Cybercrime voor IT-security belangrijkste thema voor 2015
De wereld wil er maar niet veiliger op worden. Sinds de Tweede Wereldoorlog werd er niet zoveel gevochten als nu. Volgens de website warsintheworld.com werd er in november 2014 in 64 landen gevochten door 592 opstandige groepen. De Arabische lente is inmiddels omgeslagen tot een gruwelijk conflict van de halve wereld met IS, waarbij terugkerende jihadisten voor een nieuwe dreiging zorgen. Tegelijk zijn de conflicten heel dichtbij gekomen door de spanningen in de Oekraïne en met Rusland, wat tot een triest dieptepunt kwam met het neerhalen van vlucht MH-17.
Ook in de digitale wereld laaien de conflicten op. IS schijnt zich voor te bereiden op grote cyberaanvallen en kaapt intussen grote aantallen websites om hun propaganda te verspreiden. Maar ook gevestigde staten laten hun digitale spierballen rollen: de complexiteit van de Regin-malware, die recent ontdekt is, laat zien dat de Verenigde Staten en Groot-Brittannië niet stil hebben gezeten en hun digitale spionageactiviteiten, ook in West-Europa eerder opvoeren dan dat ze ineens rekening houden met de privacy gevoeligheid van veel West-Europese burgers. De ‘tegenstanders’ van de VS, zoals Iran en Noord-Korea, zitten ook niet stil en slaan digitaal steeds sterker terug.
Intussen nemen op het vlak van ‘particuliere’ cybercriminaliteit de dreigingen en de complexiteit daarvan alleen maar toe. Het blijft een aantrekkelijke, snel groeiende markt met zeer hoge marges en beperkte risico’s. Voor een criminele organisatie met winstoogmerk is de business case dan wel heel erg snel gemaakt, zelfs in Nederland, waar we volgens Kaspersky Lab tenslotte de beste cybercops uit de hele wereld zouden hebben. Het is dan ook niet zo vreemd dat cybercrime voor IT-security binnen Nederlandse bedrijven het belangrijkste thema voor 2015 is.
Figuur: IT-security thema’s voor Nederlandse organisaties in 2015
Q14: Welke van de volgende thema's zijn voor u de komende 12 maanden het belangrijkst op het gebied van IT-security?
Prioriteit 1: Cybercrime
Cybercrime staat nooit stil. Aan het eind van ieder jaar, ook nu, wordt door menig securityprofeet de cyberapocalyps voorspeld. De manier waarop bedrijven security inrichten moet radicaal anders om het grote onheil nog af te kunnen wenden. Hoewel het wat zwaar wordt aangezet, weten we allemaal dat we de strijd allerminst aan het winnen zijn. Net zoals retailers een bepaalde mate van winkeldiefstal bereid zijn te accepteren, zijn er steeds meer bedrijven die zich neerleggen bij een bepaalde mate van datadiefstal of andere digitale criminele schadeposten. Maar nu aanvallen steeds complexer worden en zich bijvoorbeeld op zero-day exploits richten, neemt de kans dat de firewall gepenetreerd wordt aanzienlijk toe, alsook de bijbehorende schade.
Niet iedere organisatie is even goed voorbereid op complexe aanvallen. Van de organisaties (50 of meer medewerkers) die we ondervroegen in de Nationale IT-Security Monitor, gaf meer dan de helft aan gebruik te maken van detectie-oplossingen waarbij verdachte gebeurtenissen worden gemeld. Maar zowel op proactief als reactief vlak, ontbreekt het vaak aan afdoende maatregelen. Ook het permanente monitoren wordt door een beperkt aantal organisaties gedaan en dan met name binnen de financiële dienstverlening, terwijl vooral de zorg achterblijft.
Figuur: Advanced Threat Protection maatregelen
Q26: Welke van de volgende beveiligingsmaatregelen heeft uw organisatie ingericht, specifiek met het oog op het beschermen van uw organisatie tegen complexe aanvallen?
Prioriteit 2: Privacy
Met stip op de tweede plaats staat het thema privacy. Er zijn nogal wat redenen waarom dit zo hoog op de agenda is komen te staan. Het onderwerp is vooral ‘populair’ geworden door de onthullingen van Edward Snowden, die alle geruststellingen van Amerikaanse cloud leveranciers met betrekking tot de Patriot Act van tafel veegden. Waar de impact in de publieke sector groot was - de politiek zit immers om de hoek, zagen de meeste bedrijven de risico’s aanzienlijk genuanceerder. Dat privacy toch zo hoog op de agenda staat, komt door de regelgeving vanuit de overheid. De regelgeving is deels een reactie op vooral het Amerikaanse ‘datagraaien’, maar in essentie vooral een reactie op de digitalisering van privacygevoelige gegevens en de wens van organisaties om die data op allerlei manieren te combineren en te gebruiken. Een datagoudzoeker is, wat de overheid betreft, niet te vertrouwen.
De regelgeving die voor de meeste aandacht zorgt, komt uit Europa in de vorm van de Algemene Data Protectie Verordening, waar iedere organisatie met 250 of meer medewerkers aan dient te gaan voldoen. Als we naar de gereedheid van Nederlandse organisaties kijken, is vrijwel niemand geheel voorbereid. In 2015 zal er nog flink aan getrokken moeten worden om op tijd klaar te zijn.
Figuur: Klaar voor de Data Protectie Verordening?
Q20: In welke mate is uw organisatie voorbereid op de volgende eisen van de Data Protectie Verordening? [Alleen organisaties met 250 of meer medewerkers]
Prioriteit 3: Web security
En dan was er ook nog het nieuws dat veiligheidscertificaten van websites het hackers vooral makkelijk maken: dan weten ze meteen hoe ze niet binnen moeten komen en waar de mogelijke gaten dus wel zitten. Web security en cybercrime hebben natuurlijk veel met elkaar te maken. De grote uitdaging is dat werknemers steeds meer en vooral op steeds meer apparaten zich toegang tot het Internet verschaffen en zo ook nog eens toegang tot bedrijfsapplicaties en data willen verschaffen.
Momenteel valt op dat er veel moeite is om enige grip te krijgen op het gebruik van mobiele apparaten. Meer dan de helft van de respondenten in de Nationale IT-Security Monitor bevestigde dat men onvoldoende kennis in huis heeft om te garanderen dat mobiele toegang (via bijvoorbeeld smartphones of tablets) veilig plaatsvindt. De belangrijkste maatregelen om het in goede banen leiden, zijn dan ook vooral gericht op het beperken van de toegang tot bedrijfsapplicaties en data. Het bewustzijn dat dit geen duurzame strategie is, is echter sterk, waardoor ook dit punt hoog op de security-agenda staat.
Prioriteit 4: Training
IT is een zeer veranderlijk vak, waarbij het noodzakelijk is om vaardigheden met grote regelmaat aan te scherpen en uit te breiden. Voor IT-beveiliging is een cursus op zijn tijd onvoldoende. De uitdaging om bij te blijven bij alles wat echt noodzakelijk is om te weten, is enorm. Sterker nog, het is onmogelijk. Niet voor niets zijn er geen organisaties die hun IT-beveiliging geheel runnen zonder hulp van buitenaf. Vrijwel iedere organisatie maakt daarom van enige vorm van managed security gebruik. Desalniettemin staat security training in 2015 hoog op de agenda van de Nederlandse CISO.
Figuur: IT-security training in 2015
Q22: Op welke van de volgende gebieden gaat u de komende 12 maanden in training investeren?
Nederlandse organisaties denken vooral in training op het gebied van DLP te gaan investeren, op de voet gevolgd door netwerkbeveiliging. De trainingen zijn vooral van technische aard, maar er is ook veel aandacht voor awareness training onder gebruikers. Opvallend is dat de aandacht voor privacy en cloud security onderaan bungelen, terwijl beide onderwerpen wel top-5 security thema’s zijn voor 2015. Met de nadruk op vooral technische training is het niet zo vreemd dat 64% van de onderzochte organisaties aangeeft, dat er te weinig in security training wordt geïnvesteerd.
Prioriteit 5: Cloud security
Hoewel er weinig in cloud security training wordt geïnvesteerd, geeft 49% van de onderzochte bedrijven aan onvoldoende kennis in huis te hebben om te garanderen dat cloudoplossingen veilig gebruikt worden. Organisaties maken zich vooral zorgen over het gebrek aan controle over de beveiliging van data. Welke leveranciers zijn te vertrouwen en hoe kunnen we nagaan of ze de beveiliging van onze data wel op orde hebben? Opslag kan immers wel uitbesteed worden, maar de verantwoordelijkheid voor data niet.
Figuur: Cloud security uitdagingen
Q28: Wat zijn wat u betreft de belangrijkste uitdagingen op het gebied van cloud security?
Ook maken veel organisaties zich zorgen over de opkomst van schaduw-IT. Cloudoplossingen komen niet via de traditionele IT-kanalen de organisatie binnen, maar worden vaak al gebruikt voordat IT ervan op de hoogte is. Als het mis gaat, kan je de business of medewerker wel de schuld geven, maar weet je ook wie de rommel mag opruimen. Ook voor cloud geldt dat de afgelopen jaren de nadruk vaak op beperken en verbieden lag, maar dat deze zal moeten verschuiven naar faciliteren. Hoe zorg je ervoor dat je op tijd aan tafel zit om veilig gebruik te garanderen?
Eén van de interessantere mogelijkheden die nu nog beperkt benut wordt, maar in 2015 verder zal opkomen, is die van het sleutelbeheer. Amazon biedt bijvoorbeeld de mogelijkheid om sterke encryptie te combineren met het zelf beheren van de sleutels. Amazon heeft dan simpelweg de sleutel niet en is dus ook niet in staat om data op verzoek van Amerikaanse diensten te ontsleutelen.
Security is proactief in 2015
Bedrijven en instellingen zijn in een snel tempo verder aan het digitaliseren. Het succes van een organisatie wordt daardoor steeds meer afhankelijk van een succesvolle beveiliging. Teveel innovatieve producten en diensten worden nooit in de markt gezet, omdat men er niet in slaagt om de beveiliging rond te krijgen. Door proactief vroegtijdig aan te schuiven bij de ontwikkeling van deze producten en diensten, versterkt security het concurrerend vermogen. Dat geldt zeker ook voor mobiele werkoplossingen, bijvoorbeeld uit de cloud.
Ook in de manier waarop IT security werkt, staat proactief in 2015 voorop. Dreigingen worden steeds complexer en uitdagender. Zo houdt een virusscanner misschien veel malware tegen, maar meestal niet de gevaarlijkste. Het wordt steeds belangrijker om op zoek te gaan naar afwijkend gedrag en eventuele dreigingen te neutraliseren voordat ze geïdentificeerd zijn. Hoewel veel security professionals zich daar prima van bewust zijn, loopt de praktijk meestal daar een heel eind achteraan.
Tenslotte willen we graag afsluiten met een voorspelling voor 2015: de kans dat IT-security saaier wordt in 2015 is kleiner dan 10%.
Peter Vermeulen is directeur van Pb7 Research
Nationale IT-Security Monitor
Onderzoeksbureau Pb7 Research en FenceWorks - uitgever van onder andere AppWorks, CloudWorks, Digitalezorg.nl Magazine en Infosecurity Magazine - lanceerden begin dit jaar de Nationale IT-Security Monitor. Doel van dit jaarlijks terugkerende onderzoek is om op structurele wijze in beeld te brengen hoe Nederlandse bedrijven en overheidsorganisaties omgaan met IT-security, governance en risicobeheer, vertelt Peter Vermeulen, directeur van Pb7 Research.
“Wat we samen met onze partners met de Nationale IT-Security Monitor beogen, is tweeledig”, licht Vermeulen toe. “Allereerst willen we op structurele wijze een breed jaarlijks Nederlands security-onderzoek in de markt zetten om te begrijpen wat er in de Nederlandse markt speelt. Anderzijds willen we holistisch naar IT-security en GRC (governance, risk management en compliance) kijken als noodzaak voor een gezond organisatie(veiligheids-)beleid.”
“Daarmee richt de Nationale IT-Security Monitor zich op een van de belangrijkste problemen waar niet alleen Nederlandse bedrijven en overheidsinstellingen momenteel mee worstelen, maar ook burgers en consumenten”, aldus Robbert Hoeffnagel, hoofdredacteur van Infosecurity Magazine. “Er wordt in ons land de afgelopen tijd enorm veel aandacht besteed aan innovatie. Zonder innovatie kan Nederland als economie maar ook niet als maatschappij succesvol zijn. Maar zonder goede IT-security heeft innoveren geen zin.
- De Nationale IT-Security Monitor is mogelijk dankzij de medewerking van: