Managed hosting door True
Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Openheid kan bedrijven beschermen tegen ransomware

 

De helft van de bedrijven in Nederland is jaarlijks te wordt ongeveer getroffen door ransomware. De golf aanvallen met gijzelsoftware is het puntje van een ijsberg, aangezien de meeste organisaties het zoveel mogelijk stil houden wanneer ze hiermee te maken krijgen. Vaak uit schaamte of angst voor reputatieschade. Dat moet anders. We kunnen daarin een voorbeeld nemen aan de luchtvaartindustrie.

Sinds ruim een decennium zijn er in de Verenigde Staten weinig tot geen dodelijke vliegtuigongelukken meer gebeurd. Had je dat midden jaren negentig aan een luchtvaartexpert voorspeld, dan had die je recht in je gezicht uitgelachen. Het was de tijd dat de luchtvaart in de VS werd geplaagd door veelvuldige vliegtuigongelukken waarbij talloze passagiers de dood vonden. Een controversieel idee was uiteindelijk het keerpunt naar een veiliger luchtvaart. Dat idee? Een meldingssysteem waarin iedere betrokkene vrijwillig en straffeloos incidenten kon rapporteren. Sterker, ‘klokkenluiders’ kregen een schouderklopje wanneer ze fouten onthulden. Wanneer het management die fouten vond en de betrokken werknemer had dit niet gemeld, dan liep hij of zij het risico de baan te verliezen. Wij kunnen op het vlak van ransomware veel leren van een dergelijk systeem.

Vertrouwelijke meldingen

"Wij mogen op het gebied van cybersecurity een stuk ambitieuzer zijn dan nu"

Destijds zeiden experts dat ongelukken eigenlijk nooit helemaal te voorkomen zouden zijn. Dat roepen we nu als securitybranche ook. Je kunt je nog zo goed beschermen als organisatie, maar honderd procent veilig ben je nooit. Waarom niet leren van industrieën die al veel verder zijn? De aanpak in de Amerikaanse luchtvaartindustrie was in basis eenvoudig, maar buitengewoon moeilijk uit te voeren, omdat er een ongekend niveau van vertrouwen tussen de deelnemers nodig was. Alle betrokkenen, van vertegenwoordigers van luchtvaartmaatschappijen en piloten tot grondpersoneel en onderhoudsmonteurs kwamen, in eerste instantie met lichte tegenzin, overeen om informatie met elkaar en met de regering te delen over mogelijke gevaren en bijna-ongelukken. Die samenwerking was afhankelijk van de toezegging dat te goeder trouw gemaakte fouten en overtredingen van de procedures niet zouden worden bestraft. Iedere dode is er één te veel en de luchtvaartsector in de VS is zich ervan bewust dat er altijd werk te doen blijft. Het vertrouwen van het publiek komt immers te voet en gaat te paard. Daaruit blijkt dat wij op het gebied van cybersecurity een stuk ambitieuzer mogen zijn dan nu.

Vrijwillige rapportage

De kans op een vliegtuigongeluk is afgenomen van een op twee miljoen naar een op 120 miljoen, volgens een recent artikel in The Wall Street Journal. Dat komt doordat de technologie verbeterd is, er veel geautomatiseerd is in de cockpit, personeel steeds beter wordt getraind en de veiligheidsprocedures worden geoptimaliseerd. In landen buiten de VS nam de afgelopen jaren het aantal nieuwe-generatievliegtuigen ook toe, maar daar werd die vrijwillige rapportage niet omarmd. Opvallend is dan ook dat, hoewel de veiligheidscijfers in andere landen wel zijn verbeterd, die bij lange na niet zo goed zijn als in de VS. Dat meldingssysteem is de succesfactor. Overheidsinstanties kunnen door dat systeem samen met industrie-experts tienduizenden rapporten per jaar analyseren. Uiteindelijk worden deze analyses omgezet in veiligheidsverbeteringen gebaseerd op data en vrijwillig toegepast door de industrie. Juist dat vrijwillige karakter, en niet de overheid die regels en richtlijnen oplegt, is een interessant gegeven. Sommige verbeteringen waren simpel, bijvoorbeeld door crew-leden fysiek meters en instrumenten te laten aanwijzen, waarbij hardop de informatie werd uitgelezen om zeker te zijn dat de juiste informatie was ingevoerd. Dit soort laaghangend fruit ligt ook binnen de cybersecurityindustrie voor het oprapen.

Een ander groot voordeel van een vrijwillige meldingssysteem op basis van incidenten is dat het continu in ontwikkeling is. Ik heb altijd wat moeite met de term ‘best practices’. De ontwikkelingen in onze cyberwereld gaan zo hard, dat we beter kunnen spreken van ‘better practices’. Het is onze taak als industrie om continu te analyseren wat betere maatregelen zijn, waar verbeteringen en oplossingen mogelijk zijn en continu te blijven leren van wat er gebeurt in de echte wereld.

Morele plicht

"We moeten toe naar een situatie waarbij álle betrokken partijen gaan melden"

Ik pleit dan ook voor vergelijkbare openheid op het gebied van ransomware-aanvallen en andere impactvolle cyberincidenten. Vooral gemeenten geven nu openheid van zaken, en eerder zagen we de Universiteit van Maastricht hetzelfde doen. Maar commerciële bedrijven zijn huiverig om toe te geven dat ze slachtoffer zijn geworden van ransomware. Daarmee houden ze de weg naar bescherming voor anderen gesloten. Organisaties, publiek én privaat, hebben de morele verplichting om incidenten te melden. Minimaal anoniem. En daarbij moeten we proberen om te komen tot een systeem waarbij betrokkenen uit intrinsieke motivatie misstanden of bedreigingen kunnen melden, omdat ze op die manier kunnen en willen bijdragen aan een veiliger digitaal Nederland.

Ik wil benadrukken dat we daarbij toe moeten naar een situatie waarbij álle betrokken partijen gaan melden. Niet alleen het slachtoffer zelf, maar ook het cybersecuritybedrijf dat het heeft opgelost, de it-partner, het management en de it-afdeling. Hoe meer holistisch dit aangepakt wordt, des te beter het beeld dat ontstaat.

Nadenken over model

De implicaties van een vliegtuigongeluk zijn wat dodelijke slachtoffers betreft, vele malen groter dan een ransomware-aanval. Toch viel vorig jaar het eerste dodelijke slachtoffer door cybercrime, in een Duits ziekenhuis, en zien verschillende ziekenhuizen in Ierland zich momenteel genoodzaakt om behandelingen van patiënten te annuleren door een ransomware-aanval. Een aantal weken geleden werden de Ierse ziekenhuizen gedwongen veel van hun computers uit te schakelen nadat hackers toegang hadden gekregen tot de systemen, de patiëntengegevens hadden gecodeerd zodat ze ontoegankelijk waren en betaling eisten om de bestanden te ontsluiten. Voor sommige ziekenhuizen was dit zo verlammend dat zij consulten van kankerpatiënten moesten annuleren en te maken hebben met ontregelde radiologie- en diagnosesystemen.

Cybercrime dringt steeds verder en dieper in onze samenleving door. Het is een kwestie van tijd tot het daadwerkelijk op grotere schaal levens gaat kosten. We moeten nú kijken naar een manier of model om vrijwillige meldingen mogelijk te maken, zodat andere organisaties daarmee geholpen zijn. Hoe dat model in elkaar zou moeten zitten, dat weet ik op dit moment ook niet, maar we moeten daar als branche, als bedrijfsleven, als Néderland over nadenken met elkaar.

Ik roep iedereen die met een mening hierover op om die te delen zodat we met elkaar in gesprek kunnen en kunnen werken aan zo’n vrijwillig meldingssysteem voor cyberincidenten.

Auteur: Dave Maasland, directeur Eset Nederland

Dit artikel is afkomstig van Channelweb.nl (https://www.channelweb.nl/artikel/7189022). © Jaarbeurs IT Media.

?


Lees ook


 

Jouw reactie


Je bent niet ingelogd. Je kunt als gast reageren, maar dan wordt je reactie pas zichtbaar na goedkeuring door de redactie. Om je reactie direct geplaatst te krijgen, moet je eerst rechtsboven inloggen of je registreren

Je naam ontbreekt
Je e-mailadres ontbreekt
Je reactie ontbreekt
Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste resellernieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×

Ontvang gratis de nieuwste Computable 100

Doe mee aan het Computable 100 onderzoek!