Preventie is niet genoeg, detectie maakt cybersecurity compleet
Jaarlijks verschijnen tientallen berichten over bedrijven die zijn aangevallen door hackers. Toch blijven bedrijven de kantjes eraf lopen als het cybersecurity betreft, vertelt René van Buuren, director Cybersecurity bij Thales. Bedrijven stellen firewalls in, kopen misschien een extra pakketje software om zich veilig te voelen, maar weinig bedrijven denken na over welk type beveiliging past bij hun bedrijf. Laat staan dat ze zich buigen over detectie.
Thales heeft beveiliging in het DNA zitten. ‘We zijn gastvrij, maar je kunt als gast niet zomaar overal komen’, vertelt René van Buuren, director Cybersecurity bij Thales Netherlands. Het bedrijf doet daarbij niet alleen high tech, maar ook low tech. Van Buuren laat trots de werkplaats zien waar OV-chipkaartpoortjes en kaartjesautomaten worden gecontroleerd en onderhouden. Zijn gang lijkt meer op die van een IT-bedrijf: kantoren met computers.
Alleen de afgesloten ruimtes waar het interview plaatsvindt, lijken minder doorsnee. Dit is het cybersecurity crisiscentrum. In het zaaltje naast de vergaderruimte zitten de experts die de incidenten onderzoeken. Bij escalatie volgt een overleg aan de tafel waar wij zitten en wordt bepaald wat de vervolgstappen zullen zijn. Ook als het incidenten binnen Thales zelf betreft: ‘We zouden niet anders kunnen en willen dan onze eigen technologie gebruiken.’
Veel aandacht voor cybersecurity
De laatste paar jaar is er veel aandacht geweest voor cybersecurity, zeker nu medewerkers hun eigen apparaten naar het werk meenemen en nieuwe technologie wordt uitgeprobeerd. Van Buuren: ‘De angstkaart werd gespeeld. En natuurlijk zijn onderwerpen als phishing en social engineering, en probleemstellingen zoals hoe ga ik mijn baas of de minister vertellen wat er aan de hand is, allemaal relevant. Alleen houdt het daar niet op.’
Vergelijk het met het bouwen van een huis, vertelt Van Buuren: ‘Je zet eerst een nette infrastructuur neer. Dan is er een dreiging van een dief en doe je een slot op de deur. Wellicht zet je een hek om het huis. Dat zijn preventieve maatregelen. Maar naarmate de waarde van het huis toeneemt, ga je ook detectie inzetten: camera’s worden opgehangen, een alarmsysteem wordt geïnstalleerd. Heb je een Monet hangen, dan koppel je het alarmsysteem ook aan de centrale.’
Met andere woorden: er zijn in de beveiliging van een huis verschillende defensielinies. ‘Een slot op de deur is common practice, maar we hebben niet allemaal een Monet in huis. Het is dus van belang: zet ik voldoende defensielinies in? Dat zou je ook moeten bedenken als je een bedrijf hebt. Als je je dan afvraagt of bedrijven inderdaad genoeg defensielinies hebben opgesteld, dan kan je met een aantal uitzonderingen daargelaten, stellen dat dat niet het geval is.’
Heb je vandaag nog gekeken naar incidenten?
‘De meeste bedrijven werken vanuit compliance, vanuit het voldoen aan regeltjes. De regels vanuit de overheid zijn echter niet heel streng en zeker in Nederland vooral preventief. Firewalls beschermen je bijvoorbeeld niet zomaar tegen botnets en malware. Het is ook niet zo dat je een bedrijf waterdicht kan afschermen, iedereen heeft incidenten. Het is alleen de vraag: hoe vind je die incidenten? Heb je vandaag nog gekeken?’
Er zijn meerdere redenen waarom detectie niet op het programma staat bij bedrijven. Soms denken bedrijven cybersecurity af te kunnen vangen met een softwarepakket dat beheerd wordt door de algemene IT’er. Of is de CEO niet zo verbonden met de nieuwe wereld. Of wordt gedacht in statistiek: als tien procent van IT-budget wordt besteed aan cybersecurity, dan zitten we wel goed. ‘Soms is de standaard: als ik maar niet in het nieuws kom. Of zelfs: als het maar niet vaker is.’
Dat er te gemakkelijk over gedacht wordt, werd onderstreept door de paniek die in mei uitbrak door de WannaCry ransomware uitbraak. Toen bleek dat de meeste organisaties daar absoluut niet op waren voorbereid, terwijl de dreiging met de juiste updates eenvoudig was te vermijden. ‘Maar zelfs als je een aanval niet kunt voorkomen, moet je in elk geval direct kunnen reageren als het je toch overkomt.’ Die paraatheid ontbreekt bij de meeste organisaties, stelt Van Buuren.
Denken aan het bedrijfsbelang
Als we praten in defensielinies van het huis, dan hebben veel bedrijven een slot op de deur en wellicht een hek, maar daar blijft het bij. Waar ze niet aan denken, volgens Van Buuren, is het bedrijfsbelang. ‘Hoe belangrijk is het dat je fabriek blijft draaien? Dat je IP niet gestolen wordt? Dat commerciële data binnen de muren blijft om concurrerend voordeel te behouden? Dat zijn vragen uit een typische riskassessment, maar waarbij de digitale risico’s vaak vergeten worden.’
Een fabrikant moet bijvoorbeeld nadenken over hoe zijn fabriek stil kan worden gelegd. Hoe kan het bedrijf zien wat er op het netwerk gebeurt? En hoe het netwerk beschermd wordt? En welk niveau van risico vind ik acceptabel? Het gevoel van veiligheid is overigens apart, vindt Van Buuren: ‘Bedrijven denken vaak dat ze veilig zijn omdat ze hun IT outsourcen. Je hebt misschien waanzinnige beschikbaarheid, maar cyberincidenten is een ander vak.’
Op de bewustwording omtrent preventie en de risico’s is vol ingezet, maar de awareness van detectie staat nog in de kinderschoenen. ‘We krijgen vaak de reactie: detectie, dat hoeft voor ons nog niet. Dat is niet zo van belang. Wij helpen met bewustwording door een sensor in het netwerk te plaatsen om te zien wat er gebeurt. We vinden altijd wel iets waar zo’n bedrijf zelf niet van op de hoogte was. Vaak is het niet ernstig, maar dat kan het wel worden.’
Niet genoeg specialisten
‘Natuurlijk zijn er bedrijven die dit zelf kunnen, zoals systeembanken. Zij hebben de specialisten traditioneel in huis, hebben er de budgetten voor én zien het risicobelang. Het probleem is echter: er zijn niet genoeg specialisten, zodat elk bedrijf zelf alle incidenten kan opsporen én oplossen. Het vinden van incidenten is relatief eenvoudig, maar hoe ga je om met duizend incidenten op een dag? En hoe zorg je dat de incidenten juist worden ingeschat?’
Van Buuren ziet liever dat bedrijven weten wat er moet gebeuren als een ernstig incident plaatsvindt en dat mensen daarin worden opgeleid. De dagelijkse monitoring kan beter overgelaten worden aan specialisten, die toch vaak bij bedrijven zoals Thales geclusterd zitten. De dienstverlening van Thales voldoet door de experts aan de allerhoogste internationale en defensiestandaarden. ‘Het behalen van onze ISO-standaard duurde vier maanden, in plaats van een jaar. Wij hebben alles op orde.’
De specialisten van Thales detecteren incidenten op verschillende manieren. Er wordt gekeken naar uitgaand internetverkeer, verkeersstromen naar vreemde plekken op de wereld, maar ook dieper in geavanceerdere gegevens, zoals loggegevens, kritieke IT-assets, proxies, firewalls en dreigingsprofielen. ‘Als iemand bijvoorbeeld vaak probeert in te loggen, vind je dat alleen als je naar radiusservers kijkt.’
Big data crunching
‘We kijken ook naar specifieke gebruikscases, bijvoorbeeld van een specifiek persoon, die op een vreemd tijdstip bestanden stuurt naar een apart gebied. Dat kan een incident zijn, maar door big data crunching kan je het op waarde schatten. Er kunnen dagelijks 2.000 alerts binnenkomen, maar niet alles is belangrijk. Het is ons vak om ze op waarde te schatten en advies te geven hoe een bedrijf het best kan reageren. Het is dan ook een balans tussen technologie, proces en mens.’
Het probleem is alleen dat bedrijven niet altijd toegang hebben tot de juiste gegevens, omdat ze het contractueel niet goed hebben afgehandeld. ‘Je hebt bijvoorbeeld logs nodig, maar de serviceprovider waar je je datacenter hebt staan, kan die logs niet individueel scheiden. Door te outsourcen, verplaats je het probleem. Door de cloud ben je de complexiteit kwijt, maar de beheersuitdaging houd je.’
Wat Van Buuren wil aangeven: detectie is nog geen commodity markt. De detectie zelf is te automatiseren, maar het automatisch juist inschatten, handelen en zelfs voorspellen is nog een stap verder. ‘We spenderen veel aan R&D, maar slechts één procent werkt met de supertech. Awareness is nu belangrijk. Je moet eerst kunnen lopen, voordat je kunt rennen. Eerst moet je weten dát incidenten zich dagelijks voordoen en hoe je met incidenten omgaat.’
