Security aanpak vaak luilekkerland voor hacker

‘IT-security kost alleen maar geld en de voordelen zijn moeilijk meetbaar.’ Veel bedrijven hebben jarenlang gehandeld naar deze volkswijsheid. De laatste twee jaar staat IT-Security echter flink hoger op de agenda. Mede door serieuze security-incidenten waarbij aanvallers wachtwoorden, encryptiesleutels en zelfs beveiligingscertificaten in handen kregen. Terwijl bekende securitygaten sindsdien wel zijn gedicht, zijn veel websites en systemen toch nog kwetsbaar. Hoe dat kan? Het ontbreekt aan een holistische IT-security aanpak en door personeelsschaarste in de markt heeft men niet de juiste security kennis in huis.

Dit structureel kwetsbaar zijn, geldt niet slechts voor eenvoudige websites maar ook voor (bedrijfs)applicaties die toegankelijk zijn via het web. Voor al die online-toepassingen is er nu grote noodzaak om actie te ondernemen: een groot percentage van alle webapps heeft ernstige securitygaten. Daardoor zijn bijna al die webapps te misbruiken voor datadiefstal en industriële spionage. En in het geval van succesvolle cyberaanvallen kunnen bedrijven flinke imagoschade lijden als die inbraken aan het licht komen, wat maar al te vaak gebeurt. Zoals we gezien hebben bij het Amerikaanse retailer Target kan het zelfs leiden tot het gedwongen opstappen van een topbestuurder.

Op achterstand in de cybercrime-race

Bedrijven lopen flink achter op hun aanvallers wat betreft IT-security kennis rondom webapplicaties. Een aanvaller heeft legio mogelijkheden om zijn criminele werk te verrichten. Het risico voor bedrijven is vaak nog vergroot doordat er snel een weboplossing is neergezet, waarbij bijvoorbeeld bestaande softwaremodules zijn gecombineerd met nieuw geschreven code. Zo’n webapplicatie is dan snel gemaakt en biedt de gewenste - of voldoende - functionaliteit. Maar bij zo’n snelle ingebruikname is security vaak het ondergeschoven kindje. Uitgebreide en langdurige securitychecks zijn dan niet uitgevoerd en dit geeft aanvallers veel kansen. En dat wéten cybercriminelen.

Kortom, veel bedrijven laten IT-security nog teveel over aan toeval. Vaak zijn er wel individuele oplossingen beschikbaar die individuele taken aanpakken, zoals virusbescherming, wachtwoord- en identiteitsbeheer, encryptie van gevoelige bedrijfsgegevens, of afweer tegen DDoS-aanvallen op websites en webapplicaties. De zorg voor die - op zich zeker belangrijke - individuele taken ligt bij meerdere mensen en afdelingen, maar het ontbreekt vaak aan iemand die verantwoordelijk en aansprakelijk is voor alle IT-securitytaken. Dus blijft IT-beveiliging in de regel een kwestie van pappen en nathouden.

Holistische strategie en CSO nodig

Dat kan zo niet langer. IT-security moet een taak worden binnen het senior management. Die moet op de eigen agenda de ontwikkeling zetten van een holistische IT-securitystrategie. Daarin moeten alle aspecten van IT-security worden meegenomen en moet één verantwoordelijke persoon worden aangesteld. Die nieuwe topbestuurder is dan verantwoordelijk voor de implementatie van deze strategie én voor de doorlopende aanpassing ervan aan de constant evoluerende praktijk. Losstaande security-oplossingen die zijn gericht op individuele problemen volstaan niet langer. Het levert een luilekkerland op voor aanvallers. Bedrijven moeten nu centraal handelen om blijvend voorbereid te zijn op cyberaanvallen.

Hans Nipshagen is Regional Manager Benelux bij Akamai Technologies