Directeur Ronald Prins van Fox-IT licht zijn visie op ict-beveiliging toe tijdens de eerste dag (27 november 2013) van het landelijk Architectuur Congres. Juist ict-architecten spelen een belangrijke rol bij het beveiligen van de systemen die zij ontwerpen. De manier waarop de beveiliging van systemen wordt ingericht kan een stuk beter, betoogt Prins.
Bij incidenten blijkt telkens weer dat bij de beveiliging vooral is gericht op het optrekken van een zo hoog mogelijke muur. ‘Vreemd’, vindt Prins. ‘Als een wolf de schapen van een boer opvreet, dan grijpt hij zijn geweer, trekt erop uit en schiet hij de wolf dood. Hij zet geen hoger hek rond de wei.’ In plaats van investeren in spullen, adviseert Prins te investeren in mensen. ‘De beste beveiliging is het aanstellen van een medewerker wiens taak het is elke dag de activiteit op het netwerk te monitoren en bij incidenten actief in te grijpen.’
Na een incident wil een directie meestal de ict-systemen van het bedrijf potdicht maken. ‘Dat is een illusie. Zo simpel is het niet. Maar dat is wel het beeld dat hard- en softwareleveranciers oproepen. Alsof het om iets simpels als een vliegtuig gaat. Veel bedrijven kunnen niet eens een tekening laten zien van hun ict-systemen. Zo’n systeem is namelijk dynamisch, er verandert dagelijks van alles. Dus moet ook de beveiliging dynamisch zijn.’
Security center
Grote bedrijven die de afgelopen tijd te maken hebben gehad met aanvallen van hackers, beginnen nu te kiezen voor de dynamische beveiliging die Prins voorstaat. ‘Kijk naar KPN. De trend is naar security centers waar een man of vijftien permanent op grote schermen de activiteit op het netwerk in het oog houden en klaar staan om direct in te grijpen bij incidenten.’
Zo’n security center moet wel de middelen hebben om in te grijpen, stelt Prins. Dat betekent dat de architectuur zo moet zijn ingericht dat het netwerk meerdere lagen kent, delen afgekoppeld of omgelegd kunnen worden om problemen te omzeilen. ‘Niet één voordeur, maar meerdere voordeuren achter elkaar, die zijn voorzien van een bewegingsmelder.’
Extra werk
Het valt hem tegen hoe weinig ict’ers leren van incidenten. ‘Wij zitten niet om extra werk te springen, maar zouden best adviezen kunnen geven aan ict-architecten hoe zij systemen het best kunnen inrichten. Maar daarover worden wij nauwelijks benaderd.’
NAF-architectuurprijs 2013
Tijdens het Landelijk Architectuur Congres op 27 en 28 november 2013 wordt de jaarlijkse NAF-architectuurprijs uitgereikt. De prijs wordt toegekend aan een individu, groep of organisatie die een bijzondere vakmatige prestatie heeft geleverd op architectuurgebied. Stuur nu jouw architectuur in ter beoordeling! Projecten kunnen worden ingezonden tot 14 oktober 2013.
Reacties
uit het artikel: Wij zitten niet om extra werk te springen, ........... worden wij nauwelijks benaderd.
op zich mee eens dat er meer zou moeten gebeuren, maar in het artikel wordt geen concrete aanleiding gegeven, waardoor de laatste drie zinnen wel een erg hoog WC eend gehalte heeft gekregen. Jammer dat zou FOX-IT beter kunnen doen, .....
"In plaats van investeren in spullen, adviseert Prins te investeren in mensen". Dit vind ik, mits correct uitgevoerd, een goed punt. Ik vraag me alleen af of hij bij de architecten het juiste publiek voor zich heeft. Ik denk dat hij dit beter voorlegt aan de beslissers over ICT.
Blijf ik nog zitten met de vraag wie er dan volgens de heer Prins WEL oog voor beveiliging heeft, buiten Fox-it?
Wiens brood men eet, wiens woord men spreekt. De business wordt niet voldoende afgerekend op beveiligingsproblemen en lijdt niet genoeg pijn. En dat sijpelt door naar de ict-architectuur waar men feilloos doorheeft wat de opdrachtgever wil. Beveiliging is lastig, duur, en wordt niet gevraagd.
Nederland kan nog wel een paar Diginotars gebruiken.
Absoluut eens, security awareness is nog steeds een grote issue onder ICT gebruikers maar tevens onder ICT´ers zelf. Ronald Prins geeft aan dat het potdicht maken van ICT systemen een illusie is en ik ben het hier volledig mee eens. In de wereld van vandaag is juist openheid van systemen van belang, aangezien informatie voorziening en beheer plaats- en tijd onafhankelijk moet kunnen geschieden. Daarom is het van belang dat awareness wordt ontwikkeld en men nadenkt over de te gebruiken policies en gedragsregels.
Daarnaast ben ik van mening dat we binnen ICT security teveel leunen op de mens en zijn gedrag. Inmiddels heeft voortschrijdend inzicht en technologische ontwikkeling ervoor gezorgd dat veel security risico´s te mitigeren zijn, eenvoudig door policies automatisch af te dwingen via ICT systemen. Dit verminderd niet de noodzaak van awareness maar dient wel als belangrijke aanvulling op het verbeteren van IT beveiliging.
Ronald heeft gelijk, uit de hele set van maatregelen op de vlakken preventie, detectie, repressie, correctie wordt binnen IT vaak vooral gekozen uit de preventiehoek, en als het dan toch verkeerd gaat, gaan we de boel dweilen (correctie). Dit vooral maakt dat je niet kunt meten of er iets aan de hand is - en dus ook niet kunt regelen dat er gewerkt wordt aan vroegtijdige blokkades of beperkende maatregelen. En verantwoording afleggen aan het management is dan ook moeilijk.
Zelf denk ik dat het leerpunt niet zit bij de incidenten, maar dat IT-ers zich zouden moeten inspannen om te begrijpen wat het bedrijf met de IT doet. Dat bepaalt veel meer welk hek rond de wei staat, wie bevoegd is met het geweer te jagen op indringers en waar de deuren met bewegingsmelders horen te komen.
Beveiliging en toetsing hierop moet al een belangrijke rol spelen bij ontwerp van de architectuur. Hier kun je al mogelijke risico's en maatregelen (oa policies)in kaart brengen om deze verder in het ontwikkelproces te mitigeren/toe te passen. Dit vergt een samenwerking over alle bedrijfsonderdelen heen en moet goed gemanaged worden. Coomitment hiervan op C-level is hierbij noodzakelijk.
Ik ben het volledig eens met de in het artikel geponeerde stelling dat technologie niet zalig makend is. Het geautomatiseerd afdwingen van policies is echt niet voldoende. Daarvoor zijn mensen veel te vindingrijk.
Ik ben het ook eens met de stelling dat IT-infrastructuren beter ontworpen moeten worden. Het loopt m.i. fout op de stelling dat een Informatie Architect een ict-er is. Ict-ers zijn toch wat meer gericht op hun eigen (technische) gebied dan je van een architect zou mogen verwachten.
Naar mijn mening moet een architect een veel bredere kijk op zaken hebben en ook ervaring met 'de business' hebben. DÃ t is nou net de schakel die er voor kan zorgen dat er meer awareness bij de ict-ers zelf op gang komt.
Een belangrijk onderdeel bij moderne beveiliging zou m.i. moeten komen uit het business process management in combinatie met infrastructuur beheer. Dit is een typische combinatie voor een architect en biedt de flexibiliteit die een organisatie nodig heeft. Niet alleen om infrastructuren om te kunnen schakelen, maar ook om de organisatie hier mee om te laten gaan.
Meneer Prins snapt toch wel dat wolven schaars zijn en niet doodgeschoten maar doodgereden worden en boeren dus meer last hebben van vossen. Nu valt niet te ontkennen dat er veel te verbeteren valt maar dat kan hij beter tegen de boekhouder zeggen dan de gemiddelde ICT-er. Dus al brengt meneer Prins 20 voordeuren aan, zolang de achterdeur niet op slot zit lost het niets op.
Ik ben het niet eens met de stelling dat ICTers een lager besef van beveiliging hebben. Er wordt een vergelijk gemaakt met fysieke beveiliging en dat het daar veel bewuster en beter wordt opgepakt. Dat is niet helemaal een eerlijke vergelijking. Fysieke beveiliging is namelijk al honderden jaren een issue en zit daarom veel meer in onze genen. In dit artikel wordt onbewust wel de vinger op de zere plek gelegd. Beveiliging van ICT moet namelijk ook niet het issue zijn maar beveiliging van bedrijfsprocessen en bijbehorende assets. ICT beveiliging is daar slechts een onderdeel van. Het bewustzijn voor beveiliging moet dan ook niet zozeer bij de ICTers aanwezig zijn maar bij de business! Een overkoepelende visie en beleid is richtinggevend aan de maatregelen die de ICTers moeten inpassen en controlleren. Ik ben het wel hartgrondig eens dat bedrijven veel meer security monitoring moeten overlaten aan de specialisten. Om dit goed toe te kunnen passen is namelijk tooling, kennis en ervaring nodig die voor de bedrijven onder de absolute top in Nederland niet realiseerbaar zijn. Dan is de investering in een externe managed dienst achteraf voordeliger en effectiever. Bovendien gaan we dan meer naar proactief security management.
Wel leuk het fotootje bij dit artikel.
Veel mensen zien het als een hek, een obstakel waar je overheen moet klimmen of onderdoor moet kruipen, of eventueel kapot moet knippen om er langs te kunnen.
En degene die het hek geplaatst heeft maar denken dat een ander nu veilig afgebakend is.
Echter, voor een hacker is het slechts een bos ijzerdraad met daartussen onnoemelijk veel en hele grote gaten.
Pas als je inzicht hebt in de activiteiten, de gedachtegang (en motief) van de "hacker", en dat herkent (en begrijpt) kun je pas adequate maatregelen nemen. Dat is voor iedere situatie een geval op zich en verdient de nodige expertise.
Met alle respect voor de heren ICT'ers is beveiliging niet hun taak en het zou ook zeker niet hun verantwoordelijkheid moeten zijn maar die van een aparte afdeling (IT) Security.
Echter, in de praktijk is het vaak één en dezelfde afdeling (als het niet één en dezelfde persoon is).
Multidisciplinaire verantwoordelijkheden neerleggen bij één entiteit die (zeker hier) flink confronterend kunnen zijn is nooit juist.
Scheiden van verantwoordelijkheden is de enige oplossing.
Security is in de basis geen IT aangelegenheid al wordt beveiliging in de IT vaak wel vanuit de IT afdelingen opgezet.
Ooit zo gegroeid, meer beter is het om beveiliging juist los te zien van I(C)T en je te laten adviseren door experts.
En nee dit is geen reclame voor een IT Security bedrijf.
Kunnen omgaan met dichotomie.
Over het punt dat Prins maakt, dat het niet mogelijk is security potdicht te maken, is geen discussie. Je moet dat ook niet willen. Ook de vergelijking is heel sterk; als er direct resultaat (of zoals in de vergelijking gevaar) is, dan pas handelen mensen. Deze kortzichtigheid heeft tot gevolg laksheid op zaken waarvan het resultaat niet direct zichtbaar is. Maar ik zou dat graag breder willen trekken. Uiteraard moet de basis goed gelegd zijn en gecombineerd met time based security is het mogelijk een veel dynamischer en effectiever security beleid te realiseren. Dan hebben we te maken met bottom up security en dat is wel de trend die langzamerhand zien ontwikkelen. Maar daar is (veel meer) kennisdeling voor nodig. Daar is mentaliteitsverandering voor nodig en dat is een cruciale aanvulling op het punt wat Prins maakt. Mensen moeten niet alleen de kennis hebben binnen hun vakgebied, maar vooral ook om kunnen gaan met deze dualiteit zodat ze voorbereid zijn en kunnen handelen op het moment dat dit nodig is. Dit houdt in dat al in een heel vroeg stadium deze ontwikkeling begeleid en gestimuleerd moet worden om mensen die competenties te laten ontwikkelen om dit te kunnen. Dat moet al gebeuren op de lagere school. Kinderen leren gebruik te maken van de digitale wereld en om te gaan met cybercriminaliteit. Dan ontwikkel je – op den duur – experts die leren in the face of ambiguity de vraagstukken op te lossen in plaats van alles dicht te timmeren. Om kennis en informatie te kunnen blijven delen, moeten we dus beginnen om onze eigen kennis en informatie te delen. Hiervoor is een cultuuromslag in onze samenleving nodig. Het is de reden dat ik een advies heb ingediend (als lid van de expertgroep van Ministerie van Onderwijs) bij Sander Dekker om het onderwijs zodanig aan te passen dat het oplossings- en innovatieve vermogen ontwikkeld kan worden. Het is de reden waarom wij investeren in (gratis) gastlessen op scholen (basis t/m WO) en talent ontwikkeling. Om de kern van het probleem op te lossen. Omdat er niet alleen op korte termijn resultaten afgerekend wordt, maar om lange termijn tot oplossingen te komen. En inderdaad, om niet alles dicht te laten timmeren, maar om kennis en informatie te brengen en ontwikkeling te stimuleren zodat men om kan gaan met de dichotomie van de mogelijkheden die de digitale wereld met zich mee brengt.
Sander Dekker kan hier verandering in aan brengen, Prins kan hier verandering in aan brengen en zo zijn er nog veel meer. Maar dat vraagt concrete stappen, gezamenlijk. Als je echt die verandering wilt realiseren.
Niet alleen security, maar alles wat met aspectbeheersing (BCM, beheer) te maken heeft dient opgenomen te worden in de architectuur. Helaas, opdrachtgevers (en dat zijn niet de IT afdelingen, maar de business, waar het geld zit) willen alleen maar direct toepasbare functionaliteiten.
Het feit dat vliegtuigen veel beter worden beveiligd en de cultuur daar naar is (hoewel daar ook wel maatschappijen zijn, die daar wat makkelijk mee omgaan) heeft te maken met een jarenlange opbouw van wet- en regelgeving die door middel van dwang en boetes opgelegd worden.
Helaas heeft dit met menselijk gedrag te maken, en helaas zal gedrag niet vanzelf veranderen. Je zou dus dezelfde manier moeten hanteren als in andere risicogebieden in onze samenleving.
Overigens zijn er al wel steeds meer moderne manieren om een heel netwerk geautomatiseerd in kaart te brengen. Je moet het ook niet met de hand gaan proberen te doen, zoals Prins enigsinds suggereert.
Volgens mij is een wolf een beschermde diersoort waar je niet op mag schieten. En grote kans dat je in dit geval ernaast schiet, en een ander slachtoffer raakt. De aanvallende machine hoeft namelijk niet van de aanvaller te zijn, wie weet wat voor schade je aanricht. Verzin dus een andere oplossing, zolang besmet zijn nog geen wederrechtelijke nalatigheid is waarop eigenrichting van toepassing is. Maar goed, Security Center as a Service zal wel binnenkort in de Cloud beschikbaar zijn, gezien de bijbehorende investeringen. Als het dat al niet is.
Ik zie zelf graag dat aan de binnenkant van de muur de data goed beschermd is, door middel van encryptie, access control is onvoldoende in mijn optiek. Als er dan een keer iemand over de muur glipt valt er weinig te stelen. Inclusief functiescheiding wordt het behoorlijk lastig om bij de datajuwelen te komen.
Om terug te komen op de kop van het artikel: In mijn gesprekken met systeembeheerders kom ik die blinde vlek niet tegen, wel soms blind vertrouwen in beveiligingsproducten.
Advies: laat eens een phishing aanval doen op je eigen bedrijf. Zelfs IT-ers trappen daar wel eens in.
De gemiddelde directeur van een beveiligingsfirma heeft geen verstand van een normaal werkproces.
Dreigingen zijn altijd aanwezig geweest en zellen er altijd zijn. Zaak is de afweging te maken wat je wilt investeren in beveiliging en monitoring en of dat op weegt tegen de kosten van een "incident".
Wie met de beentjes op de vloer blijft en zijn personeel instrukties geeft hoe je omgaat met de dreigingen en voorkomt dat deuren open gezet worden heeft weinig tot geen behoefte aan eerder genoemde direkteuren.
Een gewone systeembeheerder brengt meer als iemand die de hele dag het netwerk monitort, het grootste gevaar zit namelijk nog steeds achter het scherm.
Ik denk niet zozeer dat beveiliging een blinde vlek is, maar dat het "de" (PaVaKe, anyone?) ICT-er gewoon niet interesseert.
Beveiliging levert namelijk niets op en is een zuivere kostenpost te voorkoming van nog grotere schade. Ik erken dat het *heel* belangrijk is om bijvoorbeeld trustworthy software of infratstructuur te ontwerpen en dat de kennis hier vaak tekort schiet. Dit komt aan de ene kant omdat het pittige materie is, aan de andere kant dat technisch veiligmaken heel veel geld en research kost. En dan maak je het veilig en dan komt er een grotere aap in de kooi die de maatregelen ongedaan komt maken omdat er ook nog gewerkt moet worden.
Wat ik eigenlijk mis zijn gemakkelijke maatregelen of diensten om in de basis al meer te doen dan de gemiddelde MKB-er. Hierbij denk ik aan een soort device/tool die je neer kunt zetten op een locatie en waarschuwt bij verdachte patronen op het netwerk. Intrusion detection, maar ook een eenvoudige betaalbare dienst om een "bewaker" van de infrastructuur in te huren. CSaaS ofwel Cyber Security as a service.
Wat betreft het ontwikkelen van veilige software. Dit is ook pittig en drijft de kosten behoorlijk op. Daarnaast moet je ook nog eens bij blijven en daar gaat het snel mis. Het is je baan niet, dus bij blijven op gebied van security komt dan aan op discpline omdat het DNA hiervan ontbreekt.
Dat het onderwerp leeft is duidelijk te zien aan de reacties. Erkenning voor de problemathiek is er ook. Maar vooralsnog zie ik geen grote veranderingen plaatsvinden zeker nu blijkt dat het grootste gevaar van een overheid komt :-)
ICT-systemen bestaan uit een groot aantal componenten die primair als taak hebben om te doen waar ze voor ontworpen zijn. Het is inderdaad de taak van architecten en(!) security specialisten om het overzicht te bewaken en toe te zien dat het geheel van de componenten voldoet aan de eisen van veiligheid die je er aan stelt. Die eisen dienen heel specifiek geformuleerd te zijn en ook een bepaalde prioriteit te hebben. Anders zet je een duur slot in een deur waar de scharnieren los zitten.
Alhoewel de strekking op zich wel juist is, gaat het vergelijk met de olie- en gasindustrie of andere sectoren met grote installaties (energie, chemie, haven etc.) helaas wat mank. In die sectoren staat veiligheid verplicht boven aan de agenda en dit wordt ook dagelijks gemeten omdat je anders de tent kunt sluiten. Komt bij dat er rigoureuze veiligheidstesten worden uitgevoerd alvorens een systeem in productie gaat. Dat dit zelfs geen garantie biedt weten we inmiddels ook door een aantal incidenten waarbij overigens vrijwel altijd de mens de faalfactor is.
Om te weten of een systeem of combinatie van systemen veilig is zul je er niet alleen bij het ontwerp rekening mee moeten houden, je moet het ook heel goed testen en vervolgens regelmatig onafhankelijk auditen en ook continue in de gaten houden.
Dynamische beveiliging is overigens niet nieuw, dit principe hanteerde ik zelf al 20 jaar geleden en toen was het ook echt geen rocket science. Dichtspijkeren werkt inderdaad niet. In piramides zitten helemaal geen deuren en de meesten zijn ook leeggeroofd, inderdaad omdat er geen bewegingsmelder in zat tussen alle obstakels.
Ik weet niet voor welke IT-ers de schrijver spreekt, maar ik ken toch echt veel IT-ers voor wie het wel een dagelijkse zorg is. En we kunnen de architecten van de jaren 80 niet verwijten dat ze niet aan de huidige op internet aangesloten systemen hebben gedacht. Als onze auto's straks het platte vlak kunnen verlaten (lees:vliegen), zul je zien dat de meeste daken erg lek zullen zijn en dat niet voor de regen.
We moeten nog veel uitvinden en we zullen nog vele lekken tegenkomen, al dan niet te laat. En bedrijven als Fox-IT houden de kennis voor ons op peil (hoop ik) en anders leren we zelf wel bij.
Laat zien dat je met de huidige kennis en wat verbeeldingskracht op dit moment echt het meeste doet wat mogelijk en betaalbaar is.
Ik ga volledig mee in de stelling dat het optrekken van een nog hogere muur niet de oplossing van het probleem is. De vraag naar gespecialiseerde ict-beheerders met forensisch inzicht en de juiste tooling kan heel veel schelen. We leven nu eenmaal in een "post-prevention" wereld, waarbij het van belang is om een eventuele reactie om een incident zo snel mogelijk te laten plaats vinden.
Een training voor de ict-beheerders/incident response teams in forensische analyse van netwerk verkeer, servers, etc. zal de komende tijd hoog op de agenda gaan komen te staan bij organisaties. Dit vooral om de beheerders te trainen naar afwijkingen/ opvallendheden te kijken en daarover te alarmeren. Dit natuurlijk ondersteund door big data analytics en security intelligence middelen.
Ik zie een aantal tegenstrijdigheden en ook goede visies in het stuk. Zo wordt verweten de muur op te trekken na een incident, maar wordt juist toegejuicht om maar meerdere muren (deuren) achter elkaar te plaatsen. De oplossing is zeer complex, omdat de aanval doelgerichter wordt en niet alleen maar meer van de 'wolf' komt, maar ook via de lucht (er valt wel eens wat rommel op je dak'), de voedselleverancier (bijv. vergiftiging), het oppervlaktewater (verontreinigd), virussen (q-koorts) en van binnenuit (een gefrustreerde of rancuneuze schaapsherder) enzovoort.
En hoe valt daartegen te beschermen? De oplossing is uitgaan van een 'zero trust' mentaliteit, segmentering en alles te meten en te analyseren. bewustwording, continue monitoring en intelligente systemen/mensen moeten er voor zorgen dat jou kudde (jou data) veilig is en blijft zonder dat je businessprocessen of je bedrijfsdoelstellingen gehinderd worden. Nieuwe technieken (tools; denk aan signature less achtige oplossingen), in combinatie met slimme mensen en goede processen zijn de volgende stap voor iedere onderneming die zijn 'kudde schapen' lief.
Dit lukt uiteraard alleen door focues en samenwerking met gespecialiseerde organisaties en bewezen oplossingen welke meegroeien met de wijzigende nieuwe en oude dreigingen, want naast een robotschaap welke infiltreert zal ook de wolf in schaapskleren weer in de kudde binnentreden.
Be aware en stay secure!
i.d.d. Mensen zijn nodig met de juiste kennis, en niet als laatste overredingskracht: het omgekeerde van het door de heer Prins geschetste beeld kom ik regelmatig tegen.
Bedrijven moeten eerst de noodzaak zien dat ze kwetsbaar zijn, al hun systemen hangen op een of andere manier aan het internet, of vanuit hun eigen netwerk te benaderen!
Genoeg(IT)Managers hebben alleen oog voor SOX en Segregation of Duties, zelfs als ze uitgelegd worden waar de lekken in hun SAP systemen zitten vindt men het toch te veel moeite of zijn de kosten te hoog.
Pas als men de pijnlijke resutaten van een pen-test ziet gaat het roer om.
Dus de ware stakeholder overtuigen: de business, die heeft geen notie van beveiliging, alleen van functionaliteit.
Door aan de basis met zowel awareness bij mensen te werken als architectuur komt men verder.
Als ik die discussies lees denk ik wel eens dat we beter af zouden zijn als ICT helemaal niet was uitgevonden. Dat we gewoon weer met ouderwets handwerk onze productie draaiden, onze (be)rekeningen maakten en onze dagelijkse dingen deden. En alles ging via de post en de telefoon.
Maar ja, posttreinen werden ook al overvallen, telefoons werden ook al afgetapt en rekeningen werden ook al vervalst.
Dus die hele discussie heeft niet zo heel veel zin, want we houden het toch niet tegen. 100% beveiliging bestaat niet.
Bovendien, de tegengestelde vraag is: als het mogelijk zou zijn iets 100% te beveiligen, zou er dan niet ook misbruik van gemaakt worden? Vergelijk bijvoorbeeld met het bankgeheim in Zwitserland. Jarenlang waterdicht, maar vooral voor minder frisse zaken als belastingontduiking.
Nee, beveiliging heeft misschien nog wel meer met mores te maken. En dan vooral van hen die iets te beveiligen dan wel wat te verbergen hebben.
Mijn hoop voor de (verre?) toekomst is dat we juist steeds meer gaan delen. Wordt de wereld een stuk rustiger van. Kunnen we thuis de achterdeur ook weer gewoon open laten staan.
Dat mensen die zelf werkzaam zijn in de IT geen gevoel voor beveiliging hebben, vind ik onzin. Er zijn in elke sector mensen die verstand hebben van andere zaken en mensen die speciaal aangenomen zijn voor de beveiliging. Ook in de IT zijn mensen werkzaam die veel kennis van en ervaring met beveiliging hebben, maar dat geldt, uiteraard, niet voor iedere IT-er, zoals het ook niet geldt voor iedere bouwvakker of iedere HR-medewerker (om maar een paar willekeurige voorbeelden te noemen).
Of je beveiliging regelt door de deur goed op slot te doen, door een hek om je gebouw te zetten of door beveiligers in te huren, hangt ook af van wat je te beveiligen hebt: hoe hoger de waarde van wat beveiligd moet worden, hoe meer je eraan uit kunt en wilt geven.
Dynamische beveiliging is zeker mooi, maar je bent meer aan het bestrijden dan aan het voorkomen. De meeste organisaties hebben kwetsbare systemen en dan wil je inderdaad iemand in een wachttoren, maar liever nog wil je dat die systemen bestendiger zijn. Ronald's advies is een goede, maar niet zonder maatregelen om veiliger systemen te maken en te onderhouden - anders is het dweilen met de kraan open. Als je die maatregelen neemt dan zul je zien dat ICT'ers vaak wel gevoel hebben voor beveiliging, maar dat ze niet goed worden aangestuurd. Beveiligingseisen ontbreken veelal, of ze zijn te vaag en ze worden maar beperkt gecontroleerd. Tja en dan ontstaat inderdaad die blinde vlek ten faveure van zaken die beter worden aangestuurd, zoals functionaliteit en time-to-market.
"In plaats van investeren in spullen, adviseert Prins te investeren in mensen." Klinkt als een garantie om van de regen in de drup te raken. Zoals vrijwel altijd heb je op beide fronten kwaliteit nodig lijkt me.
Ergens word hier wel een aardig punt aangesneden maar dan wel, tenminste zo ervaar ik het, vanuit een ietwat ander perspectief. Er is een kern van 'core' IT-ers die van eigen veld vrijwel alles af weet. Maar diezelfde IT nerd is zo incommunicatief als de oude buizenradio, laat staan dat die zich bezig houd met....
Dan heb je een contingent professionals die aan IT 'schurken', zichzelf IT-er noemen, maar dat feitelijk niet zijn. Aardige generalisten soms maar.... ook zij bezitten geen keten kennis of werkelijke ervaring.
Dan heb je een hele hoop commerciële bedrijven en de cowboys die , om het even onder welke noemer, anderen van een bepaalde noodzaak willen overtuigen met als doel.... Sale Sale Sale.
Dan heb je een heel klein contingent mensen die wel degelijk oog heeft voor de gehele E2E ketens, intrinsiek natuurlijk niet altijd even diep ingevoerd in de onafhankelijke disciplines, maar wel weer bijzonder goed in het opstellen en auditten.
Dan hebben we nog het jong aanstormend talent. Daar word zeer veel van verwacht en gevraagd, tot op het ridicule af.
Kort om.... waar gaat dit artikel over? u zelf te verkopen? Gebruik dan niet KPN als voorbeeld 'security wise'. Neem de gelegenheid te baat eerst te zorgen dat uw keten basis op orde is en u een duidelijke en implementeerbare processen heeft en ga er dan de boer mee op.
Anders blijft he inderdaad een verkopverhaaltje met een hoog WC eend gehalte, ook al heb ik het grootste Respect voor Prins van Fox. Want dan heb ik nog wel een paar hele eenvoudige vragen voor hem waarvan ik nu al weet dat hij daar ook niet meteen het antwoord op zal hebben.
Jammer een dergelijk verhaal zo tegen het weekend.
@Johannes
Mijn complimenten aan de redactie. Dit is toch het artikel met het hoogst aantal gemiddelde reacties per uur. En dat op een stukje tekst waar nagenoeg niets nieuws in staat.
Ik zie het meer als nog meer bewijs hoe het container begrip 'ITC-er' aan het verloederen is.
Ik meen op mijn opleiding nog bij programmeren uitgelegd hebben gekregen dat 'strncpy' voorkeur kreeg over 'strcpy' zodat buffer-overflows niet meer mogelijk waren.
De mensen die bij FOX-IT de IDPS apparatuur inrichten en beheren zijn ICT-ers, maar de mensen die spreadsheets maken over hun bevindingen ook.
Op eerste aanblik lijkt het een goed stuk. Na herlezing gaat het kriebelen en na nog eens lezen ....
Meestal vraag ik me af wat de reden is van een bevinding. Het lijkt logisch dat je iets meer aandacht voor fysieke beveiliging hebt als je op een boorplatform zit zo'n 60 mijl uit de kust. In een compound ergens in Uruzgan zal de aandacht voor beveiliging ook wel hoger zijn dan in Havelte. Het verschil tussen "involved" en "committed" zeg maar.
De vergelijking van de boer en de wolf is heel aardig maar de goede oplossing ontbreekt. Een hoger hek gaat niet helpen terwijl dat wel gesuggereerd wordt. Bovendien is dat investeren in spullen wat nou juist niet moest. De boer zou 2 dingen kunnen doen: bij het hek gaan posten en iedere wolf afknallen of hij kan investeren in personeel, in dit geval herdershonden, die de zaak deskundig in de gaten houden en zelfs preventief zullen werken. Maar, zoals ook anderen stellen, dat is een toegesneden oplossing die voor schapen werkt maar waarschijnlijk niet voor koeien of ander vee. De vorm van de beveiliging moet dus passend zijn voor het te beveiligen object en dat zal lastig zijn te doen met mensen die naar een scherm zitten te kijken. De "echte" kennis zal ontbreken en je komt dan al gauw op generiekere oplossingen dan je feitelijk zou willen. Bovendien is het toch weer een reactieve benadering van beveiliging. Je bent beter bezig door systemen intrinsiek veilig te maken. Ingrijpen blijft dan beperkt tot echte incidenten. In feite kunnen de mannen in het Security Center dan op dezelfde wijze hun werk doen als de mannen van de TV-commercial die de boef gadeslaan bij een inbraakpoging. Maar op die manier ontwerpen en ontwikkelen vereist een omslag in denken, voor iedereen en niet alleen voor ICT-ers.
De schrijver heeft voor een groot gedeelte wel gelijk. Security by design is nog steeds niet gemeengoed en zorgen dat het personeel goed bekend en wellicht zelfs geschoold wordt in veilig gedrag is nog veelal te schaars.
Maar zelfs als je dat wel goed hebt zitten in de organisatie is het nog knap lastig om gebruik te maken van producten waar géén achterdeurtjes voor de NSA in zitten.
Ronald Prins, de hooggewaardeerde schrijver, geeft hierbij een impuls aan de gedachte dat logische security en fysieke security meer zullen gaan samensmelten en van elkaar kunnen leren. In mijn gesprekken met Security Experts heb ik geleerd dat dit wel wordt (h)erkend maar dat dit nog niet de praktijk van alledag is. Ik zou dan ook graag een verzameling van best practices tegemoet zien waar beide security proposities hand in hand gaan. Het zou voor veel ondernemingen de efficiency verhogen en de kosten besparen.
Security leeft wel degelijk bij de ICTers, maar zolang de business er geen meerwaarde in ziet (oftewel een ROI kloppend gemaakt kan worden), dan is er gewoon geen budget beschikbaar.
Ronald Prins spreekt over zinnige zaken maar maakt van het betoog een wel erg zielig verhaal. Durft Ronald Prins zijn klanten niet de essentie te vertellen? Hij beweert dat juist de ICT’er een blinde vlek heeft voor security (behalve die paar van Fox-IT natuurlijk). De ICT’er is de weak spot en niet de (leiding van de) organisatie waarvoor hij werkt. Die leiding is alleen zo dom om op de verkeerde mensen te vertrouwen.
Wat is waar van de beweringen? Heeft juist de ICT'er een blinde vlek voor security?
Dat is niet mijn beleving of wat ik van niet-ICT'ers hoor. ICT'ers hebben net zo veel aandacht voor security als de rest. Bijvoorbeeld, bij de grote banken werken ICT'ers heel nauwgezet aan de beveiliging. M.b.t. DDoS ging het bij banken echter goed mis. Reden hiervoor was dat de directies niet voldoende wilde investeren, tot pakweg een half jaar geleden. Ja, toen ging DDoS echt pijn doen.
De grootste security lekken zitten overigens niet bij de ICT van de banken. De grootste security missers daar zijn transacties waarbij bevoegdheden vaak al geruime tijd overschreden werden (en we praten over vele miljoenen tot miljarden per jaar per bank). Ook wordt er regelmatig geld weggesluisd door medewerkers die daarna snel verdwijnen. We lezen er heel zelden over, want de commerciële schade door fraude wordt groter geacht dan de financiële. Fox-IT weet dat maar al te goed, want zij worden regelmatig gevraagd om te helpen de rotsooi discreet op te ruimen. Zo kan ik nog veel meer voorbeelden geven.
En dan de opmerking dat "binnen bedrijven die ervaring hebben met fysieke beveiliging, zoals in de olie- en gasindustrie, is de aandacht voor beveiliging veel groter".
Bij de chemische industrie en vooral de opslagbedrijven en van chemicaliënverpakkingsbedrijven is de fysieke beveiliging bedroevend laag gebleken. Rotterdam/Pernis en Moerdijk zijn diverse keren net aan grote rampen ontkomen. Recycling- en saneringsbedrijven doen het niet beter. Ook Schiphol, waar fysieke beveiliging heel belangrijk is, is meerdere keren een gatenkaas gebleken.
Ronald Prins geeft dus geen fair oordeel over zijn vakgenoten. Misschien voelt hij zich beter door anderen naar beneden te trappen, maar professioneel is het niet?
Fox-IT zou ook wel eens eerlijker mogen zijn tegenover hun reguliere klanten. Als zij bijvoorbeeld aan Fox-IT vroegen hoe veilig internet was of er backdoors waren in bekende programma’s, dan kregen ze jarenlang niet het juiste antwoord. En dat kwam niet doordat Fox-IT niet beter wist. Nee, want Fox-IT werkte al jaren nauw samen met inlichtingendiensten en met fabrikanten van afluisterapparatuur en die van spyware voor overheden en is vaak co-producent van oplossingen.
Een gemiste kans voor een consultancy bedrijf.