De aankondiging van KPN dat een server met persoonsgegevens van klanten en bedrijven is gehackt is slechts een voorbeeld van de continue dreiging vanuit cyberspace. Over het afgelopen jaar zijn er meerdere voorbeelden aan te wijzen waarbij de beveiliging van vooraanstaande bedrijven en overheden werd doorbroken, waarbij er vaak ook data werd gestolen. Recent kwam ook de gebrekkige beveiliging van de Waterschappen [1] en Baby-Dump aan het licht.
Verder kijkend dan de krantenkoppen zijn er twee zaken die ik zeer zorgwekkend vind; ten eerste de manier waarop organisaties hun beveiliging hebben opgebouwd, en ten tweede de manier waarop zij reageren wanneer cybercrime toeslaat. Het lijkt erop dat organisaties geen strategie hebben om cybercrime te voorkomen of zich niet bewust zijn van de risico’s die ze lopen.
Ik ben van mening dat bedrijven die vertrouwelijke informatie beheren, of dat nu data van hun eigen klanten is of dat deze wordt beheerd voor derden, een grote verantwoordelijkheid dragen. En die moeten ze ook nemen. Een besef van de urgentie is hierbij van groot belang. Vraag u zich wel eens af: Hoeveel data beheer ik? Welke risico’s loop ik als deze informatie gestolen wordt? Hierbij kunt u denken aan persoonsgegevens, maar denk ook aan bedrijfskritische geheimen zoals recepturen, plannen of technologie waar jaren van onderzoek en investering in zit. En vergeet zeker ook niet de risico’s van merk- en imagoschade.
Een voorbeeld waarbij dit slecht heeft uitgepakt is het bedrijf Diginotar dat in september 2011 failliet werd verklaard nadat door een hack vertrouwelijke informatie op straat kwam te liggen, vooral omdat zij niet afdoende beveiligd waren én het misbruik lange tijd werd verzwegen. Aan de andere kant is er het beveiligingsbedrijf RSA dat sterker uit de aanval is gekomen, met name door hun adequate reactie en openheid.
Er is sprake van een toenemende noodzaak voor een beveiligingsplan en een proactieve benadering, die verder reikt dan het jaarlijks updaten van de firewall software. Dagelijks worden we geconfronteerd met aanvallen door niet alleen diegenen met een crimineel-commerciële agenda, maar steeds vaker ook door (‘me-too’) activisten die hun doel kracht willen bijzetten, of reputaties en bedrijven willen beschadigen. Dit is geen cyber-bedreiging meer, dit is cyber-realiteit - en dit zal niet minder worden.
De noodzaak voor effectieve en efficiënte beveiliging wordt verder versterkt door een aantal huidige trends in het bedrijfsleven:
- De grenzen van het bedrijfnetwerk vervagen, bijvoorbeeld door het gebruik van meerdere apparaten (pc’s, laptops, tablets en mobiele telefoons) die niet allemaal door het bedrijf zelf worden verstrekt en beheerd (Onderzoek IDC en BT Benelux: 'mobiliteit grootste zorg voor Nederlandse CIO’s') - maar die wel in verbinding staan met het bedrijfsnetwerk via het mobiele- of Wi-Fi-netwerk.
- De beweging naar cloud-gebaseerde diensten. Niet alleen is 'de cloud' in principe overal toegankelijk, het introduceren van cloud-gebaseerde oplossingen heeft vaak het centraliseren van data tot gevolg.
- IT afdelingen hebben geen tijd, budget of mankracht alle systemen te beveiligen. Vaak ontbreekt ook bewustzijn van de risico’s en daarmee draagvlak op directieniveau.
- Data, waaronder e-mail, wordt vaak niet versleuteld.
- Daarbij bevat alle softwarecode fouten, en dit zal nooit veranderen.
Je kunt het vergelijken met schaken; het is zaak om vooruit te denken en om elke keer als de tegenstander een zet doet, deze te blokkeren. Daarbij kan worden gewerkt met zogenaamde ‘ethical hackers’; die denken en doen als hackers, en maken ook gebruik van de laatste middelen die hackers ter beschikking staan. Echter, zij gaan niet verder dan het rapporteren van de problemen die zij ontdekken - en streven zo cybercrime een stap voor te zijn. Maar zelfs een meesterschaker verliest af en toe een partij.
Geen one size fits all
De beveiligingsbehoefte voor digitale data kan verschillen per bedrijf en is afhankelijk van welke data beschermd moet worden. Zij die de noodzaak van een adequate beveiliging inzien, kiezen een proactieve benadering en passend beveiligingsbeleid. Naast bedreigingen van buitenaf, zoals hackers, bestaat er ook de noodzaak voor beveiliging tegen risico’s van binnenuit. Hierbij kun je denken aan vertrouwelijke informatie die vanuit het bedrijf lekt, veelal zonder dat men dat in de gaten heeft.
Er ligt hier een grote verantwoordelijkheid voor ict-dienstverleners om hun klanten passende oplossingen te bieden, zodat zowel zakelijke- als privé-informatie niet op straat komt te liggen. Want zolang de sociale en economische waarde van onze netwerken groeit, zo blijven ook de motieven om deze aan te vallen groeien...
Lees ook