In theorie is cybersecurity bewonderenswaardig goed georganiseerd, met de blik gericht naar de toekomst. De weerbarstige praktijk ziet er echter geheel anders uit: het merendeel van de security-professionals rent dag in dag uit van de ene brand naar de andere. Het is niet eenvoudig om binnen die hectiek te leren van fouten en te komen tot een strategische benadering. Toch is dat de enige manier om met enig vertrouwen de huidige en toekomstige dreigingen het hoofd te bieden.
De veranderingen in cybersecurity gaan zo razendsnel dat iedere afgeronde verandering direct onder de voet wordt gelopen door de volgende noodzaak. Om het geheel nog verder op scherp te zetten, wordt de roep om transparantie luider, en is de dwingende publieke opinie – en de mondiale media – lang niet meer zo vergevingsgezind zijn als voorheen. Imago’s komen te voet en gaan te paard. Tien jaar geleden ging cybersecurity over antivirus en firewalls en opereerden individuele hackers vanuit hun keldertje. Inmiddels is het aanvalsoppervlak geëxplodeerd en zijn de cybercriminelen opmerkelijk goed georganiseerd en buitengewoon inventief. Hun aanvallen overstijgen het compromitteren van vertrouwelijkheid. Ze omvatten strategische doelstellingen voor de lange termijn en hebben letterlijk impact op het leven van mensen.
Ieder jaar doet onderzoeksbureau Gartner voorspellingen over allerlei IT-onderwerpen, dus ook over cybersecurity. Veel van deze vooruitblikken overlappen of versterken elkaar. De onderstaande voorspellingen van Gartner zijn dus geen analyses op geïsoleerde ontwikkelingen. Ondanks de waan van de dag, dwingt de groei van IT – in omvang, complexiteit en belangrijkheid – organisaties tot een strategische benadering van cybersecurity als één discipline die het geheel overkoepelt.
Tegen 2025 hanteert 80 procent van de ondernemingen een strategie om web, clouddiensten en privé applicatietoegang samen te brengen vanaf één SSE-platform (Secure Service Edge).
We willen betere beveiliging, minder moeite en een naadlozer gebruikerservaring over de hele linie. Gezien de huidige complexiteit van het IT-landschap is dat in de toekomst alleen haalbaar als we de diverse elementen effectief terugbrengen naar één centrale hub binnen de grenzen van de complete organisatie. Dat is namelijk veel beter te controleren. Veel van de oplossingen zijn er al. In de basis doen ze goed werk, al functioneren ze veelal binnen hun eigen silo. Het punt is dat het geheel nu geïntegreerd moet worden naar één centrale positie. Ga wat dit aangaat niet over één nacht ijs en overdrijf het evenmin. Evalueer zorgvuldig jouw specifieke beveiligingsbehoeften en bepaal welke beheerde oplossing je kan gebruiken. Zoals gezegd, veel is er al en ook leveranciers zijn steeds meer bereid om samen te werken met andere leveranciers, ook als dat concurrenten zijn. Voorop staat dat de beveiligingspositie bij de klant wordt versterkt. Dit pad naar consolidatie begint in het eigen huis. Welke puntoplossingen zijn er al die jaren toegevoegd aan het geheel? Steeds vaker is er voor nieuwe issues niet eens meer een puntoplossing beschikbaar in de markt. Zoek naar de voordelen om de externe expertises, de eigen bestaande oplossingen en andere mogelijkheden te combineren.
Tegen 2025 hanteert 60 procent van alle organisaties ‘zero trust’ als uitgangspunt. Meer dan de helft van hen zal er niet in slagen om daarvan de vruchten te plukken.
Al langer dan drie decennia proberen we het volgende onder de knie te krijgen: het bieden van snelle en veilige toegang aan dat ene individu op het juiste moment tot de juiste hoeveelheid informatie voor exact de benodigde duur. En die werkplek is met plotselinge groei van het hybride werken rigoureus veranderd de afgelopen twee jaar. Momenteel is het in dit kader zero trust voor en zero trust na. We vertrouwen elkaar niet meer, we vertrouwen de systemen niet meer en systemen vertrouwen elkaar ook niet meer. Zero trust wordt gezien als de heilige graal om gebruikersfrictie in alle opzichten weg te nemen. Toch zal de helft van alle organisaties die zero trust als uitgangspunt nemen hierin falen. Waarom? Omdat zij zero trust blijven benaderen vanuit een technologisch perspectief. Zolang zero trust wordt gezien als een paradigma dat expliciet bestaat om gebruikers toegang te verlenen, gaan we voorbij aan wat goed is voor een organisatie. Dit gaat veel minder over veiligheid dan over het bedrijf. Goede cybersecurity slaagt erin alle belanghebbenden met elkaar te verbinden. Als dat niet lukt of het lukt hooguit halfslachtig, dan blijven de benefits die zero trust service providers ons voorhouden buiten bereik. Dit betekent niet dat het probleem ligt bij het principe van zero trust. Dat heeft alle kans van slagen zolang het wordt beschouwd als onderdeel van het platform, als onderdeel van de strategie, onder voorwaarde dat de business erbij wordt betrokken. Dan kan zero trust leiden tot resultaten die belangrijk zijn voor de business. Wat de cybersecurity-expert vindt of denkt te weten, doet niet ter zake. Deze expert is er om invulling te geven aan de beveiliging volgens de wensen van de business. Het boeit geen enkele CEO hoeveel dataverkeer er tijdens de 3 miljard poortscans de afgelopen maand is tegengehouden door de firewall. Communiceer over kostenreductie, omzetgroei, merkbescherming, hogere betrokkenheid van werknemers of klanten en je hebt de aandacht van het management.
Tegen 2025 hanteert 60 procent van alle organisaties cybersecurity-risico’s als het voornaamste criterium bij 3rd-party transacties en zakelijke afspraken.
In het verleden won de aanbieder met de laagste prijs negen van de tien keer de opdracht. Dat werkt inmiddels niet meer zo. De leverancier die een organisatie zo min mogelijk blootstelt aan risico’s en aantoont dat ze controle hebben, trekt steeds vaker aan het langste eind.
Hierbij gaat het niet om wat er wordt beloofd, maar wat er wordt bewezen. Toch blijft het moeilijk om bij een dergelijk security-assessment rekening te houden met het onoverzichtelijk grote netwerk aan derde, vierde partijen en onderaannemers. Het bewaken van de veiligheidshygiëne van al die partijen die op de achtergrond een rol spelen is praktisch onbegonnen werk. Realiseer je dus dat je te maken hebt met een toeleveringsketen die voor een groot deel onzichtbaar blijft voor jouw risicomanagement. En maak daarin keuzes. Betrek bij de beoordeling van die veelheid aan betrokken partijen niet automatisch alle details. Bepaal op basis van een initiële quick scan of nader onderzoek nodig is. Vereenvoudig het proces en breek het op in overzichtelijke stappen.
Wie dat niet doet blijft wanhopig staren naar die enorme piramide zonder enig idee waar te beginnen. Door het in kleine stapjes op te delen kijk je niet langer naar de leverancier, maar naar het hele landschap met een veel steviger vertrouwen over de samenwerking. Je kunt vanuit dat overzicht ook veel beter toewerken naar samenwerkingen voor de lange duur. Het voorkomt dat je moet wisselen tussen leveranciers, omdat ze niet bleken te zijn wat je dacht. Denk er ook aan om in het contract afspraken op te nemen over de rol van die derde of vierde partijen en over de verantwoordelijkheid daarvoor.
Uiteindelijk ligt het zwaartepunt bij de inhuur van een leverancier niet meer bij wat het kost, maar bij hoeveel je verliest als de leverancier het niet goed doet. Dus als het management klaagt over dure inhuur, schuif dan de lange lijst onder hun neus met punten waaraan de leverancier voldoet qua cybersecurity.
Tegen 2025 hebben kwaadwillenden bewapende operationele technologische omgevingen, wat tot menselijke slachtoffers zal leiden.
Dat klinkt ver van ons bed, maar het wordt beangstigend realistisch in operationele omgevingen zoals fabrieken, pakhuizen, treinstations. Ook hier komen het digitale en het fysieke samen, wat betekent dat kwaadwillenden ook daar hun slag kunnen slaan. Nu al worden er malware-achtige sporen gevonden, die specifiek zijn bedoeld om veiligheidsinstrumenten uit te schakelen. Op termijn kan dit uitmonden in het uitvallen van beveiliging in bijvoorbeeld een themapark of een productiefabriek. Door die systemen te overschrijven, kunnen criminelen een aanval uitvoeren om een bedrijf tot betaling van losgeld of iets anders te dwingen.
Kijken we naar de juiste dingen? Beschermen we de juiste dingen? Weten we überhaupt waar Cyber Physical Systems (CPS) in onze organisatie worden gebruikt? Er zijn tal van CPS-detectietools die hierbij kunnen helpen, zodat duidelijk wordt welke systemen waarmee verbonden zijn.
Een pijnlijk voorproefje van deze vorm van cybercriminaliteit deed zich voor in de zomer van 2022 op een staalfabriek in Iran. Een groep die zichzelf Predatory Sparrow noemt, claimde verantwoordelijkheid voor een explosie en de brand die hierdoor ontstond in de fabriek. Om hun claim kracht bij te zetten, publiceerde de groep een CCTV-video – een opname dus gemaakt in een gesloten circuit – waarin de explosie is te zien. Hier vielen geen slachtoffers, maar dat gaat vroeg of laat toch eens gebeuren. Dit soort cybercriminaliteit is echt van een andere orde, omdat het letterlijk over mensenlevens gaat. Niets gebeurt meer in isolatie. Kijk naar de volledige breedte en diepte, naar de toeleveringsketen en de onderlinge verbindingen.
Het tempo van de veranderingen binnen IT-security gaat sneller dan ooit en dat is beangstigend. De waan van de dag – het rennen van het ene brandje naar het andere – is funest voor het ontwikkelen van een strategie in samenwerking met de business. Niet alleen is het essentieel om uit die waan de dag te stappen, maar minstens zo belangrijk is het om te partneren met de business. Spreek hun taal, vind afstemming, leer wat ze van je verwachten, zodat de continuïteit geborgd is.
Aan de basis van dit artikel ligt de keynote ‘The Top Predictions for Cybersecurity 2022-2023’ door Bart Willemens. Gartner ITxpo, Barcelona, November 2022.
Lees ook:
- E-mail: wie is er niet groot mee geworden
- De horror van ransomware
