Investeringen in traditionele cybersecurity en security awareness trainingen zijn Old School
Afgelopen jaren werd steeds meer geïnvesteerd in cybersecurity. Uit een onderzoek van Gartner 2016 blijkt dat er in 2015 wereldwijd 75,4 miljard dollar is gespendeerd aan cybersecurity. In een onderzoek van Juniper Research 2017 lezen we de voorspelling dat dit bedrag in 2022 naar 135 miljard dollar zal stijgen. Daarnaast is de verwachting dat de kosten wereldwijd als gevolg van cybercriminaliteit in 2022 tot 8.000 miljard dollar zal bedragen. De schade en kosten als gevolg van cybercriminaliteit groeien dus sneller dan onze investeringen in cybersecurity. Deze wereldwijde ontwikkelingen kunnen we ook op Nederland projecteren. In een onderzoek van Deloitte 2016 worden de kosten m.b.t. cybercrime van Nederlandse organisaties geschat op 10 miljard euro per jaar. We verhogen dus onze budgetten voor IT-beveiliging, maar zien helaas ook het aantal datalekken en beveiligingsincidenten nog veel meer toenemen. Cybercrime is big business. Dit onevenredige verschil tussen beveiliging en bedreiging zal de komende jaren alleen maar groter worden en ons blijven uitdagen.
De veroorzaker van cybercrime kunnen we in 3 groepen verdelen:
- de Kwaadwillige outsider;
- de Kwaadwillige insider;
- de Nietsvermoedende insider (inadvertent actors).
IBM X-Force Threat Intelligence Index 2017 toont aan dat juist deze laatste groep enorm groeit. Uit hetzelfde onderzoek blijkt dat de financiële - en zorg sector veel last ondervinden van de nietsvermoedende insider. Bij 50% van de aanvallen wordt misbruik gemaakt van deze laatste groep. De nietsvermoedende werknemer is in onze digitale wereld onderdeel van cybercriminaliteit geworden en wordt hier doelbewust op ingezet via verschillende technieken. De werknemer is een factor die een groot risico vormt voor CISO’s en IT-beveiligers; menselijk handelen kan onze IT- systemen (onbewust) ernstig ontwrichten. We moeten inzicht verkrijgen in het handelen van onze werknemers en hierop sturen. Veel bedrijven starten daarom met security awareness programma’s om meer cyberbewustzijn te creëren. Toch blijkt uit de praktijk dat deze aanpak nog lang niet voldoende en blijvende impact heeft.
Een juiste houding vereist niet alleen besef maar ook aanpassing in gedrag en gewoontes. In de praktijk is verandering van cultuur vaak ongrijpbaar. Onderzoek moet nog uitwijzen of de investeringen in awareness een positief effect hebben op de ‘nietsvermoedende werknemer’ en daarmee de schade en kosten voortkomend uit cybercriminaliteit gaan verminderen. Helaas zijn er op dit moment nog geen kengetallen hierover beschikbaar.
Op 2 fronten investeren bedrijven in cybersecurity; enerzijds in technologie en anderzijds in de menselijke factor, (Governance op dit moment buiten schot gelaten). De kosten van cyber-security nemen toe maar staan niet in verhouding met de exponentiële stijging van de schade en kosten als gevolg van cybercriminaliteit. Dit gaat voorlopig niet veranderen; we zijn nu eenmaal gewend om preventief op te treden om problemen te voorkomen. Veel IT-security investeringen, op zowel technische gebied als in trainingen ten aanzien van medewerkers zijn gestoeld op het voorkomen van problemen – de zgn. ‘breach prevention’ aanpak. Typisch eigenlijk, omdat we de afgelopen jaren duidelijk hebben geleerd dat databreaches er altijd zullen zijn, ongeacht onze breach prevention strategie. M.a.w. beveiligingsstrategieën enkel gebaseerd op het voorkomen van breaches zijn onvoldoende gebleken om cybercrime het hoofd te bieden. Eén van de grootste denkers uit de wereldgeschiedenis, Albert Einstein, leerde ons: “We cannot solve our problems with the same thinking we used when we created them”.
Hoe zou de beveiligingsstrategie eruit zien als we de denkwijze van Preventie naar Acceptatie zouden verleggen? Onze strategie moet hierdoor een paradigmaverschuiving ondergaan en de aanpak van cybersecurity verbreden. Deze nieuwe ‘verrijkte’ beveiligings- strategie zou de security dichter bij de data moeten brengen. Door deze denkwijze te hanteren moeten we nadenken over vragen, als; Wat en waar is mijn gevoelige data opgeslagen en is deze versleuteld?; Is het sleutelbeheerproces goed gewaarborgd?; en Is accessmanagement rondom sleutelbeheer goed ingeregeld?
De gevolgen van een inbreuk worden door de ‘verrijkte’ beveiligingsstrategie juist beïnvloed. Schade wordt daarmee significant beperkt. Organisaties die het proces van versleuteling en sleutelbeheer goed ingericht hebben kunnen ervan uit gaan dat de informatie onleesbaar is, maar vooral ook blijft voor onbevoegden wanneer deze gecompromitteerd is. Herijking en verrijking van de beveiligingsstrategie door deze denkwijze zou de gap tussen beveiliging en bedreiging duidelijk verkleinen.
Encrypt all, and manage the keys yourself - daarmee creëren we vertrouwen in onze digitale toekomst.
Door: Gökmen Kiremit (foto), Director High Grade Security bij Avensus
