Investeren in traditionele Cybersecurity en Security awareness training zijn Old School

Door Gokmen Kiremit


Afgelopen jaren hebben bedrijven steeds meer geïnvesteerd in cybersecurity. Uit een onderzoek van Gartner (2016) blijkt dat er in 2015 wereldwijd 75,4 miljard dollar is gespendeerd aan cybersecurity. In een onderzoek van Juniper Research (2017) lezen we de voorspelling dat dit bedrag in 2022 naar 135 miljard dollar zal stijgen. Daarnaast is de verwachting dat de kosten wereldwijd als gevolg van cybercriminaliteit in 2022 tot 8.000 miljard dollar zal gaan stijgen. De schade en kosten als gevolg van cybercriminaliteit groeien dus sneller dan de investeringen die we doen in cybersecurity. Deze wereldwijde ontwikkelingen kunnen we natuurlijk ook op Nederland projecteren. In een onderzoek van Deloitte (2016) worden de kosten m.b.t. cybercriminaliteit van Nederlandse organisaties geschat op 10 miljard euro per jaar. We verhogen dus onze budgetten voor IT-beveiliging, maar zien helaas ook het aantal datalekken en beveiligingsincidenten nog veel meer toenemen. Cybercrime is big business. Dit onevenredige verschil tussen beveiliging en bedreiging zal de komende jaren alleen maar groter worden en ons blijven uitdagen.

 

De veroorzaker van de kosten als gevolg van cybercriminaliteit kunnen we in 3 groepen verdelen:
1. de Kwaadwillige outsider;
2. de Kwaadwillige insider;
3. de Nietsvermoedende insider (inadvertent actors).

IBM X-Force Threat Intelligence Index 2017 toont aan dat juist deze laatste groep enorm groeit. Uit hetzelfde onderzoek blijkt dat de financiële – en zorg sector veel last ondervinden van de Nietsvermoedende insider. Bij 50% van de aanvallen wordt misbruik gemaakt van deze laatste groep. De nietsvermoedende werknemer is in onze digitale wereld onderdeel van cybercriminaliteit geworden en wordt hier doelbewust op ingezet via verschillende technieken. De werknemer is dus een factor geworden die een groot risico vormt voor IT-beveiligers; menselijk handelen kan onze IT-systemen (onbewust) ernstig ontwrichten. We moeten inzicht verkrijgen in het handelen van onze werknemers en hierop sturen. Veel bedrijven starten daarom met security awareness programma’s om meer cyber-bewustzijn te creëren. Toch blijkt uit de praktijk dat deze aanpak nog lang niet voldoende en blijvende impact heeft. Een juiste houding vereist niet alleen besef, maar ook aanpassing in gedrag en gewoontes. De awareness programma’s tegenwoordig richten zich op gedrag en gewoonten, maar in de praktijk is verandering van cultuur toch vaak ongrijpbaar. Onderzoek moet nog uitwijzen of de investeringen in awareness een positief effect hebben op de ‘nietsvermoedende werknemer’ en als gevolg daarvan de schade en kosten voortkomend uit cybercriminaliteit gaan verminderen. Helaas zijn er op dit moment nog geen kengetallen hierover beschikbaar.


Breach Prevention is onvoldoende

Op twee fronten investeren bedrijven in cybersecurity; enerzijds in technologie en anderzijds in de menselijke factor, (Governance op dit moment buiten schot gelaten). De kosten van cybersecurity nemen toe maar staan niet in verhouding met de exponentiële stijging van de schade en kosten als gevolg van cybercriminaliteit. Dit gaat voorlopig niet veranderen; we zijn nu eenmaal gewend om preventief op te treden om problemen te voorkomen. Veel IT-security investeringen, op zowel technische gebied als in trainingen ten aanzien van medewerkers zijn gestoeld op het voorkomen van problemen. Dit noemen we de ‘breach prevention’ aanpak. Typisch eigenlijk, omdat we de afgelopen jaren duidelijk hebben geleerd dat databreaches er altijd zullen zijn, ongeacht onze breach prevention strategie. Met andere woorden; beveiligingsstrategieën enkel gebaseerd op het voorkomen van breaches zijn onvoldoende gebleken om cybercrime het hoofd te bieden. Eén van de grootste denkers uit de wereldgeschiedenis, Albert Einstein, leerde ons:


“We cannot solve our problems with the same thinking we used when we created them”

Hoe zou de beveiligingsstrategie eruit komen te zien als we de denkwijze van Preventie naar Acceptatie zouden verleggen? De beveiligingsstrategie moet hierdoor een paradigmaverschuiving ondergaan en de aanpak van cybersecurity verbreden. Deze nieuwe ‘verrijkte’ beveiligingsstrategie zou de security dichter bij de data moeten brengen. Door deze denkwijze te hanteren moeten we nadenken over vragen, als; Wat en waar is mijn gevoelige data opgeslagen en is deze versleuteld?,. Is het sleutelbeheerproces goed gewaarborgd?, en Is het accessmanagement rondom sleutelbeheer goed ingeregeld?.De gevolgen van een inbreuk worden door de ‘verrijkte’ beveiligingsstrategie juist beïnvloed. Het nadelige gevolg wordt daarmee significant beperkt. Organisaties die het proces van versleuteling en sleutelbeheer goed ingericht hebben kunnen ervan uit gaan dat de informatie onleesbaar is, maar vooral blijft voor onbevoegden wanneer deze gecompromitteerd is. Herijking en verrijking van de beveiligingsstrategie door deze denkwijze zou de gap tussen beveiliging en bedreiging duidelijk verkleinen.


Encrypt all, and manage the keys yourself –
 daarmee creëren we vertrouwen in onze digitale toekomst.

Avensus - Gökmen Kiremit

Gökmen Kiremit
Director Avensus High Grade Security.

 

Avensus High Grade Security beschermt de meest kritische data vanuit het standpunt dat encryptie de beste beveiliging is zolang de organisatie de sleutels zelf onder controle houdt. Het gaat ons daarbij niet alleen om het leveren van de beste oplossing voor informatiebeveiliging; het is ook onze taak mensen en organisaties bewust te maken van de risico’s.

Gökmen is bereikbaar op gkiremit@avensus.nl

 

kies voor High Grade Security