Security staat nog wel eens op gespannen voet met een goede gebruikerservaring. Maar dat hoeft niet zo te zijn. CISO Sándor Incze van CM.com, specialist in conversational software, vertelt hoe hij zijn organisatie veilig houdt en klanten – waaronder organisators van grote evenementen – tevreden.
“Je moet een aantal standaard hygiënemaatregelen treffen, daarmee kun je 98 procent van de aanvallen al voorkomen,” aldus de CISO, die het vergelijkt met de basismaatregelen tijdens de pandemie. De eerste basismaatregel in security is awareness. Omdat CM.com ambitieus is op beveiligingsgebied en meer wil dan alleen maar vinkjes zetten voor een jaarlijks ISO-certificaat, heeft Incze bij het hogere management een maandelijkse training bedongen voor de ruim duizend medewerkers die het bedrijf telt.
Security doe je samen
“Iedereen bij ons weet wat phishing is, wat spear phishing is, wat CEO-fraude inhoudt, en daar toetsen we ook op.” De trainingen worden in eigen huis gemaakt en met voorbeelden uit de eigen praktijk geactualiseerd. Ze zijn bovendien zo opgezet dat medewerkers hun kennis ook thuis kunnen toepassen en delen. “Zodat je gezin er ook wat aan heeft, want security doe je samen. Zo proberen we heel veel mensen te bereiken.”
De andere basismaatregel? “Patchen, patchen en nog eens patchen”, zegt Incze, “gevolgd door aanvullende training voor developers.”
Daarna pas komen specifieke security-toepassingen in beeld. Die kunnen wel een potentiële belemmering voor de gebruikservaring van medewerkers inhouden, aldus Incze: “Neem een e-mailfilter. Dat kijkt naar het domein waarvan een bericht afkomstig is, en ziet bijvoorbeeld dat het net een dag bestaat. Het ziet ook dat de inhoud van het bericht verdacht is. Dus die specifieke e-mail houden we tegen. Maar het scannen duurt even, en als je iets met spoed nodig hebt, is dat lastig.”
Hoe houd je een complex digitaal (data) ecosysteem veilig en de gebruikerservaring goed?
Kom op 2 februari naar onze sessie met Sándor Incze
Juist afgestelde software kan echter een heel groot deel van malafide verkeer en gerichte aanvallen op de infrastructuur van een organisatie tegenhouden. Dat spaart veel tijd en geld, maar bovenal: capaciteit op het netwerk, waardoor transacties geen hinder ondervinden. In het geval van de klanten van CM.com betekent dit: ongestoord tickets kunnen verkopen, of burgers die een afspraak voor hun vaccinatie willen maken zo snel mogelijk kunnen helpen.
Bij het implementeren van technische maatregelen kun je wel tegen grenzen aanlopen. Incze: “Hoe kunnen we het maximale effect realiseren met een minimaal verstoringsniveau? Neem online formulieren. Die worden volautomatisch ingevuld door bots. Dat kan gevolgen hebben: het systeem gaat onderuit, je crm-systeem raakt enorm vervuild, je wordt op kosten gejaagd door extra traffic (bevestigings-e-mails, sms) of erger: de server raakt geïnfecteerd doordat iemand commando’s invoert in een naam-veld. Dus je hebt inputvalidatie nodig.” Toch kan die validatie voor drempels zorgen, omdat iemand ergens een afwijkend format of teken gebruikt.
Daarnaast monitort CM.com haar formulieren. “Als het systeem beslist dat de input van een bot afkomstig is, dan filteren we het er uit. Alleen worden die bots steeds slimmer, dus daar moet je dan ook weer iets op vinden.”
Bliksemschicht
Incze heeft in zijn kantoor een dashboard, dat in-real-time weergeeft hoeveel en welke activiteiten als malafide worden bestempeld. Die worden via een volledig geautomatiseerd proces geblokkeerd, waarna er een bliksemschicht op een wereldkaart verschijnt. Er zijn er nu maar drie zichtbaar, maar sommige nachten zijn druk en dan staat het er ’s ochtends vol mee, lacht de CISO. “Ik zal je niet uitleggen hoe het werkt, maar je begrijpt dat we niet zitten te wachten op dit type verkeer.” Verreweg het meeste malafide verkeer komt van bots – en CM.com neemt bot-detectie deels af bij Cloudflare, dat onder meer gespecialiseerd is in het afschermen van websites, API’s en applicaties. Daarnaast wordt het CM.com-dashboard gevoed met additionele informatie van andere tools.
“Bij Cloudflare zijn we terecht gekomen omdat we van de ddos-aanvallen af wilden. Ddos moest voor ons een woord zijn en niet iets waar we last van hebben. Cloudflare kon ons daarmee helpen. Daarna kwamen we er achter dat ze ook een cdn (content distribution network) hadden. En toen zagen we nóg meer services die interessant voor ons waren. Het is een erg prettige samenwerking”.
“Cloudflare biedt ook de mogelijkheid backend-systemen te monitoren, omdat we zo’n hoge beschikbaarheid nastreven. Alle verzoeken via browsers of API’s gaan eerst via Cloudflare en daarna naar de eindbestemming. Van alle binnenkomende requests geeft Cloudflare ons de HTTP-statuscode. Hiermee bepalen we een een extern verzoek succesvol was of juist niet. Met die informatie gaat onze Service Level Manager naar de specifieke product owner, zodat we de beschikbaarheid nog beter kunnen maken.
“Niemand wordt er beter van als iedereen het works-on-my-machine-principe gaat aanhangen, zegt Incze. Problemen aan de gebruikerskant kunnen nu eenmaal op heel veel niveaus ontstaan. “Dat zie je dus vaak in betaalketens. Een afdeling doet een betaling, een andere initieert deze, een derde ontvangt hem. Door naar de hele keten te kijken, kunnen we precies zien waar een potentieel probleem zit. Als een klant zegt dat iets niet werkt, gaan wij ervan uit dat deze gelijk heeft. Als we dat inzichtelijk kunnen maken met data, gaan we in gesprek met de product owner. Allemaal om er beter van te worden en de klant de unieke CM.com-ervaring te geven.”
“Die constante security-monitoring kan voor een vertraging zorgen. Onze ontwikkelaars willen ervoor zorgen dat hun applicaties supersnel reageren, zowel op mobiel als op een desktop. “Security tools uitrollen… developers vinden dat soms heel spannend. Ze willen precies weten hoeveel cpu cycles het in beslag neemt. Dus hier komt bijvoorbeeld een cdn van pas, zodat de statische content er gelijk al staat en pagina’s snel geserveerd worden. Het cdn is er ook om de systemen te ontlasten. En stel dat er ergens lokaal een probleem is, dan kun je bepaalde geografische gebieden tijdelijk uitsluiten, andere content of cached content presenteren, zodat bezoekers geen foutmeldingen zien.”
Virtuele wachtrij
In het verlengde hiervan ligt een virtuele wachtrij om het bezoek van zeer druk bezochte websites in goede banen te leiden. “Wij waren de eerste in Nederland die gebruikmaakten van de virtuele wachtrij van Cloudflare”. Dit is handig voor klanten met heavy peak loads, bijvoorbeeld tijdens de vaccinatiecampagne voor zorgverleners, of bij de kaartverkoop van een groot race event. “Als het bij een van die klanten te druk werd, is even wachten beter en gebruikersvriendelijker dan een foutmelding presenteren. Met een te hoge piekbelasting op het systeem loop je de kans dat dit plat gaat en dat wil je voorkomen. Dus dan heb je liever je dat wachtenden even bezig gehouden worden en een spelletje kunnen spelen.”
Doet CM.com nog aan realtime monitoring of laat het bedrijf de beveiliging over aan technologie die op de achtergrond actief is? “Met de AI-powered systemen van andere leveranciers, waaronder Darktrace, hebben we realtime inzicht in wat er gebeurt”, zegt Incze. “Daar maken we optimaal gebruik van tijdens events die kwaadwillenden mogelijk digitaal willen verstoren. Wij hebben een SOC en ontzettend veel tools. Maar veel bedrijven hebben dat helemaal niet, veelal vanwege de kosten. Er is overigens geen reden om niet voor een gratis account bij Cloudflare te kiezen, want daarmee houd je al een hoop malafide verkeer buiten de deur.”
Soms werkt de beveiliging bij CM.com zelfs te goed. “We hebben een bug bounty-programma om zwakke plekken in onze security op te sporen. Onze beveiliging was dusdanig rigoureus dat als hackers uit het programma iets probeerden, ze na enkele pogingen werden geblokkeerd. Dus daar kregen we klachten over. We hebben ze een bepaalde manier voorgeschreven waardoor ze hun gang konden gaan. Maar daarvoor moesten we het systeem leren wie de mensen van het bug bounty-programma waren.”
Over CM.com
CM.com biedt cloudsoftware voor conversational commerce waarmee bedrijven een superieure klantervaring kunnen leveren. Met het communicatie- en betaalplatform kunnen marketing, sales en customer service hun betrokkenheid met klanten via meerdere mobiele kanalen automatiseren, gecombineerd met betaalmogelijkheden die de verkoop stimuleren, klanten overtuigen en de klanttevredenheid vergroten.
Rondetafelsessie
Hoe houd je een complex digitaal (data) ecosysteem veilig en de gebruikerservaring goed? Sándor Incze weet daar alles van. Het CM.com platform, dat bedrijven als BMW, Circuit Zantvoort, Coca Cola, Cordaid, Domino’s, Mini, Takeaway.com en KWF helpt bij hun communicatie met consumenten, is dagelijks doelwit van ontelbare aanvallen en moet tegelijkertijd enorme pieken bonafide verkeer soepel kunnen opvangen.
Mensen die online bestellingen plaatsen, tickets boeken of een afspraak aanvragen voor een vaccinatie, hebben dit vaak zonder het te weten afgerond via het platform van CM.com. Dat zo’n proces soepel en veilig verloopt, betekent dat er achter de schermen hard wordt gewerkt om dit zo te houden: er zit nogal wat spanning tussen goede security en een goede gebruikerservaring.
Terwijl CM.com constant anticipeert op de capaciteit die nodig is om de vraag van zijn klanten – en dus eindgebruikers – op te vangen, houden de CISO en zijn mensen continu bedreigingen in het oog – en slaan ze deze af. Dat gaat grotendeels automatisch en met een heel arsenaal aan tools met elk hun specifieke functie. Maar menselijke interventies zijn altijd nodig, en ook bij geautomatiseerde systemen moet je steeds de afweging maken hoe je een maximaal effect kunt bereiken met minimale gevolgen voor de ervaring van consumenten en medewerkers.
Op 2 februari zal Sándor komen vertellen over zijn ervaringen, dilemma’s en geleerde lessen als CISO bij CM.com. Hij zal vertellen over de beleidskeuzes die CM.com maakt en over keuzes voor bepaalde technologie, maar ook over het belang van bedrijfsbrede, regelmatige security awareness trainingen.
Heb je een functie op C-niveau en heb je daarin te maken met cybersecurity? Kom dan naar deze interactieve rondetafelsessie in Amsterdam.