_small.jpg "Klik voor hele profiel")
De FBI en DHS (Department of Homeland Security) schreven het Joint Action Report met een analyse over de hacks rond de Amerikaanse verkiezingen. Daar is veel over gezegd, maar één hoofdstuk kreeg nauwelijks aandacht, terwijl dat het de relevantste informatie bevat. Het is het hoofdstuk dat zeven handreikingen doet om cyberaanvallen te voorkomen.
Logisch
In het hoofdstuk ‘Top Seven Mitigation Strategies’ stelt het DHS het volgende: ‘DHS encourages network administrators to implement the recommendations below, which can prevent as many as 85 percent of targeted cyber-attacks. These strategies are common sense to many, but DHS continues to see intrusions because organizations fail to use these basic measures.’
Simpel vertaald: acht van de tien cyberaanvallen zouden niet plaatsvinden als organisaties ‘logisch nadenken’ en eenvoudige beveiligingsmaatregelen nemen. Dat is nogal wat! Is logisch nadenken dan echt zo logisch, of is het te moeilijk?
Strategieën
Dit zijn de zeven strategieën die vervolgens worden gegeven:
1. Patch-applicaties en -besturingssystemen;
2. Whitelist-applicaties;
3. Beperk beheerdersprivileges;
4. Voeg segmentatie toe in het netwerk en beveiligingszones;
5. Valideer input;
6. Zet antivirus en bestandscontrole op scherp;
7. Ontwikkel de kennis over firewalls.
Redelijk logisch en eenvoudig, toch? Dit moet voor elke organisatie die iets geeft om beveiliging een haalbare kaart zijn. En toch; veel bedrijven zijn hiervan niet op de hoogte of negeren het. Dus even los van het feit of er hacks zijn geweest bij de verkiezingen in de VS en in Nederland, en wie er dan achter zit, wil ik graag de discussie starten waarom we nog steeds niet de standaardbeveiligingsmaatregelen doorvoeren? Dat geldt niet alleen voor de politiek, maar betreft de hele publieke en private sector.
Standaardbeveiligingsmaatregelen
Waarom kunnen we niet logisch nadenken als het om security gaat? Wat houdt ons tegen om standaardmaatregelen door te voeren? Zijn we er niet van bewust? Het lijkt me niet: veel van de aanbevelingen zijn zelfs opgenomen in nationale en internationale compliancy-reglementen zoals HIPPA, PCI DSS, FDDC, Government Connect, FISMA, SOX en andere. En de private sector is inmiddels ook wel op de hoogte dankzij de grote aanvallen op banken, retailers en technologiebedrijven.
Willen we er geen geld aan uitgeven? Ook dat lijkt me niet. IDC berekende dat in 2020 bedrijven zo’n 101,6 miljard dollar aan securitysoftware, hardware en services wordt uitgeven. Andere partijen schatten het zelfs nog hoger in. Dat moet het gat toch dichten, zou je zeggen.
Kunnen we ooit veilig zijn?
Het is de vraag of we de race ooit zullen winnen als standaardmaatregelen al niet eens worden doorgevoerd. We zitten op het punt dat politiek, media, bedrijven en security-leveranciers vooral tegen elkaar aan het praten zijn over beveiliging, in plaats van naar elkaar te luisteren. Of te kijken naar de harde feiten. We zitten in een soort cyber-cirkel waarin we alsmaar dezelfde dingen zien en roepen terwijl we niet vooruitkomen. We zien dat de achterdeur (en soms zelfs de voordeur) openstaat, maar we doen er niets aan. En in de zomer kan dat lekker zijn, maar als het kouder wordt, wil je die deur echt wel dicht hebben.
Reacties
Kortom: het verschil tussen een beveiligingslek of daadwerkelijke inbreuk.
Vertaald naar de normale fysieke wereld: als ik mijn sleutel onder de mat leg bij de voordeur is dat een beveiligingslek. Zodra iemand die sleutel vindt en mijn huis betreedt, is dat een inbraak (als ik hem of haar daar natuurlijk expliciet geen toestemming voor heb gegeven).
Conclusie: binnen de ict liggen er heel veel sleutels onder de mat. Sterker nog, er is vaak niet eens een sleutel, de deur staat gewoon open.