De risico's van de cloud, big data en open infrastructuren

Donderdag 31 maart werd in Amsterdam een alumni bijeenkomst van de Governance opleiding van Wagner Group gehouden. Onder het thema ‘Big data & Governance’ sprak Erik, CEO van Insite Security, over ontwikkelingen op het gebied van cyber security en de gevolgen voor commissarissen en toezichthouders. In de Koninklijke Industrieele Groote Club in Amsterdam kregen ruim 80 alumni een ‘wake-up call’.

Trends binnen IT

Mobile computing, sociale media en cloud computing zijn geen trends meer, maar zijn hier en nu. IT is onderdeel van het dagelijks leven, als water uit de kraan. In combinatie met ontwikkelingen zoals het Internet der Dingen en ‘big data’ wordt ons (dagelijks) leven een stuk gemakkelijker. Je koelkast houdt je voorraad bij, in je telefoon staat het weekmenu op basis waarvan Albert Heijn de nodige boodschappen aflevert, rekening houdend met de gezinsagenda en een ieders dieetwensen. Tegelijk zorgen deze ontwikkelingen voor een security uitdaging waar nog niet iedereen zich altijd van bewust is. Dat blijkt uit het groeiend aantal organisaties en personen die worden geconfronteerd met beveiligingsincidenten.

“Criminaliteit verplaatst zich in rap tempo van de fysieke wereld naar het internet”. 

Cybercrime en digitale spionage

Erik gaat, aan de hand van Cyber Security Beeld Nederland dat jaarlijks door het Nationaal Cyber Security Centrum wordt gepubliceerd, in op een aantal security trends en manifestaties. Cybercrime en digitale spionage zijn de grootste dreigingen voor de digitale veiligheid in Nederland. Criminelen zetten steeds vaker cryptoware (gijzelvirussen) in om hun doeleinden te bereiken. Het business model bij uitstek voor een beetje digitaal vaardige crimineel. De bereidheid van mensen en organisaties om de criminelen te betalen is groot. Dat zorgt voor hoge gemiddelde opbrengsten per doelwit voor criminelen, waardoor ze relatief veel kunnen investeren per infectie. Bedenk dan ook nog eens dat de pakkans relatief klein is.


Koninklijke Industrieele Groote Club Amsterdam

Phishing, een vorm van internetfraude, wordt steeds vaker door criminelen en andere kwaadwillenden gebruikt en is nauwelijks te herkennen. De aanvaller vist, telefonisch of via e-mail, naar de inlog- en andere gegevens van gebruikers. Zo krijgen ze bijvoorbeeld toegang tot interne netwerken van organisaties en de daar opgeslagen informatie. De komende jaren zal de populariteit van het gebruik van ransomware en (vooral) cryptoware hierbij verder toenemen. Aanvaller gebruiken vaak kwetsbaarheden in software om vervolgens verder binnen te dringen in netwerken en systemen. Kwetsbaarheden in software zijn nog altijd de achilleshiel van onze digitale infrastructuur. In de praktijk zien we dat de kwaliteit van software, of eigenlijk het gebrek hieraan, een steeds groter probleem wordt. Kwetsbaarheden zoals Heartbleed en Shellshock hebben dit pijnlijk duidelijk gemaakt.

Met software op steeds meer nieuwe plaatsen zoals medische apparatuur en andere ‘dingen’, neemt het belang van veiligheid verder toe. De complexiteit van sofware wordt hierbij onderschat. Neem een gebouw als de Eiffeltoren. Een architectonisch wonder. De Eiffeltoren bevat misschien 100.000 bouten en moeren. Een gemiddelde smart TV die tegenwoordig in bijna elke huiskamer staat en die we ‘heel gewoon’ vinden bevat meer dan een miljoen regels geprogrammeerde code. Bedenk dan ook nog eens dat een goede programmeur maar 10 fouten per 1.000 regels code maakt… Stel je voor wat er met de Eiffeltoren gebeurt als er 100 bouten en moeren missen.

Dataficatie

Een andere ontwikkeling is dat onze privacy onder druk staat door ‘dataficatie’, ofwel het op grote schaal indirect en direct vastleggen van het dagelijks leven. De overheid past wet- en regelgeving aan om onze privacy te beschermen. Zo werd, als onderdeel van de Wet bescherming persoonsgegevens, begin 2016 de meldplicht datalekken ingevoerd. Naast de invoering van de meldplicht datalekken werd gelijktijdig de boetebevoegdheid van de toezichthouder, de Autoriteit Persoonsgegevens, fors uitgebreid. De meldplicht datalekken is een onderdeel van de toekomstige Europese privacy verordening en wordt door de Nederlandse wetgever vroegtijdig ingevoerd. Het doel van de meldplicht datalekken is ervoor te zorgen dat bedrijven en organisaties zorgvuldig omgaan met informatie en daarmee samenhangend informatiebeveiliging op orde hebben.

“Organisaties zullen moeten ‘aantonen’ dat ze informatiebeveiliging onder controle hebben.“

Informatiebeveiliging raakt alle type organisaties

Informatie is overal. Zelfs de bakker om de hoek heeft tegenwoordig zijn administratie in de ‘cloud’ en de oven en andere productieapparatuur is via internet verbonden met de leveranciers. De beveiliging van informatie is meer dan een compliance vraagstuk. Het is een maatschappelijke en ethische verantwoordelijkheid. Daarnaast is het een vraagstuk van bewustwording: een kwaadwillende houdt zich niet aan regels en het gevaar komt altijd uit onverwachte hoek. Organisaties treffen vaak pas maatregelen nadat zich een incident heeft voorgedaan. Een pro-actieve houding en het ontwikkelen van een dynamische en robuuste governance omgeving voor het digitale domein is van groot belang. (Maar hoe doe je dat?)

Drie pijlers van informatiebeveiliging

Informatiebeveiliging is in onze ogen pas echt ‘veilig’ als de mensen op de juiste manier omgaan met de technische en organisatorische maatregelen. De mens is nog steeds één van de grootste risico’s als het gaat om beveiligingsincidenten. Uit de praktijk blijkt dat een groot deel van medewerkers gevoelige informatie via de telefoon deelt, een gevonden USB-sticks in de computer doet en zonder probleem hun wachtwoord geeft aan de ‘helpdesk’.

Als tweede is een helder beleid binnen de organisatie noodzakelijk voor het op orde hebben van informatiebeveiliging. Een normenkader als ISO 27001, NEN 7510 of Cobit is een goede leidraad om de status van de beveiliging van uw organisatie inzichtelijk te maken en continu te verbeteren.

“Beleid is nodig om informatiebeveiliging op orde te krijgen, te houden en naar een hoger niveau te brengen.”

Ten slotte moet de techniek goed werken, zodat bedrijfsinformatie veilig is. Hierbij is het van belang om de effectiviteit van de getroffen maatregelen voortdurend te testen. Met andere woorden kunnen anderen toegang krijgen tot uw IT-systemen of er misbruik van maken?

De governance code voorbij

Tot slot gaat Erik in op de gevolgen voor commissarissen en toezichthouders. De primaire rol van commissarissen en toezichthouders is toezicht houden op het beleid en bestuur van organisaties. Belangrijk is om vast te stellen dat de bestuurders de risico’s op het gebied van informatiebeveiliging nu en in de toekomst goed inschatten en vooral beheersen. Dit kan alleen als bijvoorbeeld binnen een Raad van Commissarissen voldoende kennis is om de risico’s en maatregelen binnen de context van de organisatie te kunnen beoordelen.De uitdaging is om een ‘lerende governance omgeving’ te scheppen, die de snelle ontwikkelingen in de digitale wereld bij kan houden. 

“Het onderwerp cyber security is urgent en verdient een permanente plek op de agenda van commissarissen en toezichthouders.”

Binnen governance codes is geen expliciete aandacht voor security. Feitelijk is het een integraal onderdeel van risicomanagement en het interne controlesysteem. Elke commissaris of toezichthouder moet zich realiseren dat de goede werking van beheersingsmaatregelen wordt bepaald door de kennis, houding en het gedrag van mensen. Toezicht op het niveau van ‘beveiligingsbewustzijn’ van organisaties is noodzakelijk. Security vraagt om permanente aandacht en een kritische houding van commissarissen. Vraagt u zich af hoe het met uw organisatie gesteld is? Zet security vandaag nog op de agenda!

Benieuwd naar de rol die Insite Security kan spelen bij het verhogen van het informatiebeveiligingsniveau van uw organisatie? Neem dan contact op met Erik.  

Meer artikelen

Bekijk al het nieuws