2021 is het 25ste jaar dat ik actief ben in cybersecurity. Als een accidental security expert, bracht ik in 1996 een aantal zware securityproblemen aan het licht in de eerste Belgische online internetbank Beroepskrediet. Van de ene dag op de andere word je dan security-expert, ethical hacker en denkt iedereen dat je alles weet over informatieveiligheid.
Een kwarteeuw is zeer lang en je zou verwachten dat al die problemen die we toen signaleerden, vandaag de dag grotendeels opgelost zouden zijn. Niks is minder waar: het jaar 2021 was weer een geweldig jaar voor de cybersecurity-industrie. De pandemie liet ons nog veel meer inzetten op de digitale economie met een obligaat thuiswerken. Dit werd nog versterkt door een triade aan zero day securityproblemen met een hoog-risico en een angstaanjagende naam van haffnium tot log4j. En ook IOT (je weet: wel alle spullen met een draad die we tegenwoordig aan het netwerk hangen) kreeg een paar securityproblemen te verwerken.
En ja, 2021 was een goed jaar voor security exploits. NIST registeerde gemiddeld meer dan vijftig VCE's (Common Vulnerabilities and Exposures) of bugs elke dag. Opvallend:
- Iets minder dan dan de helft daarvan kreeg de stempel 'high' wat betekent dat ze relatief makkelijk bruikbaar zijn voor hackers.
- 61% van de bugs kan je gebruiken zonder dat je extra toegang of interactie van de gebruiker nodig hebt.
- 90% is niet heel technisch en kan door iemand met beperkte kennis en wat vrije tijd (een script kiddie bijvoorbeeld) makkelijk misbruikt worden.
Deze bugs (en oudere varianten van de jaren ervoor) werden uitvoerig gebruikt om binnen te dringen bij bedrijven en organisaties, data te stellen of met ransomware plat te leggen. Slachtoffers in ons land: ziekenhuizen, Mediamarkt, Defensie...
En ja de cybersecurity-industrie profiteert hiervan. Volgens
statista groeide de sector in 2021 met 12%. Volgens de helderzienden van Gartner zal die markt volgend 170 miljard dollar waard zijn. De cybercriminelen, de
entrepreneurs die kozen voor de
dark side, hebben er ook een goed jaar opzitten. Omdat niemand vertelt hoeveel ze betaald hebben aan de afpersers, is hier een cijfer opplakken nog meer
voodoo dan Gartner-voorspellingen. Hierbij worden ze geholpen door de cyberrisico-verzekering die tot voor kort losgeld terugstortten binnen hun verzekering en bedrijven die er prat op gaan voor u als dienstverlening met de afpersers te onderhandelen.
Hoewel deze industrie enorm gegroeid is, zijn er dingen die in 25 jaar niet veranderd zijn. De voornaamste verkoops- en marketingtechniek is angst of zoals we dat in de industrie FUD (Fear, Uncertainty, Danger) noemen. En die wordt gevoed met weinig constructieve apocalyptische slogans als 'er is een cyberramp in de maak' of vage "'in 2022 krijgen we nog meer cyberaanvallen', meestal ondersteund met een statistiek die naar de hemel wijst maar waar men makkelijkheidshalve de legende en soms zelfs de cijfers bij vergeten is. Je hebt leugens, grote leugens en statistieken. In de pers weet men ook dat angst en miserie verkoopt.
Security is enorm gegroeid maar sommige dingen zijn in 25 jaar niet veranderd
Wat ook altijd opvalt is hoe de stroom aan niks-zeggende terminologie en hippe oplossingen die al deze problemen moeten oplossen wel geworden is. De hele bullshit-bingo aan termen en oplossingen die je zogezegd absoluut nodig hebt voor je veiligheid maar waar zelfs de industrie zelf niet 100% zeker van is wat ze betekenen. Het verkoopt blijkbaar lekker met vage termen als artificial intelligence, Next Generation en Zero Trust.
Volgens mij is de toestand ernstig maar niet hopeloos. De afgelopen maand heb ik in mijn hoofd eens opgelijst waar niet over gepraat wordt maar wat belangrijke aspecten zijn om de digitale werking van je organisatie te garanderen.
Angst is een slechte raadgever -> nood aan een structureel securitybeleid
We moeten stoppen met paniekvoetbal te spelen telkens als er een nieuw securityprobleem bovenkomt. Als kiekens zonder kop proberen de uitslaande brand te blussen met moeite wetend wat er allemaal in het magazijn is opgeslagen dat kan ontploffen.
Wat bedoel ik hiermee?
Zie de werkelijkheid onder ogen: informatieveiligheid gaat voor uw organisatie even belangrijk zijn als fysieke veiligheid op de werkvloer, de boekhouding correct voeren, belastingen op tijd betalen en al die andere noodzakelijke aspecten om correct een bedrijf of vzw te runnen. Iemand zei ooit dat er twee zekerheden in het leven zijn: Death and taxes. Misschien moet je mentaal daar ook maar cybersecurity bijzetten.
Net zoals er een goede kans bestaat dat uw gebouw in de fik vliegt of er fysiek ingebroken wordt, is er een zeer grote waarschijnlijkheid dat uw organisatie vroeg eerder dan laat te maken krijgt met een securityprobleem. De manier om dit aan te pakken is u er op voorbereiden: inventariseer wat belangrijk is qua digitale infrastructuur voor de organisatie en hoe die er fysiek uitziet, lijst de risico's op en maak een plan om deze risico's te vermijden. En maak hier een permanent proces van dat u regelmatig opnieuw bekijkt en aanpast aan wijzigingen, gebeurtenissen en de nieuwe werkelijkheid die deze meebrengen. Volg ook problemen op en leer eruit. Zet een soort security-organisatie op met een verantwoordelijke medewerker die op zijn beurt op regelmatige rapporteert aan de directie en de stakeholders van het bedrijf.
De Vlaamse regering heeft hier ook het belang van ingezien en samen met VLAIO een gesubsidieerd verbetertraject op poten gezet met negen bedrijven, waaronder het mijne BA N.V., die bedrijven helpen dit op te zetten met de nodige financiële hulp.
De vraag is echter niet of je een securityprobleem gaat hebben, maar wanneer. Een goede security-organisatie en de nodige bijhorende maatregelen gaan niet voorkomen dat je een securityprobleem zoals een inbraak, een ransomware, phishingaanval of een niet gepatchte bug hebt met de nodige gevolgen van dien. Wat het wel gaat doen is het risico beperken en als zo'n probleem opduikt, de schade beperken zonder dat hiervoor extra security-producten of services gekocht moeten worden.
Samengevat: pak security structureel aan, wees een brandpreventie-adviseur en geen pompier.
Voorbeeld 1: Cryptolockers
De afgelopen twee jaar zijn er massaal veel berichten over bedrijven die wekenlang platliggen omdat een cryptolocker al hun gegevens heeft versleuteld. Heel vaak betalen deze bedrijven dan ook het losgeld om terug te kunnen opstarten en leggen ze hun lot in de handen van de criminelen.
De olifant in de kamer waar niemand over spreekt, is dat deze bedrijven geen of toch geen werkend business continuity-plan hebben. Wanneer je dit voorbereid hebt, goed opgezet en getest hebt, ga je nog altijd last hebben van een cryptolocker en misschien ga je 1 à 2 dagen en veel bloed, zweet en tranen van de IT-staff nodig hebben om alles terug de lucht in te krijgen maar je hebt iets om op terug te vallen.
Voorbeeld 2: Haffnium
Als uw organisatie een structurele manier van updates heeft (bijvoorbeeld wekelijks een update) zou het risico relatief beperkt gebleven zijn. Bedrijven die maanden na het bekend worden van deze bug en de nodige patches nog niet geüpdatet hebben, roepen de problemen over zichzelf uit.
Voorbeeld 3: log4j bug
Dit is een
ernstig probleem in log4j, de logsoftware die door meeste java-software wordt gebruikt. En helaas is een belangrijk deel van alle software die on premisse, op je pc of door allerlei cloud-oplossingen gebruikt wordt geschreven in java.
Het probleem is eigenlijk dat, als je van buitenaf de juiste logboodschap naar het systeem kan sturen, dit systeem een connectie kan opzetten naar buiten, daar allerlei code kan downloaden en die uitvoeren met alle gevolgen van dien.
Alleen: waarom moet een aan het internet verbonden server dns, ldap of andere connecties naar het hele internet kunnen opzetten? De beste firewall-strategie is een zogenaamde whitelist of deny all policy waarbij je enkel het inkomend en uitgaand verkeer toelaat dat expliciet noodzakelijk is. Verkeer dat niet noodzakelijk is, blokkeer je en sla je op in een logfile, of beter nog: je stuurt het door naar een SIEM-oplossing die je er attent op gaat maken dat er iets raars gebeurt.
Samengevat: De bug of breach kan je niet (altijd) vermijden, de schade die hij aanricht kan je wel beperken.
Zorg dat je begrijpt waar het over gaat en gebruik je gezond verstand
Vaak gehoord: 'dit moet je met IT bespreken daar heb ik geen verstand van.'
Dit is mijns inziens de kern van het probleem: als leidinggevende moet je de risico's rond cyberveiligheid en de oplossingen zelf in grote lijnen begrijpen. Dit is de enige manier waarop je deze risico's kan gaan beperken door o.a. de juiste organisationele en technische beslissingen te nemen. Dit wil niet zeggen dat je je niet mag door een interne medewerker of een externe partij laten adviseren maar je moet altijd voldoende begrip en de vinger aan de pols hebben om dit inhoudelijk te kunnen volgen. Tenslotte begrijp jij meestal beter dan hen wat belangrijk is voor de organisatie en... draag jij de eindverantwoordelijkheid als het mis gaat.
De gouden vuistregel die ik zelf altijd gebruik: Als een IT'er of consultant het mij niet kan uitleggen zodat ik de grote lijnen begrijp, dan begrijpt hij of zij het meestal zelf niet helemaal. Dure complexe termen zijn meestal een vorm van ofwel jobprotectie of een smoke and mirrors om onkunde en andere gaten in het verhaal te verbergen.
Gebruik ook de belangrijkste veiligheidsoplossing die er is: het gezond verstand. Denk na over wat belangrijk is en hoe het moet beveiligd worden. Vaak zijn oplossingen ook nodeloos complex.
Security en privacy is immers te belangrijk om aan IT'ers, advocaten of self-proclaimed experten en consultants over te laten.
Samengevat: wees als leidinggevende altijd nauw betrokken bij informatieveiligheid en zorg dat jij de grote lijnen uitzet.
Geen blind vertrouwen of supportersgedrag
Wat me opvalt is hoe tribaal IT eigenlijk is. Men zit in een kamp met één leverancier (bijvoorbeeld: Microsoft ) of gemeenschap (Open source, linux) en men vertrouwt deze blindelings en gaat alle potentiële problemen minimaliseren. Om een bijbelse vergelijking te maken: men ziet de splinter in het oog van de rest van de wereld maar de balk in het eigen oog niet.
Dit geldt zeker voor cloudoplossingen. We hebben altijd het gevoel dat een cloudoplossing op magische manier beter, sneller, goedkoper en veiliger is dan een andere oplossing. Maar cloudoplossingen zijn aan dezelfde problemen onderhevig dan oplossingen die bij u in de serverruimte staan. Alleen heeft u er minder controle over (dus afspraken zijn nog belangrijker!).
Wees dus kritisch en geloof niet blind dat een oplossing veilig is. Als je iets aankoopt, vraag naar referenties en kijk ook eens de lijst van recente bugs bij NIST na. Zo zijn er een aantal vpn-oplossingen die de afgelopen twee jaar al vier zware bugs gehad hebben waar bovendien heel traag op gereageerd werd. Zo'n partij kan je dan beter links laten liggen.
Samengevat: Geen enkele oplossing is veilig en je gaat permanent moeten updaten en de veiligheidsnormen van dit product te volgen.
Basis goede beveiliging en operaties
Geen enkele structuur of organisatie is helemaal veilig dus Plan for the worst, zorg dat de basisbeveiliging zo goed mogelijk in orde is en vooral dat de procedures klaar liggen als er problemen opduiken.
Hiervoor heb je een goede operationele beveiligings infrastructuur nodig :
- Er is iemand aanspreekpunt en verantwoordelijk. Of je die de titel van DPO, informatieveiligheidconsulent, CSO of Security officer wil geven is een andere zaak. Maar zorg dat iemand bekwaam verantwoordelijk is, dat hij/zij de juiste middelen (o.a. ook tijd) heeft om de job naar behoren uit te voeren?
- Plan for the worst. Zorg dat er zoveel mogelijk op punt staat als er een probleem opduikt: alles is gedocumenteerd, er is een inventaris, je hebt disaster recovery procedures (hoe bouw ik alles terug op?), je hebt contactgegevens waar je hulp kan zoeken, je kan dit melden, etc.
- Deny all of zero trust policy. Bouw een netwerkstructuur op die op de juiste wijzen belangrijke dingen van elkaar afschermt met segmentatie (bijvoorbeeld door vlans), firewalls of een zero trust netwerk oplossing. Zo zorg je er concreet bijvoorbeeld voor dat de medewerker achter de balie geen toegang heeft tot de beheersinterface van je Private Cloud oplossing en de high-tech IOT koffieautomaat ook niet.
- Zorg ook voor minimale uitgaande rechten: het gebouwbeheersysteem dat de airco aanstuurt moet niet met de hele wereld kunnen verbinden en je webserver ook niet.
- Sterke authenticatie, met rollenbeheer en need-to-know toegangen. Verbazingwekkend dat we in de 21ste eeuw nog altijd wachtwoorden gebruiken. Zorg dus voor een goede multifactor authenticatieoplossing waarmee iemand sterk kan bewijzen wie hij is. Geef ook toegang op basis van de rol van de persoon en niet à la tête du clientèle (Role Based Access Control) en geef ook de minimale toegang.
- Log en monitor wat er allemaal gebeurt in real time en voor latere analyse. Op die manier weet je wanneer er iets down of misgaat en kan je snel een beeld krijgen van wat er aan de hand is. Dit is een minimum dat je idealiter nog laat analyseren door iets als een Security Incident and Event Management (SIEM) systeem om nog meer wijsheid uit de alarmen te halen.
Samengevat: security is hard, permanent werk in een verbeteringstraject waar je continue mee bezig moet zijn.
The proof of the pudding is in the eating: test!
Test de veiligheid van je omgeving op vaste tijdstippen. En dit testen kan op verschillende manieren die allemaal even belangrijk zijn.
Allereerst heb je de checklist, lijstjes van vragen waar je op kan beantwoorden. Pas hier op voor papieren tijgers: elk bedrijf wordt vandaag de dag platgeslagen met ISO27k-achtige vragenlijsten waarbij juridische en taalkundige kennis belangrijker is dan technische veiligheidskennis. Vaak is de vraag te weinig genuanceerd, snapt de invuller de vraag met moeite door het jargon en de juridische spitsvondigheid waarin hij is opgesteld of wordt er gewoon gelogen uit bestwil. 'Everybody lies' zegt één van mijn favoriete TV-figuren in bijna elke aflevering van House.
Aan de andere kant heb je de uitgebreide audits die veel gespecialiseerde bedrijven o.a. het mijne aanbieden om je bedrijf binnenste buiten te keren. Probleem is dat dit mensenwerk is en een serieus prijskaartje. Dit betekent dat je dit niet elke maand gaat doen. En helaas is elke audit maar een momentopname en kan er 10 minuten later al een andere securitybug inzitten.
Daarom is het ons inziens ook belangrijk dat je regelmatig (bijvoorbeeld maandelijks) jezelf door middel van een aantal vulnerability tools (Nessus, qualsys of gewoon een open source KALI met alle tools die erinzitten) test en controleert of alles nog in orde is.
Wij bieden trouwens een gratis, passieve internetvulnerability test aan
via deze link.
Samengevat: test op regelmatige basis zo vaak mogelijk de veiligheid van je omgeving.
Een goed getest Business Continuity Plan en praktijk
Eén van de dingen die mij nog altijd het meest verbazen als ik over alle cyberrampen van het afgelopen jaar lees, is hoe weinig bedrijven, sluitende backups laat staan een echt Business Continuity Plan hebben.
Hoe maak je een business continuity plan ?
Bepaal eerst wat je wil bereiken qua beschikbaarheid. Niet alles is even belangrijk en wat belangrijk is hangt af van de specfieke vereisten van uw bedrijf. Maak per dienst een worst case Recovery Time Objective (RTO of hoe lang mag de dienst maximaal onbeschikbaar zijn in tijd) en Recovery Point Objective (RPO of hoeveel data in tijd mag de dienst maximaal kwijt zijn). Vaak wordt ook retentie vergeten: hoe lang wil je wenselijk en om juridsiche redenen kunnen terugkeren in je backups? Hoe vlot kan je de data recuperen ?
Bepaal ook wat je daar budgetair aan kan besteden. Het is een standaard verhaal dat een directie zegt dat een dienst niet mag plat liggen maar dat er geen budget voor voorzien wordt en elke investering er één teveel is. If you pay peanuts, you get monkeys.
Bekijk het per concrete dienst, niet per technisch element zoals netwerk, server, internetconnectie of een ander IT-spul. Om een dienst beschikbaar te hebben, heb je immers meerdere dingen nodig - wat heb je eraan dat je je server in 10 minuten terug de lucht in kan krijgen als je geen netwerk er meer naartoe hebt?
Maak een technische inventaris van alles wat je nodig hebt om die dienst te kunnen garanderen en probeer niks te vergeten. IT is een complex verhaal van netwerken, cloud, servers, authenticatie, enz geworden. Elke schakel die ontbreekt of foutgaat, kan de hele recovery-inspanning nutteloos maken. Een keten is maar zo sterk als zijn zwakste schakel.
Op basis van vereisten, budget en inventaris kan je dan een plan opmaken. Wees hier realistisch en hou vooral ook rekening met de dode hoeken in je plan waar je niet aan gedacht hebt. Zorg ook dat alle risico's geëvolueerd worden en er deze aangepakt worden. Dingen die vaak vergeten worden: alles staat op één locatie (backups gaan het bedrijf niet uit of worden niet ergens anders naartoe gestuurd.) met alle gevolgen van dien, stroom, configuraties van infrastructuur als switches wordt niet gebackuped, backupservers zijn slecht beveiligd (en worden bv ook versleuteld door de cryptolocker), etc.
Last but not least: test! Volg je systemen en backups dagelijks op, pak het aan als er iets foutgaat. Test je business plan af en toe. Recover je backups af en toe. De wet van Shrödinger voor backups leert ons immers dat je pas weet dat een backup in orde is, als je hem volledig succesvol gerecovered hebt.
Samengevat: maak een realistisch Business Continuity Plan met duidelijke, realistische doelstellingen per dienst, een budget en dat je ook op vaste tijdstippen test op zijn werking.
Duidelijke afspraken maken goede vrienden
Vandaag las ik nog in een artikel hoe de universiteit van Kyoto 77TB aan onderzoeksdata is kwijtgeraakt bij een HPE SAN update. Het lijkt onbegrijpelijk maar mijn ervaring in het werkterrein laat me al vermoeden hoe het is foutgegaan:
- Universiteit: we kopen bij een grote naam, dus de back-ups en Business Continuity zullen wel in orde zijn.
-HPE: back-ups zijn verantwoordlijkheid voor de klant.
Het is een vaak voorkomende fout: 'Assumption is the mother of all fuck ups'. Veel belangrijke elementen worden intrinsiek afgesproken en niet uitgesproken. Daarom is het belangrijk om goede afspraken te maken met je leverancier, partners, IT-dienst en medewerkers. Durf uit te spreken wat je verwacht en zet het ook op papier. En eerlijkgezegd ik vind het belangrijker dat iedereen snapt wat er in dat contract staat en aanvaardt wat er verwacht wordt dan dat het onleesbaar is maar juridisch klopt.
Er worden ook veel papieren tijgers opgesteld: contracten waar dingen in staan waar alle partijen op voorhand weten dat ze niet haalbaar zijn maar die er voor de goeie vorm ingezet worden. Een goed voorbeeld zijn SLA's waar met een percentage gegooid wordt dat niet voor iedereen duidelijk is. Bijvoorbeeld 99% beschikbaarheid op jaarbasis, betekent dat het systeem 3 dagen na elkaar mag platliggen. Er zitten vaak ook geen tanden aan: als een bedrijf de SLA niet haalt moet het dit voelen door middel van bijvoorbeeld een boete. Aan de andere kant heb je ook bedrijven die 10€ / maand betalen en een schadevergoeding van 10.000€ vragen bij elke onbeschikbaarheid.
Samengevat: Maak goeie, duidelijke, realistische afspraken die alle partijen begrijpen. In tijden van nood zal je hier heel dankbaar voor zijn.
Conclusie
De toestand is ernstig maar niet hopeloos. In een digitale wereld kan je niet anders dan aandacht besteden aan de degelijkheid en de veiligheid van de infrastructuur en diensten die eronder zitten.
Dus pak de informatieveiligheid van je organisatie permanent structureel aan en probeer er een verbetertraject van te maken waar iedereen van de gewone werknemer tot de directie nauw betrokken is.
Gebruik vooral de superkracht gezond verstand om dit te doen: denk na, veronderstel niks maar spreek het af en wees realistisch. Iedereen zal vroeg of laat een securityprobleem hebben, het is vooral belangrijk hoe je dan reageert en of je voldoende in huis hebt om de schade te beperken.
De veiligheid van je organisatie op orde zetten en houden is hard werken net als de boekhouding van een bedrijf laten kloppen, een degelijk human resource beleid te voeren of duurzaam te ondernemen.