Het merendeel van de Nederlandse it-beheerders (77,5 procent) vindt het steeds moeilijker om zijn organisatie te beschermen tegen cybercriminaliteit. Belangrijkste redenen hiervoor zijn de groeiende complexiteit van aanvallen, zoals DDoS-aanvallen en de groei van bring your own device (byod). Dit blijkt uit onderzoek van F5 Networks onder Nederlandse it-beheerders en -managers.
Wanneer een bedrijf slachtoffer zou worden van een DNS-aanval, zegt meer dan de helft te vrezen voor grote gevolgen voor de dagelijkse gang van zaken. Wellicht nog opmerkelijker is dat bijna 4 procent geen idee heeft wat er dan zou gebeuren. Om de security-uitdagingen het hoofd te bieden, kijken it-beheerders met name richting het management. Daar moet volgens 63,2 procent van de respondenten security nog hoger op de agenda komen. Verder heeft bijna de helft (47,1 procent) behoefte aan geconsolideerd management van meerdere securitytools en zou 36,8 procent meer inzicht willen hebben in het soort apparaten dat het netwerk benaderd. Daarnaast geeft meer dan een derde toe dat ze meer verstand van de verschillende soorten bedreigingen willen hebben.
Reputatieschade grootste gevaar
Wanneer organisaties slachtoffer worden van een DDoS-aanval zijn it-beheerders met name bevreesd voor een deuk in de reputatie. Liefst 68,6 procent geeft aan bang te zijn reputatieschade op te lopen. Daaropvolgend wordt genoemd de impact op dienstverlening richting klanten (57,4 procent), oplopende werkdruk voor it-afdeling (41,2 procent) en omzetverlies (38,7 procent).
‘Ik vind het opvallend dat reputatieschade het vaakst wordt genoemd als belangrijk gevolg van een aanval’, zegt Rene Oskam, sales directeur van F5 Benelux. ‘Die koppeling tussen it-security en de business is bij de it-beheerder dus helder, terwijl hun managers volgens hen het belang van security nog onderschatten.’
Nieuwe technologie
Bijna 40 procent geeft aan dat het voeren van een constant securitybeleid veel moeilijker is geworden, vanwege cloud, byod en off-premise it. Een goede 46 procent ziet het iets rooskleuriger in, maar geeft nog altijd aan dat het iets moeilijker is. Slechts 1,5 procent vind zijn werk makkelijker geworden.
Oskam: ‘Dat de druk op de it-manager oploopt vanwege de nieuwe security-uitdagingen is niet vreemd. Wel opvallend is dat velen toegeven te weinig kennis te bezitten en soms zelfs geen idee te hebben wat er met hun organisatie zou gebeuren als ze worden aangevallen. Naast het belang van bescherming, moeten dus kennis, inzicht en preventie zichtbaarder worden. Als het al geen prioriteit is, dan is het een directe oproep om deze onderwerpen hoger op de agenda te krijgen van het algemeen management en it-beslissers.’
Grootste oorzaak van security problemen is dat er Closed Source wordt gerbuikt (ook in drivers en firmware).
Fear sales…. again
Op de keper beschouwd zijn er maar weinig klaar oor een cyberattack. Diegenen die dat het hardste roepen staan klaar om het meest te verkopen denk ik dan altijd maar.
Gaten en gevolgen
In de hausse van procesjes, regeltjes, implementaties, veranderingen, hypes, junior en senior, krijg je een ‘kantelpunt’ waar er in de end 2 end processen gaten komen. Dat zien we dan vervolgens weer terug in publicaties zoals deze:
http://www.ad.nl/ad/nl/5595/Digitaal/article/detail/3561018/2013/12/12/Enkele-tonnen-gestolen-door-identiteitsfraude-via-DigiD.dhtml
Een artikel dat maar weer eens aan geeft dat er over heel veel basale zaken in IT niet eens meer goed over word nagedacht.
Keerzijden van de commerciële hypes
In de weerzin van de perikelen die men toe schrijft aan de crisis, de commerciële partijen die hun verkoopstatistieken willen toppen en last but not least, onwetenden derden die op key posities zitten, is het niet zo verwonderlijk dat de incidenten groter en een vaak structureler karakter krijgen.
Duidelijke consequentie
U kunt nu eenmaal niet verlangen dat het steeds jonger wordende ingezette contingent aan IT professionals, dat men in aan het zitten is, dezelfde ervaring, visie, doordenkendheid en merites hebben die de aan de kant gezette, seniors vaak wel hebben. Tja daar sta je dan. Je hebt een personeelsbesparing weten te bewerkstelligen die bij het eerste grootschalige incident meteen met dikke negatieve cijfers word beantwoord omdat de kennis en vakmatige ervaring op werd geofferd.
Natuurlijk zeggen wij dat niet hard op. Stel je toch eens voor wat de buitenwacht van ons zou denken.
Mening
Ondergetekende heeft zijn visie en mening op dergelijke strategie nooit onder stoelen of banken gestoken. Wanneer je inboet, voor de quick win, op Human Capital, heeft dat vooral in en met IT hele voorspelbare gevolgen.
Steeds moeilijker?
Ik weet het niet. Het zal een combinatie zijn van ‘governance ignorence’ en gebrek aan ervaring, visie en prioriteit. Niettemin is de uitkomst uitermate voorspelbaar. Waarom dat is? Dat laat ik u graag in een eenvoudige whitepaper lezen.
Zo moeilijk hoeft het nou ook allemaal weer niet te worden gemaakt.
http://www.numoquest.nl/IT Crisis mgt.pdf
@M
Beetje kort door de bocht, Open Source heeft evenveel en misschien nog meer problemen omdat het uiteindelijk gaat om het onderhoud van de code.
@Ewout
waarop baseer jij deze uitspraak?
@Jan
Grootste gevaar is het niet up-to-date houden van systemen/applicaties en dat is niet gebonden aan open of closed source om woord ‘evenveel’ te verklaren. En ‘meer’ zit in het feit dat open source nog weleens als ‘unmanneged’ code geïntroduceerd wordt. Verder is volgens mij al eens naar voren gebracht dat ook de juiste configuraties bepalend zijn wat met open source nog weleens uitdagend kan zijn.
Bovenstaande is gebaseerd op ervaringen en onderzoeken.
De FBI heeft al aangegeven dat zij criminelen op het internet niet de baas kunnen.
Microsoft heeft al veelvuldig tevergeefs diverse botnets neer proberen te krijgen.
En het Amerikaanse Congres kan de NSA niet aan omdat ze simpelweg niet precies weten wat die uitspoken.
Daar steekt een netwerkbeheerder die mogelijk slachtoffer wordt nog maar schril bij af.
Internet is simpelweg inherent onveilig.
@Ewout
Selekteren van open source projekten is een vak apart, maar dat is niet anders als met “closed source”-aanbieders.
Met dien verstande dat je bij FOSS wel de mogelijkheid hebt om in de keuken te kijken, wel kunt zien hoe een projekt in de community gemanaged wordt, dat vindt je nauwelijks bij closed source.
De discussie van open of closed source software is naar mijn optiek een non-discussie want alles valt en staat bij een goed patch -en security beleid. Juist hierin zie je dat het best een uitdaging is voor een beheerder om te definiëren wat nu als standaard “veilig” kan worden beschouwd en deze ook consequent toe te passen/uit te dragen. Dit komt mede doordat er een keuze gemaakt moet worden tussen “stabiel” en “veilig”, met als extra uitdaging dat het als zodanig ingericht moet zijn dat klanten/gebruikers er geen last ervan ondervinden.
En daar zie je dat het vaak fout gaat omdat men vanuit de organisatie de denkfout maakt dat wanneer er gezegd wordt dat “alles veilig moet zijn”, daarmee ook functionaliteit verloren gaat met als gevolg dat klanten/gebruikers daar last van ondervinden.
Als het gaat om het goed inrichten van een beveiligde omgeving is er te beginnen met één stelregel: Er is geen gulden middenweg. Het is het één of het ander.
Maar stel dat er een beleid zou zijn rondom beveiliging. Dan nog zie je nog dat er bij veel bedrijven geen duidelijke procedures bestaan rondom het omgaan van bijvoorbeeld software management. Het hebben van een OTAP straat voor het goed testen van patches en nieuwe pakketten bijvoorbeeld is er vaak niet.
Oorzaken hiervan zijn:
– Beheerder krijgt/heeft niet genoeg ruimte om dit als zodanig in te richten.
– Beheerder/organisatie hechten teveel aan de supportcontracten van leveranciers, waar grof geld voor betaald is maar in teveel gevallen zichzelf niet terug betaald.
En het testen van patches is zeer belangrijk omdat je hiermee potentiële gevaren uit kan sluiten, zoals bijvoorbeeld de zoveelste update van Microsoft die de ene lek dicht maar drie andere weer opent.
Maar los van dit zie je al dat bij de basis dat het al verkeerd gaat.
Het ontbreekt bij vele gevallen de aanwezigheid van ‘security baselines’ bijvoorbeeld. Deze moeten worden opgesteld omdat deze een houvast kan geven voor het creëren van procedures rondom inrichting en beheer van systemen en infrastructuren. Daarnaast wordt het dan ook inzichtelijk hoe er gedacht wordt over beveiliging, wat minstens zo belangrijk is.
Wat wel van belang is, en dat kan heel snel gebeuren dat zo’n baseline verouderd, is dat het wel periodiek geëvalueerd moet worden om mee te gaan met de ontwikkelingen.
Als het beleid eenmaal is vorm gegeven is het natuurlijk van belang dat het strikt nageleefd wordt. Automation pakketten zoals CFEngine en Puppet zou daarin een goede hulp kunnen zijn, mits goed en efficiënt ingericht.
Nog een uitdaging voor een beheerder is het bijblijven van alle ontwikkelingen rondom beveiliging en überhaupt kennis hebben van beveiliging. Deze gaat velen malen sneller dan de “normale” ontwikkelingen rondom server technologieën.
Hierin zie je ook een ondoorzichtigheid waarin een gemiddelde beheerder best veel moeite moet steken voor het begrip en het praktisch toepassen van deze materie, wat weer tijd kost en dat heeft een beheerder niet altijd. Daarbij komt ook nog eens bij dat de gebruiksvriendelijkheid is soms ook ver te zoeken bij bepaalde pakketten. Dit alles maakt het voor een beheerder haast ondoenlijk om de omgeving naar behoren te beveiligen. Aan de andere kant: Het hoort bij het vak en er zal toch moeite erin gestoken moeten worden om dit als zodanig goed te kunnen beheersen.
En dan nog het volgende: Wat mij opvalt is dat wanneer gesproken wordt over bepaalde typen aan cyberaanvallen, dat deze voorkomen hadden kunnen worden. Ik neem als voorbeeld DDOS aanvallen.
Een DDOS aanval valt op geen enkele manier tegen te houden. Er is nog geen gouden apparaat wat DDOS aanvallen tegenhoud. Dit tot tegenstelling wat de verkopers/fabrikanten van bepaalde anti-DDOS producten zeggen.
Trap hier dus niet in.
Er zijn wel diensten die het overtollige verkeer routeren naar een speciaal netwerk. Nadelen hiervan zijn dat de kosten hoog zijn en dus alleen interessant zijn voor grote ondernemingen. En het bied slechts een tijdelijke oplossing tot het probleem.
@Chris
Dat closed of open source een non-discussie is als het gaat om gecompileerde objecten ben ik het wel mee eens. Waar ik echter mijn twijfels heb is over de automatisering van patches wanneer het om open source gaat. En die twijfel spreek ik niet uit over de code maar aangaande de vele bronnen want betreffende genoemde euvel van Microsoft komt dit evengoed voor binnen de open source wereld.
Met idee van ‘Internet of Things’ wordt beveiliging dan ook lastiger, misschien zelfs wel onmogelijk als we vasthouden aan oude waarden van souvereniteit en privacy. En steeds vaker strijden de beheerders een ‘vertragend gevecht’ omdat er gewoon nog geen technische oplossing is om de menselijke schakel te patchen:
https://www.computable.nl/artikel/opinie/infrastructuur/4323495/2379248/a-fool-with-a-tool-schaken-in-de-cloud.html