7min Security

Al Kinney HP: denk als cybercrimineel en handel als soldaat

Al Kinney HP: denk als cybercrimineel en handel als soldaat

In het dagelijks leven is Al Kinney hoofd van de afdeling publieke sector (overheid en NGO’s) bij HP Enterprise Security Services in de Verenigde Staten. Als cybercrimedeskundige adviseert hij grote bedrijven en overheidsinstellingen. In die rol denkt hij nog steeds als de marineofficier die hij 24 jaar lang was. Tijdens de presentaties die hij tijdens de Cybersecurity-week  – van 13 tot en met 17 april –gaf, sprak hij over ‘een aanvalsplan’, ‘de vijand’ en ‘doelwitten’. Zijn advies aan bedrijven die veel te verliezen hebben bij cyberaanvallen is even eenvoudig als doeltreffend: denk als de cybercrimineel en handel als een soldaat, 24/7.

“Waarom moet je dezer dagen goed investeren in bestrijding van cybercrime?” vroeg hij zijn toehoorders. “Omdat de kosten van bestrijding achteraf nu eenmaal veel hoger zijn. Om nog maar niet te spreken van de reputatieschade.” Kinney bracht zijn boodschap helder voor het voetlicht: Wie zijn zaakjes niet op orde geeft miljoenen uit per jaar aan het opruimen van de puinhopen die hackers veroorzaken. Niet alleen de it-afdeling heeft er last van. De hele business komt in gevaar. “Wanneer de kapitein van een groot vliegdekschip vermoedt dat een vijand in de buurt is, zal hij niet op een plek blijven liggen, maar steeds van positie veranderen. De hele bemanning houdt oren en ogen open en reageert meteen op een dreiging of een aanval. Precies zo moeten bedrijven omgaan met cybercrime.”

 

We zijn lui

De ex-militair wil dus heldere strategie en samenwerking, van de thuiswerker met een deelcontract tot de hoogste baas. Iedereen moet zich bewust zijn van de gevaren van cybercrime. Waarom dit vaak niet gebeurt? Kinney laat daarover geen misverstand bestaan: “Gewoon omdat we lui zijn. Zowel consumenten als bedrijven willen wel de lusten maar niet de lasten van ICT. We vinden het wel makkelijk om het hele leven aan elkaar te knopen via internet, terwijl datzelfde internet verre van veilig is. Cybercriminelen zijn al zover dat ze de halve wereldeconomie kunnen platleggen als ze zouden willen. Dat wetende moet je als bedrijf of overheidsinstelling niet alleen de ontstane problemen stuk voor stuk als losstaande incidenten oplossen. Je moet een structurele oplossing hebben en die 24/7 in de gaten houden en bijstellen. Begrijp wat je doet op en met internet.”

Ontruimingsplan

Kinney noemt zijn aanpak ‘Executive breach response’. Een draaiboek voor de belangrijkste risico’s dat elk bedrijf uit de kast kan trekken in geval van cybernood. Het moet werken als een ontruimingsplan: je stelt het samen, test het en houdt regelmatig oefeningen, waarna je op basis van de uitkomsten het plan bijstelt.

Gebeurt er iets dan stel je dat plan meteen in werking. Niet iedereen heeft zoiets in de kast liggen. Waar begin je? “Met je grootste zwakheid. Los dat op, update vervolgens je hele netwerk en alle applicaties. Herhaal dit met alle zwakheden in applicaties in de hele organisatie tot je alles hebt gehad. Denk vervolgens anders dan vroeger, bij al het nieuwe dat je inbrengt. Toen was het: eerst de functionaliteit en daarna de veiligheid: nu moet het tegelijkertijd.”

Op de vraag of dat geen rem zet op de ontwikkeling van mooie software, schudt Kinney resoluut het hoofd. “Als je een auto bouwt, bouw je toch ook remmen in? Dankzij die remmen kun je veilig rijden. Zo moet de beveiliging van software en applicaties ook werken.”

Volgens Kinney zijn, naast het regelmatig tweaken en het standaard inbouwen van veiligheid, waakzaamheid en camouflage de beste bestrijding tegen cyberaanvallen. Wat dat betreft gebruikt hij de kennis en ervaring van zijn militaire achtergrond. “Denk als een soldaat. Bouw dynamische netwerken in plaats van statische. Zoveel mogelijk in de cloud. Bewaar niks op slechts één plaats. Zie je een probleem aankomen? Verplaats die applicaties dan en zorg dat cybercriminelen er geen zicht meer op hebben. Hoe beter zij hun doelwit kunnen bestuderen immers, hoe beter hun aanval zal zijn.”

De hele IT-sector moet volgens Kinney dus minder voorspelbaar zijn. Het automatisme van alles statisch onderbrengen bij één cloud-hoster op één datacenter moet passé zijn. “Spreid en rouleer, niet eenmalig maar voortdurend. Gebruik vervolgens de cloud om het netwerk makkelijk up to date houden, applicaties verversen, updaten en verplaatsen. Stukjes die risico lopen moet je snel kunnen uitschakelen en ergens anders herstarten. Net zo makkelijk als een telefoongesprek via VoIP. Vermoed je dat je gehackt wordt? Hang op, ga lunchen en probeer het dan nog eens.”
Ethisch hacken

Kinney is een uitgesproken voorstander van ethisch hacken. Alleen door te leren denken als de cybercrimineel kun je ze verslaan. Tegelijk moet je discreet zijn met welke lekken en patches je van wie bekendmaakt om grotere schade te voorkomen, het zogeheten ‘responsible disclosure’. Een netwerk van ethische hackers test continu allerlei hardware op kwetsbaarheden. Is er iets gevonden, dan wordt dat eerst binnen de eigen organisatie bekendgemaakt. Hierop worden niet snelle patches gemaakt, maar wordt het kwetsbare deel afgesloten, alsof je het inpakt. De kwetsbaarheid is op die manier verborgen. “Pas als de kwetsbaarheid is veiliggesteld,” legt Kinney verder uit, “informeren we de fabrikant en krijgen ze de gelegenheid het in orde te maken. Als het probleem netjes wordt opgelost, zwijgen wij erover tot de patch is geïnstalleerd en goed werkt. Dan pas komt het naar buiten, met dank aan degene die het probleem aan het licht bracht en dank voor het snelle oplossen door de fabrikant. Alleen als de betreffende producent zegt het niet te kunnen of willen oplossen, komt de botte bijl van publieke bekendmaking eraan te pas. Er niets over zeggen betekent immers dat criminelen het lek kunnen vinden en uitbuiten.”

Volgens Kinney leiden alle maatregelen bij elkaar: waakzaamheid, spreiding, denken als de cybercriminelen en ethisch hacken met responsible disclosure, tot een goede ‘netwerkhygiëne’: “Leren van je fouten hoort daar eigenlijk ook bij. Soms kloppen bedrijven radeloos bij ons aan. Ze weten niet waar ze moeten beginnen. Meestal beginnen we dan bij het belangrijkste kwetsbare punt en lossen dat op. We kijken welke lessen je uit het voorval kunt leren en dat leidt tot het volgende punt. Voor elk bedrijf is de oplossing dus weer anders.”
IoT

Volgens Kinney moeten bedrijven zich niet het hoofd op hol laten brengen door de razendsnelle opvolging van nieuwe ontwikkelingen. “Het hele bedrijf moet op de hoogte zijn van het nieuwe dat je wilt omarmen, zodat iedereen er veilig mee leert werken. Iets structureels en groots als het Internet of Things (IoT), is niet alleen het nieuwste speeltje van de it-afdeling. Onderzoek eerst of het voor jouw bedrijf zou kunnen werken, wat de risico’s kunnen zijn en beslis dan pas of daar geld in gestoken gaat worden. Tot in de directiekamer moet iedereen zich bewust zijn van wat een dergelijke beslissing met zich meebrengt. De directie moet immers de verantwoordelijkheid zelf dragen, al was het alleen maar omdat ze verantwoording af te leggen hebben aan de aandeelhouders als het misgaat.”

De HP-topman heeft bij de huidige stand van zaken rond de invoering van IoT ernstige twijfels. “Begin er niet aan tot je goede beveiliging hebt,” waarschuwt hij. “Het lijkt zo makkelijk: je koelkast en het hele elektriciteitsnet samen online zetten. Maar wat denk je dat er gebeurt als hackers kwetsbaarheden ontdekken? Dan loop je het risico dat je via die slecht beveiligde koelkast de halve stad lam kunt leggen. Willen we dat?”

Als het aan Kinney ligt wordt een aanpak ontwikkeld waarbij de koelkast, de snoepautomaat en het elektriciteitsnet los van elkaar IoT-functies hebben, terwijl ze toch in staat zijn samen te werken. “We behandelen het internet nu als een grote vergaarbak. Als je daar ‘waterdichte schotten’ in aanbrengt, die zowel samen als apart kunnen werken, heeft de cybercrimineel een stuk minder kans.”