Eten of gegeten worden

No comments »
AUTHOR:
CTO Dell EMC Nederland
CATEGORIES:

Enkele weken geleden werd de vijfentwintigste RSA conferentie gehouden. Een jaarlijkse bijeenkomst van security-deskundigen om de ontwikkelingen op dat gebied met elkaar te delen. Was deze conferentie indertijd een kleinschalige bijeenkomst van enkele duizenden bezoekers, afgelopen keer was er het overweldigende aantal van 40.000 deelnemers. Een teken dat security ‘hot’ is.

En niet alleen kwamen de deelnemers uit de commerciële wereld, ook mensen die werken bij de overheid zijn de afgelopen jaren in steeds grotere getale gaan deelnemen. En in plaats van een security-conferentie met lezingen, werd dit ‘the world’s biggest cybersecurity confab’ genoemd, een bijeenkomst waar onderling meningen werden gedeeld over de ontwikkeling, want van een eenduidige boodschap was geen sprake. Alleen al de discussie tussen Apple en de FBI levert al een scala van meningen op op het gebied van persoonlijke privacy versus nationale veiligheid.

Silver Bullet?
In hoeverre wordt cryptografie een breekpunt tussen de techniek die we ter beschikking hebben en de wens en noodzaak onze nationale veiligheid zeker te stellen? Is het voor een veiligheidsdienst mogelijk om in de groeiende tsunami van data nog wegwijs te worden en te blijven. Met de komst van het Internet of Things wordt het nog lastiger relevante data uit al die datastromen te filteren en te combineren tot nuttige informatie. Is het een verloren strijd voor de inlichtingendiensten?

Security is een analytics-probleem geworden. Ook moeten de cybersecurity-vaardigheden van de burger aanzienlijk omhoog. Ouders moeten hier veel meer aandacht aan besteden en het moet wellicht een basisvak op de lagere school worden. Bedrijven moeten onderling veel meer samenwerken om databreaches te leren herkennen en voorkomen. Concurrentie-overwegingen zorgen er nog té vaak voor dat hackers hun trucjes kunnen blijven herhalen, omdat men elkaar niet vertelt wat hen is overkomen. Amit Yoran, RSA president, zei dat geen enkel product – hoe duur ook – de veiligheid van een organisatie kan garanderen. Er zijn geen ‘silver bullets’ in de wereld van security.

Samen sterker
Van de overheid kwam het nieuws dat het Pentagon een cyber make-over ondergaat. Eric Smidt, voorzitter van Alphabet/Google neemt plaats in de security advisory board van het Pentagon. Tevens worden binnen het Ministerie hackers uitgenodigd om allerhande aanvallen te simuleren en daarvan te leren; samen sterker. En tenslotte meldde de Secretary of Defense dat hij pro encryptie is en tegen achterdeurtjes in beveiligingssoftware. We moeten accepteren dat de veiligheid van onze burgers net zo belangrijk is als de nationale veiligheid, en de overheid zal hierin zijn eigen capabiliteit moeten opbouwen die niet ten koste van de burger gaat.

Ook in de financiële wereld is men zich aan het heroriënteren en ontwikkelen meer granulaire, proactieve en toekomstgerichte risico assessments op het gebied van niet-financiële risico’s. Zo’n 90% van de banken rapporteerden afgelopen jaar een grotere focus op deze niet-financiële risico’s zoals wettelijke regelingen, het bestuur, witwassen, compliance en systeem- en reputatieschade. Men stelt dat 80% van de banken beperkt inzicht heeft over de niet-financiële risico’s en de verliezen die men daar oploopt. Gedrag en naleving hiervan wordt in toenemende mate als een even grote risicofactor gezien.

Risico-acceptatie
Een van de oplossingen die wordt aangedragen om gedrag en naleving te verbeteren, is de front-office meer verantwoordelijk te geven en aanspreekbaar te maken, in plaats van dit in de back-office te willen regelen. Dit is een wezenlijke cultuurverandering: hoe kan een verkoop gedreven front-office gelijktijdig die nieuwe risicomanagementtaken uitvoeren? Het idee is dat als het aan de voorkant al niet fout gaat, het in de rest van de organisatie minder snel fout zal gaan.

Bijna alle banken zijn druk bezig deze risicoverantwoordelijkheden aan de voorkant (weer) te vergroten. Maar dat betekent dat men ook de (digitale) gereedschappen moet krijgen om deze aansprakelijkheden op zich te kunnen nemen. Predictive analytics om risico’s te kunnen inschatten en de consequenties ervan te analyseren. Het terugbrengen van de juiste risico-acceptatie bij business-beslissingen; zonder het nemen van gewogen risico’s kan men niet ondernemen. Men noemt het ook wel ‘risk-appetite’, de risicobereidheid die men wil en kan nemen. En dat een onderdeel van ieders dagelijks leven zou moeten zijn, risicoloosheid bestaat helaas niet, hoe graag sommigen dat ook nastreven.

Security is gedrag
Wat de banken doen, zou op het gebied van veiligheid in onze digitale wereld voor iedereen moeten gelden. Elke beslissing die je neemt heeft risico’s, soms diep verborgen in een digitale en virtuele wereld die men niet (meer) begrijpt. Maar het niet (kunnen) zien van die risico’s betekent niet dat ze er niet zijn. Te vaak nog gaan we uit van ‘wat je niet ziet, bestaat niet . . . .’. Onze realtime digitale wereld levert ons realtime diensten en ondersteuning; maar vraagt ook realtime risicomanagement. Direct zien en aanvoelen dat iets niet klopt. Snel kunnen ingrijpen als er iets mis gaat.

De realtime wereld is voor hackers een eldorado, men is weer weg voor de gebruiker ook maar iets in de gaten heeft. Daarom is er nog (heel) veel te doen op het gebied van cybersecurity. Zoals Amit Yoran al aangaf, is er geen ‘silver bullit’. Eigenlijk is het net zoals je je huis beveiligt, vanzelfsprekend zitten er sloten op de deuren en ramen, en is er wellicht sprake van een alarminstallatie. Maar sowieso blijft zorgvuldigheid geboden. Het herkennen van vreemde zaken of gedrag, voorzorgsmaatregelen nemen en accepteren dat als iemand echt wil, die ook binnen zal kunnen komen, mits deze lang genoeg op de loer ligt en het elke dag opnieuw probeert.

Constante alertheid
Want hackers liggen continu op de loer. EMC krijgt dagelijks zo’n 30.000 externe digitale inbraakpogingen op zijn netwerken. Dat vraagt een constante alertheid, radarsystemen die constant en realtime datastromen scannen op onregelmatigheden, compartimentering van je datanetwerken om vreemde situaties snel te kunnen isoleren en heel veel ‘plannen B’ om te weten wat je moet dan als men echt binnen komt.

De wereld is per definitie onveilig. Elk wild dier weet dat. Het is eten of gegeten worden. In onze digitale wereld leven helaas veel wilde dieren die ons dwingen een stukje natuurlijke risicobereidheid terug te ontwikkelen. Op het internet is het ook eten of gegeten worden. Als je je op het internet begeeft, moet je beseffen dat er anderen op de loer liggen die jou een lekker hapje vinden. Dat vraagt risicobesef en adequaat handelen. Daar moeten je ouders en wellicht ook de school je als kind op voorbereiden. Lastig als we als ouders lange tijd in een schijnbaar veilig digitaal walhalla hebben mogen leven. Dus een uitdaging voor ons allemaal.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.