Bestuurders kunnen het zich niet langer veroorloven zich niet met security te bemoeien

Redactie

14 april 2022

De digitalisering van de samenleving neemt snel toe. Steeds meer ‘assets’ maken direct en indirect via het internet onderdeel uit van het bedrijfsnetwerk. Denk aan laptops en smartphones, maar ook wearables en virtuele servers. Bedrijven worden, samen hun supply chains, hierdoor in toenemende mate afhankelijk van de leveranciers van hardware, software en IT-diensten, concluderen Wytze Rijkmans (Tanium) en Raymond Bierens (VU Amsterdam).

Digitale transformatie zorgt ervoor dat bedrijven zich ontwikkelen naar een ecosysteem van bedrijven die allemaal van elkaar afhankelijk zijn om de continuïteit te kunnen garanderen. Hiermee nemen de kansen voor nieuwe bedrijven en diensten toe, maar tegelijkertijd ook de nieuwe (en meer) digitale risico’s. Deze situatie stelt ook nog steeds voor de vooralsnog vaak onbeantwoorde vraag: wie is er eigenlijk verantwoordelijk voor het mitigeren of juist aanvaarden van deze digitale risico’s?

Digitale risico’s

Digitale risico’s ontstaan onder andere omdat iedere technologie software nodig heeft om te kunnen functioneren. Deze software is (in ieder geval deels) door mensen gemaakt en kan daardoor fouten bevatten en zonder dat je het weet de deur openen voor cybercriminelen. Dergelijke fouten moeten dus zo snel mogelijk opgespoord worden voordat deze tot inbraken of datalekken kunnen leiden.

Het Dutch Institute for Vulnerability Disclosure in Nederland heeft hiervoor inmiddels een wereldwijde erkenning gekregen waardoor zij ook opgespoorde fouten wereldwijd als kwetsbaarheid (CVE) mag registreren. Het is daarvoor echter wel belangrijk om te weten wat je in huis hebt – en dat blijkt nog altijd een uitdaging. Zo hebben organisaties gemiddeld te maken 2 tot 3.5 keer meer IT-assets dan zij aanvankelijk dachten. Deze ongeïdentificeerde assets zijn dan ook vaak niet juist geüpdatet en zijn dus kwetsbaar.

Sommige software zit daarnaast zo diep verweven met andere, grote software suites en is tegelijkertijd zo veelvuldig gebruikt door bedrijven, dat dergelijke fouten zelfs kunnen leiden tot maatschappelijke ontwrichting. We hebben hiervan eind 2021 een voorproefje gekregen met de openbaring van de kwetsbaarheid in de Log4J Apache, dat uitgebreid in het nieuws is geweest. Hierbij werd waargenomen hoe kwaadwillenden actief probeerden om zich via deze ene kwetsbaarheid toegang te verschaffen tot systemen en netwerken.

Met het verhelpen van deze kwetsbaarheid zijn de problemen voor organisaties echter nog niet voorbij. Er kan namelijk niet worden uitgesloten dat kwaadwillenden zijn geslaagd om zich in deze periode te ‘verstoppen’ om in de toekomst onverwachts alsnog actief te worden.

Automatiseer beveiligingsbeleid

Fouten in software moeten, nadat ze zijn ontdekt, zo spoedig mogelijk worden verholpen door middel van een update of een patch. Deze wordt door de leverancier van de software gemaakt en beschikbaar gesteld voor alle gebruikers. Hoe kwetsbaar veelgebruikte software kan zijn en hoe snel cybercriminelen hierop reageren, hebben we bijvoorbeeld kunnen zien met het lek in de Citrix-software eind 2019 en begin 2020.

Naar aanleiding daarvan wordt in Nederland een Landelijk Dekkend Stelsel ingericht waarin het Ministerie van Justitie & Veiligheid schakelorganisaties aanwijst die deze informatie zo snel mogelijk met organisaties moet delen voordat cybercriminelen op zoek gaan naar organisaties die te laat zijn met de update of patch. De stichting Connect 2Trust is een van deze zeven schakelorganisaties en ontvangt hiervoor informatie van zowel het Nationaal Cyber Security Centrum, het Nederlands Security Meldpunt als uit de (inter)nationale private sector.

Door het delen van informatie kunnen organisaties zelf uitvoering geven aan hun verantwoordelijkheid om deze updates vervolgens zo snel mogelijk door te voeren om problemen te voorkomen. De ‘window of repair’ – de tijd die het kost om updates door te voeren – wordt echter steeds kleiner naarmate cybercriminelen steeds geavanceerdere technologie gebruiken om het internet af te speuren naar kwetsbaarheden.

Het gegeven dat software door mensen wordt geprogrammeerd en daarmee kwetsbaarheden kan (en waarschijnlijk dus ook zal) bevatten, heeft ervoor gezorgd dat het uitvoeren van updates inmiddels tot een van de security-kerntaken van IT behoort. Maar omdat er inmiddels zoveel verschillende soorten software op een nog veel groter aantal endpoints in gebruik is, is het vrijwel onmogelijk om dit nog handmatig te doen.

Het inventariseren, bijhouden in spreadsheets en handmatig doorvoeren past niet meer in deze tijd. Daar komt nog bij dat het te lang duurt, de organisatie altijd achter de feiten aanloopt en dat er tegelijkertijd een schreeuwend tekort is aan gekwalificeerde IT’ers. Het automatiseren van deze processen is dan ook onvermijdelijk.

Om te kunnen acteren op informatie die van een schakelorganisatie zoals Connect2Trust wordt verstrekt, is het een randvoorwaarde om een actueel, realtime beeld te hebben welke assets zich binnen de organisatie bevinden en wat daarvan de gebruikte softwareversies zijn. Alleen op basis van inzicht in de hoeveelheid endpoints en de actuele status daarvan kunnen we de juiste platformen geautomatiseerde processen, zoals uit toepassen van software-updates, correct en tijdig uitvoeren.

Het gevaar is duidelijk, evident, wetenschappelijk aangetoond en pijnlijk actueel in de dagelijkse praktijk binnen vrijwel elke organisatie die digitale technologie inzet. Tegelijkertijd is ook (een deel van) de oplossing bekend: automatiseren waar mogelijk op basis van een integrale aanpak die inzichtelijk maakt welke assets er zijn en wat daarmee moet gebeuren. Wat weerhoudt bestuurders er dan nog van om actie te ondernemen?

Neem de verantwoordelijkheid

Ondanks dat het bewustzijn over de schade die cyberaanvallen kunnen veroorzaken de afgelopen jaren is toegenomen, is het besef van hoe groot de risico’s nu echt zijn soms niet groot genoeg. Zo realiseren bestuurders zich vaak niet dat een kleine softwarefout in hun eigen organisatie, of bij hun leveranciers, kan leiden tot een bedrijfsbreed incident, waarbij in het ergste geval het volledige productieproces stil kan komen te liggen.

Organisaties realiseren zich te laat dat het actuele beveiligingsbeleid was gebaseerd op de aanname dat het cyberincident ‘bij de buren’ hun deur wel zal overslaan omdat zij ook niet geraakt zijn tijdens de vorige crisis (Log4j, Citrix, of andere wereldwijde ‘leaks’). Waarom zouden ze dan hun kostbare tijd, geld en middelen in moeten zetten voor iets dat ‘mogelijk’ kan gebeuren?

Dit ‘if-it-ain’t-broke-don’t-fix-it’-sentiment is echter enorm gevaarlijk. Het is immers tegenwoordig niet meer de vraag óf je wordt getroffen door malware en/of cybercriminelen, maar wanneer. Het is echt een kwestie van tijd voordat een cyberaanval – gericht of onbedoeld – directe invloed heeft op jouw organisatie. Dit wordt zowel vanuit de praktijk als vanuit de wetenschap bevestigd. Wetenschappelijke bronnen hebben het in dit kader dan ook over cybermoeheid, een situatie waarin bestuurders overweldigd raken door alle verwachtingen en steeds veranderende beveiligingsvereisten.

Het is de taak van bestuurders om de risico’s voor de organisatie te identificeren en vervolgens bewust te kiezen voor het mitigeren of juist aanvaarden van dat risico, deze zo klein mogelijk te houden en de continuïteit van de organisatie te garanderen. Dit geldt voor de offline wereld, dus waarom zou dit niet ook gelden voor de online wereld?

Bestuurders kunnen het zich niet langer veroorloven om zich niet met security te bemoeien. Zij moeten zich bewust zijn van de risico’s en adequaat handelen om een beveiligingsbeleid op te zetten dat kwetsbaarheden snel identificeert en verhelpt. En dit omvat ook het identificeren van alle assets binnen de organisatie en het implementeren van automatische processen die deze assets continu scant en waar nodig updatet.

De rol voor de centrale overheid in dezen is tweeledig. Enerzijds moet zij erop toezien dat deze inzichten op basis van ervaringen en wetenschappelijk onderzoek geborgd en gevaloriseerd worden door middel van beleid. Dit beleid moet bekend worden bij alle relevante partijen en stakeholders in Nederland in de nieuwe nationale cyberstrategie die later dit jaar zal verschijnen.

Anderzijds heeft de overheid als rol om zoveel mogelijk relevante cybersecurity-informatie te verzamelen en deze samen met de aangesloten schakelorganisaties zodanig te verspreiden dat geautomatiseerde opvolging door organisaties mogelijk wordt gemaakt. Het veilig houden van systemen blijft immers de verantwoordelijkheid van organisaties zelf, zo schrijft minister Yesilgöz van Justitie en Veiligheid.

En waar softwareleveranciers verantwoordelijk zijn voor de veiligheid van hun producten (security by design!) en het ontwikkelen en distribueren van updates en patches, blijven het de organisaties, waaronder ook gemeenten, departementen en ministeries die deze updates moeten doorvoeren.

Conclusie

Ontwikkelingen in cybersecurity gaan razendsnel, zeker nu aan beide zijden meer geautomatiseerd wordt. Het zoeken naar organisaties die te laat zijn met updates en patches door cybercriminelen, verloopt geautomatiseerd en zet organisaties altijd op achterstand: iedere organisatie moet immers alle assets bewaken, terwijl cybercriminelen aan één kwetsbare asset genoeg hebben om een cyberaanval te kunnen starten. Het is dus belangrijk dat er genoeg tijd en resources vrijgemaakt worden om netwerken en assets veilig te maken en te houden.

Inzicht in de gehele IT-estate is daarbij van cruciaal belang: hoeveel endpoints bestaan er binnen de organisatie? Zijn deze geüpdatet? Is er realtime inzicht? Even belangrijk is echter dat iedereen, van IT-admin tot bestuurder en van CIO tot en met betrokken bewindspersonen, ervan doordrongen is dat cybersecurity een serieuze dreiging is en dat die dreiging alleen nog maar zal toenemen in de komende jaren. Niets doen is geen optie en de tijd waarin onwetendheid nog werd geaccepteerd, ligt inmiddels achter ons.

Wytze Rijkmans is regional vice president bij Tanium en Raymond Bierens is onderzoeker aan de Vrije Universiteit Amsterdam.

Gerelateerde artikelen

De do’s en don’ts van security awareness

De do’s en don’ts van security awareness

Security awareness is een bloedserieuze zaak. Maar het moet wél leuk blijven. Gelukkig nemen veel organisaties training van hun medewerkers serieus. Maar daarmee ben je er nog niet. Jelle Wieringa over de belangrijkste dingen die je moet doen (en laten) voor een succesvolle aanpak.

Digitale kwetsbaarheid in de keten

Digitale kwetsbaarheid in de keten

Het DBIR van Verizon is ieder jaar weer een bonte verzameling feiten en trends op het gebied van security. Van jaar op jaar zie je doorgaans weinig grote trendbreuken. Dat was dit jaar anders. Het aantal inbreuken of security-incidenten waarbij een ketenpartner betrokken is, nam schrikbarend toe. Waardoor komt dit en wat kun je ertegen doen?

Digitale transformatie? Wat dacht je van een security transformatie?

Digitale transformatie? Wat dacht je van een security transformatie?

In hun haast om de snelle veranderingen bij te houden en competitief en relevant te blijven door processen te transformeren, verwaarlozen veel organisaties een belangrijk onderdeel van digitale transformatie: een sterk cyberbeveiligingsprogramma dat hen tegen de nieuwste bedreigingen verdedigt.