Lek als een mandje, maar geen idee

  1. 5 apr 2017
  2. 0 reacties

Bedrijven besteden veel te weinig aandacht aan detectie

Bij de gemeente Rotterdam en bij enkele loterijen zijn deze week grote gaten in de beveiliging geconstateerd. Zijn die gaten gebruikt om gevoelige gegevens te stelen? Niemand weet het zeker. Dat we dát niet weten is eigenlijk veel erger dan de gaten zelf, stelt René van Buuren, directeur cybersecurity bij Thales Nederland.

ReneVanBuuren_Thales-2_615x409-300x200 René van Buuren, Directeur Cybersecurity bij Thales Nederland

Bent u wel eens in het Louvre geweest? Of in de Hermitage in Sint Petersburg? Prachtige musea met onvoorstelbare collecties kostbare kunstschatten. Mensen staan soms uren in de rij om er alleen maar naar te mogen kijken. Op sommige dagen zijn de rijen vele honderden meters lang – en waarom? Niet alleen omdat iedereen een kaartje moet kopen, maar omdat kostbare kunstschatten beveiligd moeten worden. De musea willen weten wie er binnenkomt en wie er uitgaat. Er staan detectiepoorten bij de in- en uitgang. De zalen worden bewaakt door suppoosten en nachtwakers. Beveiligingspersoneel staat op wacht bij de topstukken. Camera’s houden de zalen en gangen nauwlettend in het oog.

Stelt u zich nu eens uw organisatie voor als een museum en uw kostbare gevoelige gegevens als kunst. Bezoekers hoeven niet langs de kassa. Ze hebben allemaal hun eigen ingang en allemaal een eigen sleutel. En achter die deuren: niets. Geen camera’s. Geen suppoosten. Geen bewakers. Eenmaal binnen kunt u ongestoord ronddwalen. U hebt het hele museum voor uzelf. De deuren zijn voorzien van goede sloten, maar als u binnen bent gekomen door een deur die iemand open heeft laten staan, of die iemand vergeten is te beveiligen, of als u een sleutel gebruikt die u even van iemand anders hebt ‘geleend’, komt niemand ooit te weten dat u er bent geweest.

Geen controle na de voordeur

Dat is de situatie waar heel veel organisaties nog steeds in zitten. Afgelopen week werd Nederland opgeschrikt door maar liefst twee grote cybersecurity incidenten. De Rotterdamse Rekenkamer kwam in botsing met het college van burgemeester en wethouders, omdat de gemeente zo cybersecure bleek als een mandje en maar liefst drie goededoelenloterijen maakten bekend dat er een gapend gat zat in hun computersystemen.

In beide gevallen werd direct actie ondernomen. In Rotterdam dreigde het college met een kort geding om te voorkomen dat het rapport van de Rekenkamer openbaar zou worden gemaakt. Immers: zolang de gaten niet gedicht zijn, zou zo’n rapport misbruik kunnen uitlokken. En de loterijen namen per direct afscheid van de leverancier die een deurtje naar hun data had laten openstaan.

Maar in beide gevallen is het niet duidelijk of de gaten in de verdediging ook werkelijk zijn misbruikt. Ja, bij de loterijen verzekerde de vriendelijke hacker die het security-lek bij hen aankaartte dat noch hij, noch iemand anders iets onoorbaars met de data had gedaan. Dat moeten de loterijen dan maar geloven. Controleren kunnen ze het waarschijnlijk toch niet meer.

Tijd voor detectie

In plaats van zich kwaad te maken over zo’n leverancier, of over de gebrekkige beveiliging van een complex systeem als dat van een publieke organisatie als de stad Rotterdam, zouden organisaties zich moeten afvragen waarom ze eigenlijk niets hebben geregeld om de collectie zelf in het oog te houden. Als die gegevens zo waardevol zijn – waar zijn dan de suppoosten, de camera’s en de bewakers die alle kostbaarheden nauwlettend in het oog houden?

Recent heeft Thales haar jaarlijkse Data Threat Report uitgebracht. Daaruit bleek dat inmiddels maar liefst 68% van de ondervraagde organisaties inmiddels te maken heeft gehad met een datalek. En dat zijn de bekende lekken! Volgens de Autoriteit Persoonsgegevens 96% van de lekken uitsluitend aan het licht dankzij de oplettendheid van derden buiten de organisatie.

De Autoriteit stelt verder dat het gemiddeld 229 dagen duurt voordat een organisatie ontdekt dat zich op hun systemen iets heeft afgespeeld wat het daglicht niet kon verdragen. 229 dagen! Stelt u zich voor dat iemand de Mona Lisa kan vervangen door een postertje uit de museumwinkel en dat het Louvre daar pas 6 maanden later achter komt doordat een bezoeker ze daar op wijst…

In een tijd dat bedrijven, overheden en samenlevingen steeds afhankelijker worden van digitale data, is het hoog tijd dat er meer aandacht komt voor detectie. De vraag is namelijk helemaal niet meer of er ongewenste gasten in uw netwerk kunnen komen – die zijn er hoogstwaarschijnlijk allang geweest. U heeft het alleen (nog) niet gemerkt.

René van Buuren is directeur Cybersecurity bij Thales Nederland. Thales levert security detectie diensten vanuit eigen Security Operation Centers (SOCs).