Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet het redactionele gedachtegoed van Computable.

Cybersecurity is wel anders voor beveiligers

19-12-2012 13:23 | Door Lex Borger | Lees meer artikelen over: Botnets | Er zijn 5 reacties op dit artikel | Dit artikel heeft nog geen cijfer (te weinig beoordelingen) | Permalink
Computable Expert
Lex Borger
Lex Borger

Principal Consultant

Expert van Computable voor het topic Security

Meer

Cybersecurity... het heeft de brede aandacht. Sterker nog, het houdt velen in een hype-achtige betovering vast. Maar is het oude wijn in nieuwe zakken of is het écht iets nieuws? Het is heel eenvoudig om te zeggen dat cybersecurity net zo werkt als goede informatiebeveiliging, maar is dat echt zo?

Uiteindelijk vind ik dat niet. Er zijn vier aspecten waarop het zich duidelijk onderscheidt:
1. Cyberdreigingen komen van buitenaf. Informatiebeveiliging moet nog steeds zowel intern als extern zoeken naar bedreigingen;
2. Cyberdreigingen komen voort uit een kwaadaardige intentie. Informatiebeveiliging moet rekening houden met fouten die medewerkers, partners en klanten maken.
3. Cyberaanvalstechnieken zijn universeel. Informatiebeveiliging moet zich wapenen tegen aanvalstechnieken afhankelijk van de bedrijfssector, cultuur, processen en infrastructuur.
4. Cyberaanvallen kunnen bedrijfsinfrastructuur gebruiken zonder het bedrijf direct schade te veroorzaken.

De eerste drie aspecten geven wel aan dat het lijkt alsof cyber security een subset is van informatiebeveiliging. Als dat zo is, dan zou het voldoende moeten zijn om je informatiebeveiliging op orde te hebben om cyberdreigingen aan te kunnen. Juist de groei in het aantal cyberincidenten toont aan dat dit niet het geval is. Collectief falen we om cyber-gerelateerde problemen onder controle te krijgen. Dus, al zou ik accepteren dat het 'slechts' een subset is van informatiebeveiliging, dan is het een subset die een additionele, specialistische aanpak vergt.

En natuurlijk zien we hier wel dat problemen in de informatiebeveiliging bij cyberaanvallen gebruikt kunnen worden. Meester beïnvloeder Kevin Mitnick heeft pijnlijk aangetoond dat wij als mens gemakkelijk te misleiden zijn tot het uitvoeren van verkeerd gedrag. We zullen getraind moeten worden om die misleiding te weerstaan. En systemen waarvan de configuratie of toegangsbeveiliging niet goed geregeld is vallen eerder ten prooi aan cyberaanvallen.

Dat verandert niets aan het feit dat de oorsprong van een cyberaanval bij een externe aanvaller ligt en dat deze een bekend arsenaal aan instrumenten gebruikt. Hoe beter we dit assortiment kennen, hoe beter we weten waar we ons tegen moeten wapenen. De open source aanpak doet het hierbij het best: kijk maar naar het Metasploit project en de Nessus scanner. Metasploit kan bekende cyberaanvallen uitvoeren, Nessus kan de kwetsbaarheden hiervoor in een infrastructuur detecteren. De kennis is dus universeel en het best vastgelegd als open source. Informatiebeveiliging baseert juist zijn beveiliging op interne organisatiekennis van risico's en specificeert voor de organisatie op maat gesneden maatregelen.

Bestrijdingsprobleem

Het laatste aspect legt het fundament voor een bestrijdingsprobleem: waarom zou ik mijzelf beveiligen als ik geen schade heb? In tijden waarin de budgetten krap zijn, moeten we natuurlijk geen geld besteden aan bedreigingen die ons geen schade toebrengen. Dit is een algemeen probleem van de samenleving. We leven steeds meer in een wereld waarin eenieder alleen zijn eigen hachje redt en geen oog heeft voor de potentiële bedreiging van de buurman via eigen ict. Maar er zijn gevallen waarbij het goed is om jouw deel aan bestrijding te doen, terwijl onbekende anderen ervan zullen profiteren.

Een patroon wat de samenleving hiervoor gebruikt is wet- en regelgeving. Door voor te schrijven hoe een bedrijf bijvoorbeeld om moet gaan met persoonsgegevens komt er voor bedrijven een compliancerisico bij, om direct aan te pakken en profiteert de samenleving van het effect. Of culturele druk kan ook reinigend werken: de ongewild betrokkene krijgt bij schade elders zelf te maken met reputatieschade of merkwaarde devaluatie.

Dit werkt als mechanisme goed voor grotere bedrijven, maar kleine zelfstandigen en particulieren laten zich hier niet door afleiden. Botnets bestaan uit hordes slecht beveiligde computers bij kleine partijen en de schade die een botnet aanricht wordt elders geleden.

Het lijkt er dus op dat we er niet aan ontkomen om cyber security naast of onder informatiebeveiliging specifieke aandacht te geven, of we nou onderdeel zijn van een organisatie, groot of klein, of particulier - met een speciale rol voor de overheid.
Deel dit artikel via LinkedIn
Deel dit artikel via Facebook
Deel dit artikel via Twitter

Sponsored content