Home » Technology » Security » We gaan te gemakzuchtig om met kwetsbaarheden

We gaan te gemakzuchtig om met kwetsbaarheden

Tech Page One

We gaan te gemakzuchtig om met kwetsbaarheden

 

Zowat elke dag is er nieuws over security breaches en hacks en de implicaties hiervan voor bedrijven en mensen. Maar wat mij opvalt is dat deze hacks, buiten de security-vakmedia, langzaamaan niet meer als nieuws worden beschouwd door andere media. We weten dat we kwetsbaar zijn, maar we gaan er te gemakzuchtig mee om.

Vorig jaar werden door middel van een “brute force attack” honderden foto’s van Hollywoodsterren buitgemaakt. Wereldwijd hebben velen een poging gewaagd privé-foto’s of filmpjes van de gedupeerde sterren te zien. En heel recent kwamen de gegevens van inmiddels totaal 37 miljoen mensen op straat te liggen, die ingeschreven stonden bij Ashley Madison; een site die propageert dat het leven te kort is om geen affaire te hebben. Dit was ook wereldnieuws omdat dit op persoonlijk vlak mensen diep raakte. Naar waarschijnlijkheid hebben zelfs twee mensen waarvan de gegevens openbaar zijn gemaakt zich van het leven beroofd. Dit is natuurlijk bizar en triest.

IT is een commodity geworden

We gaan te gemakzuchtig om met kwetsbaarhedenMaar er gebeurt meer op het gebied van security-aanvallen en data breaches. Er gaat eigenlijk geen dag voorbij waarin in de security-vakmedia te lezen is welke zakenbank of retailketen nu weer gedupeerd is door een Trojan Horse of andere vorm van malware. Het valt me alleen op dat steeds minder van de berichten die ik op bijvoorbeeld security.nl lees, ook zijn terug te vinden in de breder georiënteerde IT-media of zelfs de dagbladen. Het nieuws en de sensatie gaan er langzaam van af. IT is een commodity geworden die bij ons dagelijks bestaan hoort. En dat baart me zorgen. Mag ik een parallel trekken met de afschuwelijke beelden die de wereld in werden gezonden door IS? Een aantal maanden geleden beheerste dat alle nieuwszenders. Zelfs de beurzen reageerden op de opmars van de terroristen. Maar deze, nog steeds gruwelijke acties die elke dag nog steeds plaatsvinden, halen niet meer de headlines en zoals een aantal maanden geleden. We zijn er, hoe raar dat ook klinkt, aan gewend geraakt. Niet dat het minder eng is geworden; we weten ervan maar kijken de andere kant uit.

Gemak

Teruggaand naar IT-security denk ik dat er veel organisaties zijn die zich wel degelijk realiseren dat ze vulnerabilities in hun infrastructuur hebben. Zwaktes in programmatuur, defecten in apparaten of in routers die kunnen worden misbruikt om in het netwerk te komen. Of zero-day vulnerabilities waarvan we het bestaan nog niet eens kennen. Dit kwam duidelijk naar voren toen Hacking Team zelf werd gehackt. Organisaties die zich realiseren dat er eigenlijk geen gedegen en bijgewerkte security-toolset is, gaan er vanzelfsprekend van uit dat ‘die’ volgende hack toch niet bij hen zal plaatsvinden. Het gemak waarmee organisaties hiermee omspringen levert gevaar op. In mijn gesprekken met klanten merk ik toch dat er met het beschikbare budget eerder een keuze wordt gemaakt voor bijvoorbeeld uitbreiding van het server-park. De security-vernieuwing wordt dan weer een jaar opgeschoven. Dit is een bewust risico nemen; de focus ligt eerder op het maximaliseren van de bedrijfsdoelstellingen en minder op een bijgewerkte security-infrastructuur. Met alle gevolgen van dien.

Bewustwording

Er moet meer bewustwording rondom security komen binnen bedrijven; te beginnen bij de IT-verantwoordelijken. Men is vaak geneigd te zeggen dat de firewall voldoende bescherming biedt, maar vergeet dat bijvoorbeeld cryptolocker/ransomware in 80% van de gevallen binnenkomt via  e-mail. Een simpele vraag die ik ook stel is of ze bekend zijn met password-retentie. Daar wordt een klant soms heel erg moedeloos van; hij is er zich wel van bewust maar weet het niet degelijk uit te voeren. Daarom moeten de IT-verantwoordelijken van bedrijven hun werknemers trainen in bewustwording over security.

Vergeet niet dat het gros van de recent afgestudeerden is opgegroeid met internet en behoort tot de zogenaamde ‘digital natives.’ Deze specifieke gebruikersgroep weet feilloos de weg in het digitale landschap, installeert en deelt naar lieve lust apps en beschouwt het bezit en gebruik van smartphones, tablets en laptops als volkomen normale gebruiksvoorwerpen. En hierin schuilt het gevaar van gemakzucht, daar waar het om security gaat. Onlangs zijn 225.000 iPhones van Apple geïnfecteerd met een nieuwe malware genaamd: KeyRaider. Hierdoor zijn vele financiële en inloggegevens verzameld van slachtoffers in diverse landen. Dat komt omdat mensen gebruik maken van telefoons die gejailbreaked zijn. Mensen gaan bewust hun iPhone openbreken om een customised operating system op hun smartphone te laden. Daarmee kunnen bijvoorbeeld features worden geïmplementeerd die Apple zelf (nog) niet heeft. Maar zo’n niet gesloten operating system brengt dus wel grote risico’s met zich mee. En het is weer het pure gemak waar mensen naar op zoek zijn.

Ondertussen treedt deze jonge generatie toe tot het bedrijfsleven. En hoe ‘digital savvy’ ze ook zijn, ze moeten wel, door onder andere interne trainingen, voldoende bewust worden gemaakt van gedrag waarover vaak niet goed wordt nagedacht. Gedrag dat de bedrijfs-security wel degelijk in gevaar kan brengen.

 

 

Jort Kollerie

Jort Kollerie

Jort Kollerie is sinds 2000 werkzaam bij Dell en heeft diverse sales-functies gehad binnen het segment van local & central government. In 2009 heeft hij zich gespecialiseerd binnen het Public Security & Defence team op onder andere Digital Forensics en biometric/rugged solutions. Vanaf 2012 is Jort als Enterprise Security Specialist verantwoordelijk voor het security portfolio binnen Dell Benelux. Met als uitgangspunt het optimaliseren, vereenvoudigen en verhogen van security, adviseert hij relaties op het gebied van Network Security, Identity & Access Management en Data Protection & Encryption.

Laatste Artikels:

 

Tags: Security, Technology