer zelfrijdende auto's komen. Dat is geen verrassing. Toch is het interessant om die trends te extrapoleren en eens goed na te denken over de implicaties. Hoe hou je een zelfrijdende auto aan? Wie krijgt de bekeuring bij een overtreding? Offert een zelfrijdende auto zichzelf en zijn passagiers op om overstekende voetgangers te redden?

In het it-landschap zien we ook allerlei ontwikkelingen. Een hele belangrijke ontwikkeling is de wens van overheden om inzage te hebben in zoveel mogelijk gegevens. Hoewel het is bewezen dat terroristen en criminelen voornamelijk worden opgepakt door ouderwets politiewerk en niet door het aftappen van digitale gegevens, grijpen politici steevast elke aanslag en elk incident aan om allerlei wetten door te drukken die ze mogelijkheden geven om alle gegevens overal op te vragen. Het woord 'terrorist' is dan een soort carte blanche om maar te mogen doen wat ze willen, zonder enige controle, een ultieme vorm van fear, uncertainty and doubt (red. angst, onzekerheid en twijfel), die de it-beveiligingsindustrie wordt verweten.

Backdoors
Dit is ernstig. Als eerste zijn we steeds meer gaan outsourcen en in 'de cloud' gaan doen. Cloud-providers zullen gedwongen worden om backdoors in te bouwen voor overheden en inlichtingendiensten. Het probleem met backdoors (en met kwetsbaarheden in het algemeen) is dat, zodra iemand de ingang gevonden heeft, alle gegevens van iedereen wijd open liggen. En zoiets wordt zo lang mogelijk stilgehouden.

Als je de diensten intern afneemt, je geen service provider bent en je bedrijf is niet groot genoeg om alsnog interessant te zijn voor inlichtingendiensten, dan kun je waarschijnlijk je gegevens nog redelijk veilig zelf opslaan en verwerken.

De dreiging wordt daar echter ook steeds groter. Jaren terug waren we nog bezorgd over hackers die banken afpersten of een lek bij een journalist aankaartten. Dat zijn nog steeds zaken waar je tegen wilt beveiligen, maar (buitenlandse) concurrenten of staten die veel middelen kunnen inzetten om jouw bedrijfsnetwerk te kraken zijn er genoeg, zoveel is inmiddels al wel duidelijk. Vroeger zorgde je ervoor dat er een spion als medewerker werd aangesteld, tegenwoordig kun je je spionage (relatief) eenvoudig via internet uitvoeren.

Uitbesteden blijft
Zullen we in de komende jaren zo verstandig zijn om in een grotegolfbeweging weer af te stappen van clouddiensten? Dat verwacht ik niet. Beveiliging is namelijk erg lastig. En als je je gegevens zelf verwerkt en opslaat, moet je ze ook zelf beveiligen. Dan is het veel handiger om dat aan een cloud-provider uit te besteden. De nieuwe wet op de meldplicht van datalekken zal alleen maar versterken dat we meer in de cloud gaan doen. Als je gegevens die bij de cloud-provider opgeslagen zijn op straat komen te liggen, dan ga je zelf vrij-uit (mits je goede afspraken met de cloud-provider had over de beveiliging).

Holistische aanpak
De gegevens in de cloud zijn vaak waardevol, maar de gegevens die je als 'kroonjuwelen' zou aanmerken worden normaal gesproken toch ergens intern gehouden. Het risico is immers te groot dat er iets mee gebeurt. Maar hoe hou je die gegevens dan veilig? It-beveiliging is zo complex, dat het welhaast ondoenlijk is huidige it-omgevingen veilig genoeg te krijgen. In de praktijk worden er allerlei tests uitgevoerd en patches aangebracht, maar eens een stapje terug doen om te kijken welke data belangrijk is, of je die überhaupt wel nodig hebt, wie erbij kunnen en hoe deze beveiligd is, gebeurt niet zo vaak. Toch is die holistische aanpak de beste.

In plaats van een stap terug doen, grijpen mensen graag naar een kant-en-klare oplossing die wordt aangeboden. Na SIEM (security information & event management) is op dit moment 'Threat Intelligence' modewoord. Je koopt dan lijsten met ip-adressen of domeinnamen die in verband zijn gebracht met aanvallen, zodat je die kunt blokkeren. Helaas kan een aanvaller dit eenvoudig omzeilen. Je zult echt veel meer werk moeten steken in het tegenhouden van je concurrent die echt binnen wil komen. Zo blijven we aan symptoombestrijding doen.

Een holistische aanpak betekent dat je wat meer fundamenteel moet nadenken over je gegevens. Wat sla je op? Hoe minder je opslaat, hoe minder risico je loopt. Wat heb je opgeslagen, maar kun je weer weggooien? Zo'n vraag wordt maar zelden gesteld, het is makkelijker om grotere disks te kopen om meer op te slaan dan om de vraag te stellen. Toch wil ik pleiten voor zo'n holistische aanpak waarin je op meer fundamenteel niveau kijkt naar je gegevens. Misschien komt zelfs de vraag 'wegen de kosten van het beveiligen van deze website nog wel op tegen de winst?' dan uit de taboesfeer.

Bring your own device
Het zijn echter niet alleen de websites, zoals gezegd zijn veel gegevens te vinden op het interne netwerk. Meer en meer bedrijven gaan over op byod (bring your own device), niet alleen om af en toe thuis mail te lezen, maar om dag in, dag uit mee te werken. De beveiliging is dan grotendeels in de handen van de medewerker. Toegegeven, er zijn technische hulpmiddelen om byod veiliger te maken, maar uiteindelijk kan een eindgebruiker die de controle over zijn of haar eigen device heeft, daar alles mee. En dat geldt dus ook voor malware die op dat device draait.

Conclusie
Kortom, mijn verwachting is dat de beveiliging de komende jaren niet zal toenemen en eerder afnemen. Het belangrijkste om te doen is om te starten met een goede inventarisatie van de gegevens, de waarde ervan en de risico's die ermee samenhangen. Gebruik daarbij een holistische blik, schuw geen fundamentele vragen over het opslaan van gegevens en houdt rekening met geavanceerde aanvallers.

@Secura 2018
Webdesign Studio HB / webdevelopment Medusa