Uitval van essentiële digitale diensten niet acceptabel
De media staan er al wekenlang bol van: de cyberaanvallen. Wat voor de insiders al jaren bekend is, weet het grote publiek nu ook: de digitale beveiliging van bedrijven en instellingen deugt lang niet altijd . Voor het eerst ondervinden we als gewone burgers de impact van cyberaanvallen. In de krant buitelen de experts over elkaar heen met de bekende observaties en aanbevelingen. Maar nu zijn er experts die zelfs stellen dat we als samenleving maar moeten accepteren dat digitale diensten nu eenmaal kwetsbaar en dat daar niet veel aan te doen is. Dat belangrijke digitale diensten soms voor korte of langere tijd niet beschikbaar zijn is een fact of life waar we maar mee moeten leren leven. Zorg thuis dus voor voldoende proviand en contanten, is het devies. Gevaarlijk defaitisme, want er is wel degelijk iets te doen aan grootschalige cyberaanvallen.
Wat als het hier niet om digitale diensten zou gaan, maar om stroom of drinkwater? Want inmiddels zijn digitale diensten – zoals als internetbankieren,DigIDen andere online services – voor onze samenleving net zo belangrijk als die bekende nutsvoorzieningen. We vertrouwen erop dat ze het gewoon doen. Storingen komen zelden voor. Naar die situatie moeten we met internet ook toe. Dat kan ook en de vraag is dan natuurlijk: hoe?
Het is beslist een enorme uitdaging. Dat komt doordat aanvallen als deze de afgelopen maanden en jaren niet alleen in frequentie sterk zijn toegenomen, maar ook steeds geavanceerder zijn geworden. Er zijn steeds meer mensen op de wereld met diepgaande kennis en kunde over het internet, dat geldt ook voor de aanvallers. Een relatief nieuw fenomeen is dat de technieken en methoden om dergelijke grootschalige aanvallen uit te voeren, nu ook steeds toegankelijker en betaalbaarder worden voor mensen die deze kennis niet hebben. Er is dus een nieuw type cybercrimineel, die de aanvallen niet zelf uitvoert, maar deze als een ‘dienst’ afneemt (AaaS – Attack-as-a-Service).
De traditionele oplossingen, bij het bedrijf zelf of in datacenters van providers, hebbende afgelopen tijd ruimschoots bewezen onvoldoende te zijn. Organisaties die denken zich daarmee nog te kunnen verdedigen, zullen snel het onderspit delven. Het grootste probleem zit hem namelijk in de schaal van de aanvallen. We hebben het over massale offensieven waarbij letterlijk de schaal van het internet wordt ingezet. Dit betekent dat de tegenmaatregelen een veelvoud van de ingezette schaalgrootte moeten hebben om effectief te kunnen zijn.Het is zeker mogelijk om de verdediging op die schaalgrootte te organiseren en dat zien we in de praktijk ook met succes gebeuren. Zo heeft het Duitse postorderbedrijf Schneider Versand, dat in december 2011 het slachtoffer werd van een grootschalige DDoS (Distributed Denial of Service) -aanval, nu een oplossing waarmee ze zich beter kunnen weren. Daarbij wordt aanvalsverkeer al in een vroeg stadium in de cloud tegengehouden, zodat dit verkeer het datacenter niet bereikt en de website toegankelijk blijft voor bezoekers.
Daarnaast zullen bedrijven en overheidsinstellingen nauwer met elkaar moeten gaan samenwerken. Momenteel staan beveiliging en transparantie nog vaak haaks op elkaar, maar het snel uitwisselen van informatie over aanvallen kan andere organisaties helpen om zich te beschermen. Ook zouden zo nieuwe tegenmaatregelen sneller kunnen worden ontwikkeld en ingezet. De onlangs aangekondigde intensievere samenwerking tussen banken en het Nationaal Cyber Security Center (NCSC) is zeker een stap in de goede richting.
Ik denk dat organisaties zich nu beginnen te realiseren dat ze hun beveiligingsbeleid moeten aanpassen aan de nieuwe vormen van aanvallen die we nu zien. In veel gevallen is dat beveiligingsbeleid al jaren oud en gebaseerd op verouderde inzichten. De aanvalsmethoden waartegen destijds verdedigd kon worden vanuit het eigen datacenter, zijn intussen opgevolgd door veel geavanceerdere en vooral grootschaliger technieken. Het heeft dus geen zin om aan een verouderd beleid vast te houden. In een up-to-date beveiligingsbeleid moet een intelligente, flexibele verdediging centraal staan die snel kan reageren. Beveiligingsbeheer moet een onlosmakelijk onderdeel zijn van de algehele businessinfrastructuur. Dat betekent ‘security management by design’, in plaats van achteraf beveiliging toe te voegen. Beveiliging kan namelijk alleen echt effectief zijn als het van meet af deel uitmaakt van de bedrijfsstrategie en de dagelijkse processen. En daarbij is het zeker mogelijk om bestaande beveiligingsmaatregelen en investeringen te koppelen met nieuwe oplossingen, voor een verdediging in de diepte.
Accepteren en ons simpelweg neerleggen bij het feit dat digitale diensten nu eenmaal kwetsbaar zijn en dus geregeld niet toegankelijk zijn is niet de weg die we moeten gaan. Daarvoor zijn ze te belangrijk en is de schade te groot.
Hans Nipshagen is Regional Manager Benelux Akamai
