Cybersecurity is nu echt een boardroom issue

Cybercriminaliteit is niet langer een probleem van de IT-afdeling maar is veranderd in een boardroom issue. Online businesses worden bedreigd door moderne cybercrime-aanvallen. Oude en nieuwe technieken bieden geen bevredigende oplossing en ook reguleringsinstanties hebben beperkt invloed.

Een bekende aanvalstechniek is DDoS. Een probleem dat soms vergeleken wordt met het fileprobleem. Net zoals te veel gegevens op een netwerkkabel zorgt voor verstoppingen zorgen te veel auto’s voor filevorming. Meer asfalt is geen afdoende oplossing om ongemak en vertraging te voorkomen. Reguleringsmaatregelen zoals snelheidsbeperkingen zijn net zo belangrijk. Ook helpen organisatorische maatregelen filevorming te bestrijden. Het ‘het nieuwe werken’ is daar een voorbeeld van. Nieuwe cybercrime moet bestreden worden met verschillende oplossingsrichtingen.

Techniek
Technische verdedigingsmaatregelen zijn beperkt. Het zogenaamde TOR-netwerk maakt het mogelijk om anoniem te surfen. Deze techniek kan ook gebruikt worden om anoniem malware te verspreiden en anoniem computers te hacken. Vermeldde het eerste computervirus netjes dat deze door bijvoorbeeld Basit en Amjad uit Pakistan was gemaakt, de initiator van moderne cybercriminaliteit is vaak niet achterhaalbaar. De technische onmogelijkheid om een dader te identificeren geeft deze weinig stimulans om zijn activiteiten te stoppen.

Ook bestaat het probleem van botnets. Dat zijn netwerken van besmette thuiscomputers en kunnen gebruikt worden om DDoS-aanvallen uit te voeren zoals recent bij verschillende banken. Tot voor kort konden deze botnets onschadelijk gemaakt worden door centrale ‘command and control’-servers te hacken en te decimeren. Moderne botnets zijn veranderd en zijn gebaseerd op peer-to-peertechnologie waarbij bots zonder tussenkomst van een centrale partij communiceren en overleven.

Verder zijn veel verdedigingstechnieken niet universeel toepasbaar. Cloud technologie kan helpen als bescherming tegen DDoS-aanvallen door schaalbare capaciteit; voor enterprise-omgevingen is dit vaak geen keuzemogelijkheid vanwege dataopslag in landen met beperkende wetgeving of twijfelachtige reputatie.

Technische ontwikkelen vormen nog steeds geen afdoende oplossing. De businesswaarde van beveiligingstechnieken moet niet worden onderschat, maar blijft niet meer dan een puzzelstuk uit een volledige antwoord.

Regulering en standaarden
Reguleringsinstanties zitten niet stil en veiligheidsstandaarden worden voortdurend aangescherpt. Snel nadat banken kampten met bereikbaarheidsproblemen door DDoS-aanvallen werd gewezen naar de overheid. Minister Opstelten wil politie en justitie ruimere bevoegdheid geven om cybercriminaliteit aan te pakken, bijvoorbeeld door terughacken. Een maatregel die extra mogelijkheden geeft om cyberaanvallen te saboteren en daders op te sporen.

Naast overheidsinstellingen zijn verschillende organisaties actief met veiligheidstandaarden. Bekend is de International Organization for Standardization (ISO) waarvan ISO 27001 één van de standaarden voor informatiebeveiliging is. Helaas is het volgen van deze standaard moeilijk en inspectie op juistheid ingewikkeld. Regulering en standaardisering zijn belangrijke maar op zichzelf geen zaligmakende hulpmiddelen in security oplossingen.

Waar zijn organisatorische maatregelen?
Een veilig informatiesysteem garandeert de vertrouwelijkheid, integriteit en beschikbaarheid van informatie. De afgelopen weken zaten vol met voorbeelden die aantonen aan dat de veiligheid van techniek nog steeds betrekkelijk is. Bovendien is regulering maar beperkt zinvol. Diginotar was gecertificeerd met het eerder genoemde ISO 27001 certificaat maar werd gehackt en ging failliet. Cybercriminaliteit is een structureel probleem en de oplossing kan niet uit één hoek komen.

Organisatorische maatregelen blijven achter of zijn onderontwikkeld. De business is geneigd het probleem van cybersecurity af te schuiven naar IT-afdelingen en security auditors. Ze vergeet met innovatieve oplossingen te komen die de levensvatbaarheid van het bedrijf buiten de verantwoordelijkheid van de IT afdeling legt. Eenvoudige maatregelen zoals een plan voor incidentencommunicatie blijkt niet zelden slecht te functioneren. Bedrijven hebben geen alternatief paraat als hun online dienst ontoegankelijk wordt en bedrijfsstrategieën negeren cybercriminaliteit volledig. Een onderneming die zich afhankelijk maakt van een gecentraliseerde online business hangt aan een zijden draadje.

Wie blindstaart op een technische beschrijving van DDoS gaat voorbij aan de effecten van deze aanval op de verstoring van de bedrijfsvoering. Een integrerende benadering is nodig die de voordelen van technieken, reguleringen en de organisatorische oplossingen combineert tot een totaaloplossing. Dat betekent dat afhankelijkheid van individuele internetdiensten verkleind moet worden en diensten langs alternatieve infrastructuren aangeboden kunnen worden bij incidenten.

De komst van breedbandinternet wakkerde een onbegrensd vertrouwen aan in het internet als medium. Te weinig is rekening gehouden met de mogelijkheid dat het internet nog steeds niet altijd operationeel is. Een e-mailclient – software met een relatief lange ontwikkelgeschiedenis – biedt ook offline functionaliteit; je kan e-mails opstellen en oude berichten teruglezen. Voor nieuwe online IT-diensten bestaan sporadisch offline alternatieven terwijl hier ongetwijfeld mogelijkheden voor zijn. Hoewel internet betrouwbaarder is dan vroeger, is onze afhankelijkheid van dit medium dermate dat het tijd is om na te denken over alternatieven.

Totaaloplossing
Security is geen alleenrecht van IT-afdelingen en zou zo ook niet opgedrongen moeten worden. Cybercriminaliteit is in de eerste plaats een bedrijfsprobleem en de boardroom heeft een belangrijke verantwoordelijkheid in het aandragen van een oplossing. De driehoek van organisatorische maatregelen, reguleringen en IT functioneert alleen als eenheidsconstructie. Het is goed om wetgeving te moderniseren naar de digitale realiteit en nieuw ontwikkelde beveiligingstechnieken zijn bewonderenswaardig, maar zonder een proactieve houding vanuit de directiekamer blijft cybercriminaliteitsprobleem onopgelost.

Het fileprobleem wordt niet opgelost door alleen techniek (meer asfalt) of alleen regulering (snelheidsbeperking). Ook het probleem van cybercriminaliteit wordt niet opgelost door enkel nieuwe software- en hardwarecomponenten of nieuwe veiligheidstandaarden en wetgeving. Ook organisatorische maatregelen zijn vereist. Voor de fysieke wereld is deze gedachte niet nieuw maar dit inzicht ontbreekt in de digitale realiteit.

De boardroom moet zich bezinnen op nieuwe mogelijkheden om bedrijfscontinuïteit te garanderen. Ze moet nadenken over innovatieve vormen om klanten ook in noodsituaties te bedienen. Verantwoordelijkheid moet niet worden afgeschoven, maar nieuwe mogelijkheden moeten worden gevonden om de risico’s van online business in te perken. De boardroom is hoofdspeler in het samenwerkingstraject richting een totaaloplossing.