Neem contact op

New Module

Add content here.

Data, Internet of Things, security, Cybercrime

Meer focus op awareness vanwege IoT

05-januari-2015

Internet of things (IoT) koppelt inmiddels grote aantallen mensen, applicaties, bedrijven en machines aan elkaar. Dat levert data op. Veel data. En hiervan zijn cybercriminelen zich ook bewust. 

Deze ontwikkeling vereist flinke verbeteringen in de security - en privacy - strategieën van Nederlandse organisaties. Een blik op cybersecurity in 2015.

security_700x300.png

De ene wearable is nog niet aangekondigd of er zijn alweer vijf nog nieuwere en innovatievere apparaatjes op de markt gebracht. In retail zijn iBeacons al niets nieuws meer en de zorgsector is al helemaal futuristisch bezig met hun wearable tattoos, cyberpillen, elektronische anticonceptie en genezende computerchips.

Aanvallen op de dingen van het IoT nemen dus alleen maar toe, zo stelt ook Sophos met hun Security Threats Trends 2015. We zullen daardoor een verschuiving zien in het soort attacks. Waar eerst grote organisaties meer dan eens het slachtoffer vormden, zijn nu ook individuen een aantrekkelijk doelwit voor hackers. Via de wearable devices, smartphones en tablets is namelijk zeer waardevolle data te stelen. En hoe meer data ergens te halen valt, hoe beter. Bovendien kunnen cybercriminelen grote schade aanrichten als ze toegang hebben tot persoonlijke informatie, naw-gegevens of data over de aankoopgeschiedenis van een consument. Gevoelige informatie komt zo op straat te liggen. Of erger: hele identiteiten kunnen gestolen worden.

Awareness creëren in de boardroom

Het probleem is - vooral in Nederland, maar ook elders - dat we denken al alles op alles te zetten om onze assets te beschermen en daar redelijk succesvol in zijn. Maar die gemakzucht en lichte arrogantie gaat ons de kop kosten. Vaker nog zijn we immers helemaal niet op de hoogte van de risico’s die we lopen en van de dreigingen die er op de loer liggen. ‘Ons overkomt dat niet’ of ‘dat hebben we allemaal afgedekt met onze beveiligingsmaatregelen’ zijn dan uitspraken die ik vaak voorbij hoor komen. De ervaring leert echter iets heel anders.

Het topmanagement is in veel gevallen helemaal niet bewust van de schade die hackers hun bedrijf kunnen toebrengen en op welke wijze ze vandaag de dag te werk gaan. Een eerste stap in het beveiligen van je organisatie is awareness creëren. Cybersecurity is in 2015 al lang en breed geen taak meer van alleen de it-afdeling. C-level managers, oftewel de boardroom of de directieleden, zijn degenen die uiteindelijk bedrijfsbrede beslissingen kunnen en mógen nemen.

Om de boardroom bewust te maken, kunnen cyber incident simulaties helpen. In 2014 werden deze al in toenemende mate bij grote bedrijven ingezet. Maar ook voor het mkb of eenmansbedrijven helpt het om eens een dergelijke simulatie te ondergaan. In 2015 zullen we deze markt zien groeien. Hierdoor leer je namelijk welke situaties zich eventueel voordoen, welke beslissingen er genomen moeten worden en hoe je er als bedrijf adequaat op kunt reageren. Is die kennis er bij je ceo, cto en cio, dan staat de organisatie niet meer voor verrassingen in het geval er daadwerkelijk een cyber incident (aanval, chantage, en dergelijke) plaatsvindt.

Monitor en leer

Met alleen handige technische tools redden we het niet. Zeker niet als we niet eerst het hoe, wat en waarom van een potentiële cyberaanval achterhalen. Alleen door de zwakke punten in de beveiliging (zowel in fysieke systemen en netwerken als in de strategieën erachter) onder de loep te nemen, leren bedrijven over hun kwetsbaarheden en kunnen ze gericht maatregelen treffen.

Het inzetten van security-middelen zonder eerst deze kennis te vergaren, is dan ook zinloos. Een stapel zandzakken tegen de voordeur werkt ook niet als de overstroomde rivier aan de achterkant je huis binnenstroomt. Doe daarom eerst kennis op en pak de zwakheden stuk voor stuk aan. Op de spreekwoordelijke ‘vinger in de dijk’-manier zijn veel meer aanvallen te weren, dan door het aanrukken van goede beveiligingstechnologie die voor verkeerde doeleinden wordt ingezet.

Mijn tip voor 2015 op het gebied van cybersecurity is dan ook: neem een stap terug en overzie de huidige situatie eerst. Denk niet dat je bedrijf onkwetsbaar is. Maar bekijk waar zwakheden liggen en waar ze ontstaan. Pak deze vervolgens effectief aan. Bittere noodzaak hierbij is: het creëren van awareness, monitoring en het continu updaten van systemen, toepassingen en netwerken. Cybersecurity is nooit compleet optimaal. Het blijft een voortdurend verbeterproces. 

Patrick de Goede van Eijk

Geschreven door Patrick de Goede van Eijk

Patrick de Goede van Eijk is Expert Security / Cyber Security Architect en werkzaam bij T-Systems sinds 2011 en is ruim 25 jaar actief in de ICT branche in diverse vakgebieden. De business impact van security maatregelen en wetgeving heeft zijn focus en persoonlijke interesse.