Cybersecurity vereist een efficiënte inzet van schaars talent
In de strijd tegen cybercriminaliteit wordt de uitslag bepaald door de beste combinatie van technologie en menselijk talent. In plaats van met elkaar te concurreren om de gunst van de schaarse cybersecurity specialisten, is het verstandiger een nieuwe cybersecurity strategie te ontwikkelen.
Technologie alleen kan niet doorslaggevend zijn voor cybersecurity. Kunstmatige intelligentie, machine learning en threat intelligence zijn onmisbare tools om grip te houden op bekende dreigingen. Maar het is juist de voortdurend evoluerende aard van onbekende dreigingen die er voor zorgt dat menselijke ervaring en intelligentie essentieel blijven voor een effectieve beveiliging van digitale ondernemingen.
Organisaties worden geconfronteerd met steeds grootschaligere dreigingen uit cyberspace, die steeds vaker een specifiek doel hebben. Aanvallen worden niet alleen uitgevoerd door amateurs die gebruikmaken van bekende en relatief eenvoudig te detecteren tools, maar ook in toenemende mate door intelligente kwaadwillenden die gericht op zoek zijn naar slimme manieren om de vaak generieke beveiligingsoplossingen te omzeilen. Als geautomatiseerde cybersecurity oplossingen al in staat zouden zijn dergelijke aanvallen allemaal tijdig te ontdekken, is het maar ernstig de vraag of de dreiging door een geautomatiseerd systeem tijdig op waarde wordt geschat.
Kleine dreiging, grote gevolgen
Een technologische oplossing die tegenmaatregelen neemt zonder rekening te houden met de business impact. Of die impact niet kan afwegen tegen de werkelijke schade die uit een aanval kan ontstaan, kan een organisatie meer schade berokkenen dan de inbraak zelf. Stel, een CEO reist naar Roemenië om een business case te presenteren. Vanuit zijn hotelkamer in Cluj probeert hij ’s avonds zijn Powerpoint te downloaden van het bedrijfsnetwerk. Maar het systeem ziet een inlogpoging vanuit een verdachte locatie, door iemand die kort daarvoor nog in het Nederlandse hoofdkantoor was. Het besluit dat de identiteit van de CEO is gecompromitteerd, maakt het systeem direct ontoegankelijk voor deze gebruiker op die locatie. De CEO kan niet meer bij zijn materiaal en loopt de deal mis.
De waarde van de weliswaar gevoelige informatie in de presentatie was slechts een fractie van de waarde van de deal. Bovendien: een menselijke security expert had de agenda van de CEO kunnen checken, contact met de CEO kunnen zoeken, of zelfs kunnen besluiten de bestandsoverdracht te laten doorgaan op basis van een simpele risico-afweging. Bedenk wat er kan gebeuren als bijvoorbeeld de bedieningssystemen van onze infrastructuur besmet raken. Het gevaar van gecompromitteerde bruggen, slagbomen of stoplichten mag duidelijk zijn, maar op welk moment rechtvaardigt die dreiging dat het verkeer volledig wordt stilgelegd; met miljoenen aan economische schade tot gevolg?
Het belang van menselijk talent
Voorlopig kunnen we er voor cybersecurity op hoog niveau dus niet omheen dat mensen de doorslaggevende beslissingen blijven nemen die onze cruciale systemen veilig houden. Dat betekent een serieuze uitdaging. De snelheid waarmee de informatietechnologie zich ontwikkelt, en de sterk stijgende vraag vanuit organisaties, zorgt voor een groeiende schaarste onder cybersecurity specialisten. Dat betekent dat organisaties er veel aan gelegen is mensen met talent voor cybersecurity in een zo vroeg mogelijk stadium op te sporen en te interesseren voor een baan aan de goede kant van het security spectrum.
Om met dit talent in contact te komen bedenken security specialisten steeds meer creatieve middelen. De Nederlandse cybersecurity afdeling van Thales ontwikkelde bijvoorbeeld een mobiele Cyber Escape Room. Deelnemers kunnen hieruit ontsnappen door binnen tien minuten de aanwijzingen te analyseren en de deels digitale, deels logische en fysieke raadsels op te lossen die in de kamer verstopt liggen. Als het de deelnemers lukt de aanval binnen tien minuten te stoppen en de Cyber Escape Room te verlaten, dan kan hun talent voor het oplossen van abstracte uitdagingen en het inschatten van risico’s direct door Thales worden omgezet in een uitnodiging om nader kennis te maken.
Mensen die digitale details doorzien, zodat ze niet alleen een dreiging kunnen identificeren, maar ook de mogelijke implicaties voor de organisatie op waarde kunnen schatten, zijn goud waard. De realiteit is dat niet iedere organisatie het zich kan veroorloven een dergelijke investering te doen, en dat er onvoldoende talent beschikbaar is om iedere organisatie individueel te beschermen. Betekent dit dan dat organisaties, die niet zelf over dit menselijk talent kunnen beschikken, moeten leren leven met de wetenschap dat ze geen verweer hebben als cybercriminelen besluiten een gerichte aanval uit te voeren?
Outsource de specialisatie
Het idee dat iedere organisatie in staat moet zijn zichzelf te verdedigen tegen georganiseerde cybercrime, is alsof je verwacht dat ieder dorp in staat moet zijn een Russische inval af te slaan. Het is ondenkbaar dat iedere individuele organisatie een gelijkwaardige verdediging kan opbouwen tegen de combinatie van hightech tools en menselijk vernuft die zich concentreert in cybercrime. De cybercriminaliteit heeft een onverslaanbaar voordeel: het kan vanuit een geconcentreerde basis overal ter wereld toeslaan. Het kan alle tijd nemen om een aanval zorgvuldig voor te bereiden en op zoek te gaan naar zwakke schakels in een verdediging. Hoe meer we onze krachten spreiden, des te groter wordt de kans dat vroeger of later een kwetsbaarheid gevonden wordt – en als het gaat om de beveiliging van onze cruciale systemen, zoals waterwerken, energievoorzieningen en industriële of financiële systemen, kunnen de gevolgen catastrofaal zijn.
Deze realiteit vraagt dan ook om nieuwe oplossingen voor cybersecurity. In plaats van onze verdediging te verzwakken, door elkaar te beconcurreren in een wapenwedloop om cybersecurity talent, is het zaak cybersecurity slimmer in te richten. In plaats van ons bang te laten maken door grote verhalen over geavanceerde dreigingen, doen organisaties er beter aan de zwakste schakels op te pakken en zich te concentreren op de aanpak van veelvoorkomende kwetsbaarheden (het aantal organisaties dat geen goed beeld heeft van de eigen datastromen en processen is nog steeds opvallend hoog).
De aanpak van de grootste dreigingen kan beter worden overgelaten aan cybersecurity specialisten die kunnen beschikken over de tijd, het talent en de middelen om hier werkelijk effectief en efficiënt tegen op te treden. Investeringen in de veiligheid van de eigen bedrijfsprocessen en een goede technologische verdediging, gecombineerd met samenwerking met menselijke cybersecurity specialisten voor de meest geavanceerde dreigingen, is de enige manier om echt een vuist van betekenis te kunnen maken in de strijd tegen cybercrime.
