Nu het coronavirus al geruime tijd rondwaart, krijg ik meer en meer signalen dat informatiebeveiliging na de opleving nu weer in het verdomhoekje aan het raken is. Het budget van de CISO wordt afgeknepen of zij/hij krijgt voornamelijk een adviserende rol. Een gevaarlijke en onterechte keuze, die veel organisaties wel eens heel duur kan komen te staan.
Langzaam worden de eerste contouren zichtbaar van de verwoestende werking van de lockdown op de economie. Met een tweede golf corona – en als we pech hebben een derde en vierde golf – is het moeilijk voor te stellen hoe groot de impact gaat zijn. Van eerdere recessies weten we dat internetcriminaliteit juist dan een opleving maakt. Tegelijkertijd is de reflex te bezuinigen op ICT en vooral de beveiliging ervan. Dat die twee bewegingen geen gelukkige combinatie zijn, mag helder zijn.
Een andere gevaarlijke ontwikkeling heb ik al bij de eerste organisaties waargenomen. De CISO raakt zijn recent verworven onafhankelijke rol met budget kwijt en wordt weer adviseur. Een wereld van verschil in organisatorisch opzicht. In plaats van dat beveiliging een vast onderdeel is van de organisatie, mag het nu weer gaan wedijveren met het wensenlijstje van de gebruiker en de board. Daarmee versnelt het afkalven van waarborgen. De CISO gaat van preventief dingen regelen weer naar memo’s schrijven en het oplossen van incidenten.
Dat laatste is dan ook bittere noodzaak, aangezien het aantal incidenten toeneemt én heftiger van aard is. Criminelen bezuinigen niet, maar investeren juist in het langdurig en geduldig aanvallen van organisaties. Over langere termijn bouwen zij een ‘klantenbase’ op, waarvan bij succes een deel plat wordt gelegd door gijzelsoftware. Als slechts een deel van de slachtoffers betaalt draait de criminele operatie prima. De CISO mag weer gaan dweilen terwijl de kraan wijd open staat.
Het devies bij een aanval door ransomware luidt: ‘niet betalen’. Onlangs sprak ik een directeur die hierin een zeer principieel standpunt innam. Toen ik hem vroeg hoeveel dagen zijn productie volledig stil kon liggen, voordat er ernstige liquiditeitsproblemen ontstonden, ging dat principe al snel overboord. Natuurlijk had dit voorkomen kunnen worden als de beveiliging verankerd was geweest.
De patronen zijn herkenbaar bij dit soort incidenten: netwerken blijken niet goed ingericht, software is verouderd, back-ups worden niet goed geborgd, meestal wordt gewerkt zonder meerfactor-authenticatie, de detectie op aanvallen schiet tekort en personeel is onvoldoende getraind om signalen tijdig te onderkennen. En veelal zien we dat een CISO meerdere tegenstrijdige belangen moet dienen.
De komende jaren zal thuiswerken belangrijk blijven. Eerst om het coronavirus in te dammen, daarna om de kosten van de operatie te drukken en vooral omdat er een nieuw normaal gaat ontstaan. Binnen deze ontwikkeling hoort het in goede banen leiden van onze digitale omgeving. Beveiliging is geen luxe, maar bittere noodzaak. Misschien moeten we het adagium uit de veiligheidsleer tot ons nemen: If you think safety is too expensive, try an accident.
