KPN: Techniek blijft noodzakelijke basis, maar moet gegrond zijn in goed beleid

Beleid en processen, techniek en awareness: dat zijn de drie basiselementen waar security uit bestaat. De invulling ervan is belangrijk, stelt Marcel van Oirschot, Executive Vice President bij KPN Security, “maar het is cruciaal dat je alle drie de elementen voor ogen hebt. Zeker nu het aanvalsoppervlak met de opkomst van thuiswerken groeit, neemt het belang van een goede aanpak op alle drie de vlakken toe.”

“Eén van mijn collega’s zei het enkele maanden geleden al”, begint Marcel van Oirschot: “Hoe gaan we van maximaal thuiswerken naar optimaal thuiswerken. Optimaal is een hybride vorm. Zelf zou ik niet meer vijf dagen in de week naar kantoor willen, maar ook niet vijf dagen per week thuiszitten. Daartussen moet een optimum gevonden worden.”

Organisaties zullen ook op het gebied van security moeten schakelen: van een gecontroleerde kantooromgeving naar een thuisomgeving waar men tot nu toe vaak minder zicht op heeft. Dat zicht moet je wel krijgen, want thuiswerken is een must have geworden in plaats van nice to have. Daar moet je IT- en security-omgeving wel bij passen, zodat werknemers behalve goed ook verantwoord thuis kunnen werken.

Shadow-IT
Van Oirschot: “Om een eigen voorbeeld aan te halen: bij een eerdere werkgever mocht ik wel thuis werken, maar kon ik niet printen, terwijl ik grotere stukken toch liever op papier lees. Dus ik stuurde het document van mijn zakelijke naar mijn privé computer, zodat ik ook thuis kon printen. Zo’n work-around zorgt voor shadow-IT die op het werk al een probleem geeft, maar bij thuiswerken op nog veel grotere schaal.”

Hoe kun je al die kleine shadow-IT omgevingen afdoende beveiligen, of nog beter: voorkomen dat ze ontstaan? Dat vergt volgens Van Oirschot de eerdergenoemde juiste functionaliteiten op zowel IT- als security-gebied, want met security alleen los je het ontstaan van shadow-IT niet op. “Hoe dan ook groeit het potentiële aanvalsoppervlakte enorm door alle IT-eilandjes buiten de gecontroleerde kantooromgeving.”

Beleid, techniek, bewustzijn
Het ontbeert veel organisaties ook aan goede thuiswerkrichtlijnen en -beleid, stelt Van Oirschot. “Er moeten duidelijke en simpele handleidingen komen voor de groeiende groep thuiswerkers. Dat komt nog bij de twee vaakst genoemde elementen van een goede security: techniek en bewustzijn. Die awareness-component blijft heel belangrijk, maar het is goed om ook vooraf handvatten te bieden van wat wel of niet mag. Kijk naar het recent bekend geworden ongeoorloofde gebruik van WhatsApp door veel ambtenaren, waarbij vertrouwelijke stukken via de app worden gedeeld.

Techniek blijft een noodzakelijke basis, maar moet gegrond zijn in goed beleid, benadrukt Van Oirschot. “Wat is mijn IT-omgeving, waar hebben mijn gebruikers behoefte aan, hoe faciliteer ik ze zodat ze geen work-arounds hoeven te bedenken en hoe zorg ik dat het end-device veilig blijft, ook bij een bring-your-own device beleid? Hoe zorg ik ervoor dat als er toch een probleem ontstaat, een werknemer weet wat hij moet doen en wie hij moet inlichten?”

Beleid doorontwikkelen
Dat beleid moet ook aangepast worden aan een nieuwe situatie zoals standaard thuis (kunnen) werken, schetst Van Oirschot. “Ik gebruik bijvoorbeeld een KPN-laptop. De IT-afdeling zorgt ervoor dat altijd de noodzakelijke updates gepusht worden. Ik heb daar geen enkele invloed op. Er zijn echter heel veel organisaties die wellicht automatisch patchen, maar pas wanneer je met de laptop binnen de kantooromgeving komt. Dat was voorheen niet zo’n probleem als iedereen elke week wel op kantoor was. Nu komen veel mensen lang niet elke week meer op kantoor.”

Als de lockdown-maatregelen eenmaal voorbij zijn, zal ook de tijd genomen moeten worden om de structurele mix van thuis- en kantoorwerken goed te adresseren, meent Van Oirschot. “In de eerste periode van de coronacrisis moest iedereen opeens gaan thuiswerken, veel zaken werden onder hoge druk snel en vaak houtje-touwtje geregeld. Veel organisaties dachten en denken misschien nog steeds: dat passen we later wel aan. Maar ik denk dat veel organisaties overgaan naar de orde van de dag als de crisis straks teneinde is, zonder de houtje-touwtje zaken goed aan te pakken. Terwijl daar een stuk werk ligt dat nog gedaan moet worden.”

Van Oirschot benadrukt nog eens dat organisaties én werknemers niet moeten denken dat ze niet interessant zijn voor een hacker. Bijna altijd geldt: je bent zelf interessant, of je hebt iets interessants – zoals data of de mogelijkheid om toegang tot data of een meer interessant persoon te krijgen.

5G vergroot aanvalsoppervlak
“En wanneer 5G op grote schaal gebruikt gaat worden, dan gaat het aanvalsoppervlak en de hoeveelheid interessante data nog veel meer groeien. 5G is intrinsiek veilig, maar als wat je eraan hangt lek is, dan heb je nog een probleem. Vergelijk het met de waterinfrastructuur. Die zit heel goed in elkaar in Nederland. Maar als ik een lekkende kraan hebt, dan raak je nog water kwijt. En heel veel IoT-apparatuur, ook sensors, is niet ontwikkeld met security by design als uitgangspunt. Dus dat kunnen heel veel lekkende kranen worden.”

Voor een deel ligt hier verantwoordelijkheid bij de leverancier, voor een deel bij de klant, meent Van Oirschot. “Ik denk dat een gebruiker goed moet nadenken over wat hij gaat gebruiken en er niet vanuit moet gaan dat de leverancier er wel voor zorgt dat alles veilig is. Ik vind ook dat leveranciers die hardware zoals sensors en andere IoT-apparatuur ontwikkelen, echt de plicht hebben om security by design toe te passen.”

Natuurlijk is de overheid wel bezig om op dit punt wetgeving te verzorgen, ziet Van Oirschot, maar dat ontslaat leveranciers noch gebruikers van hun eigen verantwoordelijkheid. Met wetgeving krijg je wel een stukje controle terug. Zolang leveranciers en klanten gewoon van alles en nog wat aan een beveiligd netwerk vastknopen en vooral kijken naar de laagste prijs, dan blijft het dweilen met de kraan open.

Rol leverancier
Ook KPN Security kan hier nog wel het een en ander in betekenen, om richtlijnen en beleid (of de processen waarin ze tot uitvoering komen), techniek en bewustzijn op een hoger niveau te brengen. Dat moet wel op een positieve manier gebeuren, niet met het waarschuwende vingertje dat als je het niet goed doet, je wordt gehackt en je kop er spreekwoordelijk af gaat.

“Ik denk dat we wat dat betreft met marktpartijen in gesprek moeten blijven, ontwikkelingen moeten blijven duiden. Zo is het goed dat duidelijker naar voren komt dat bijvoorbeeld WhatsApp-fraude iedereen kan treffen, niet alleen senioren. Daarnaast is het belangrijk dat we de zaken niet complexer maken dan ze zijn. Ik heb dat zelf ook wel eens gemerkt als ik een groep managers van een organisatie een presentatie over security gaf. Pas toen ik met de vertaling kwam naar een burcht met slotgracht, kantelen en boogschutters, werd het echt duidelijk wat ik bedoelde. Soms leggen wij het ook te moeilijk uit. Het is onze taak om dat beter te doen.”

Basishygiëne op orde
En tot slot: organisaties moeten hun basishygiëne op veiligheidsgebied op orde houden. “Er is heel veel informatie hierover beschikbaar. Simpele instrumenten, tips, whitepapers. Dat is helemaal niet complex, daar heb je helemaal geen security-leverancier voor nodig. En ook de volgende stappen zijn in de basis helemaal niet complex. Toen ik ging golfen, kreeg ik te horen dat de juiste swingbeweging uit 36 elementen bestaat. Bij security zijn dat er drie: beleid/processen, techniek en awareness. Als je die alle drie op het netvlies hebt, dan ben je al een heel eind op weg.”

Door: Martijn Kregting