FYI.

This story is over 5 years old.

De manier waarop mensen denken over internetbeveiliging moet veranderen

Dit is wat er fundamenteel misgaat bij internetveiligheid, en hoe we dat probleem kunnen oplossen.
29.7.16
Beeld: Jesus Sanz/Shutterstock

Adrian Sanabria is een industrieanalist bij 451 Research, waar hij de beveiligingsindustrie voor klanten wil verbeteren. Na 15 jaar werk als hacker, beveiligingsexpert, gekwalificeerd veiligheidsexaminator van de betaalkaartindustrie en incidentmanager is voor hem het glas nog altijd halfvol.


Iedereen heeft een mening over hoe je de internetbeveiliging verbetert en de schijnbaar eindeloze datalekken voorkomt. Zoals velen, geloof ik dat er meerdere aspecten aan het probleem zijn verbonden. Het ligt niet alleen aan gebrek aan versleuteling of het onvermogen om malware te blokkeren. Het ligt ook niet alleen aan de ICT-experts, die fundamentele fouten maken – alles draagt een steentje bij aan het falen van beveiliging op internet. Ik geloof dat een groot deel van het probleem bij mensen ligt, maar misschien op een andere manier dan wordt gedacht.

De beveiligingsindustrie heeft veel fouten gemaakt in het verleden. Sommige van deze fouten hebben ervoor gezorgd dat het werk van een beveiligingsexpert nu onnodig ingewikkeld is geworden. Een zo'n fout was bijvoorbeeld het splitsen van de afdelingen beveiliging en ICT. We moeten dit herstellen.

Advertentie

Luister eerst goed naar me – ik wil helemaal niet zeggen dat we alle beveiligingsexperts moeten ontslaan. De veiligheidsproblemen waar we nu mee zitten kunnen niet zomaar met nieuwe producten worden opgelost. We kunnen ze niet oplossen door meer veiligheidsanalisten aan te nemen, net als een winkelier het probleem van winkeldiefstal niet kan oplossen door een meer beveiligers aan te nemen. Het is gewoon niet haalbaar om op elke individuele klant een beveiliger in te zetten.

Ook al is beveiliging geen officieel onderdeel van iemands functie, dat betekent nog niet dat diegene er niets mee te maken heeft

Ligt het probleem dus bij een combinatie van producten en mensen? Misschien, maar ik geloof dat dit nog steeds niet alles dekt. We hebben meer mensen nodig, maar dat moeten niet alleen maar beveiligers zijn. Ik denk ook niet dat we op dit moment meer producten nodig hebben; betere producten misschien, maar niet meer.

Wat we echt moeten aanpassen is de psychologie van beveiliging. Als we in een winstmakend bedrijf geloven in ieders verantwoordelijkheid om bij te dragen aan de winst, kunnen we ook geloven in ieders verantwoordelijkheid om bij te dragen aan de veiligheid. We kunnen er nou eenmaal niet vanuit gaan dat de beveiligers dat allemaal op zich nemen, zonder enige medewerking van de rest.

En ook al is beveiliging geen officieel onderdeel van iemands functie, dat betekent nog niet dat diegene er niets mee te maken heeft. Vaak wordt beveiliging zelfs door anderen tegengewerkt.

Advertentie

Een ander resultaat verwachten bij dezelfde aanpak.

Wat werkt er niet aan onze huidige aanpak en waarom dan niet?

Sommige mensen denken dat betere producten een datalek bij bedrijfsnetwerken kunnen voorkomen. Zij gaan er vanuit dat de cybercriminele gekte gestopt kan worden door meer machinewerk en gigantische datasets in te zetten. Anderen geloven dat we simpelweg meer mensen moeten inzetten. In werkelijkheid hebben we de producten en de mensen in een inefficiënte cyclus laten glijden. De cyclus ziet er ongeveer zo uit:

  • Beveiligingsproducten genereren meestal gigantische hoeveelheden aan data
  • Over het geheel is de data vaak van lage kwaliteit – er zit veel ruis in
  • Er is veel mensenwerk nodig om de ruis eruit te halen
  • De meeste mensen raken verstrikt in het web van ruis en richten zich niet meer genoeg op de veiligheid. Ze missen daarom vaak de waarschuwingssignalen van het systeem. Mensen zeggen vaak: "Als we 2 procent van de waarschuwingen te zien krijgen, hebben we nog geluk."
  • De industrie ontwikkeld steeds meer producten die gebruik maken van machinaal leren en NoSQL databases, om de belangrijkste data uit de ruis te halen. Maar wat gebeurt er als je met computersystemen de ruis uit de database probeert te halen? Dan hou je een kleinere database over, maar nog steeds met veel ruis

Om nou met je hele team een soort cyberversie van Waar is Wallie te gaan spelen, lijkt mij een beetje zonde van al dat talent en de salariskosten. Ook is het eindeloos doorspitten van allerlei waarschuwingen ook niet echt het innemende, creatieve werk dat beveiligers zo leuk vinden. Zo gaan werknemers snel weer door naar een volgende baan of stappen ze liever over naar de aanvallende kant van beveiligingswerk; de kant waar ze juist het veiligheidssysteem moeten proberen te doorbreken. Inderdaad is het veel leuker om systemen constant onder te sneeuwen met waarschuwingssignalen en de meeste beveiligingsmedewerkers die aan de aanvallende kant werken, zien het helemaal niet zitten om naar de verdediging over te stappen. Ik neem het hen ook niet kwalijk.

Advertentie

Maar waarom accepteren we zomaar al die ruis in ons systeem? Waarom verwijderen we deze niet? Ik denk dat angst om iets te missen een belangrijk onderdeel daarvan is. Of het gevoel van spijt dat volgt. Ik weet niet of dit echt de reden is, en ik ben ook geen psycholoog, maar ik heb wel veel anekdotes gehoord tijdens veiligheidstesten:

-"Waar wil je dat ik naar ga kijken?

-"Naar alles. We willen van elke fout op de hoogte zijn."

In werkelijkheid is dit een onmogelijke opdracht die weinig tot geen beveiligers kunnen volbrengen. Hoe groot is het probleem nou echt? Onafhankelijke analyses van het datalek van de Amerikaanse winkelketen Target wezen uit dat de systemen van Target de cybercriminelen met succes hadden waargenomen, zelfs meerdere keren, tijdens de aanval. De waarschuwingssignalen werden echter niet opgemerkt tot na de diefstal van de betalingsgegevens. Er werd op geen van de signalen gereageerd. En zo gaat het bijna altijd bij een datalek.

De manier van denken veranderen

Ik ben niet aan het pleiten voor de ontbinding van complete beveiligingsafdelingen, maar wel voor een verandering in de verantwoordelijkheid voor de beveiliging.

De functie van de beveiliger is veranderd in een absolute rol waarbij alles wat met beveiliging te maken heeft aan het werk van de beveiliger wordt toegeschreven. Persoonlijk ben ik verantwoordelijk geweest voor de herinrichting van de toegangscontrole op de centrale computers. Hierbij schreef ik het beleid voor veilige ontwikkeling van software en sprak ik met mensen over het klikken op links in verdachte emails. Ik heb persoonlijk helemaal geen ervaring met het ontwikkelen van software en ik heb zelfs nog nooit direct gewerkt met een centrale computer. De enige reden dat ik zat opgescheept dit met werk is vanwege de link met beveiliging. De uiteindelijke verantwoordelijkheid moet daarom terug naar de mensen die echt verstand hebben van de apparaten en de software. Dit zijn de beheerders van centrale computers, de ontwikkelaars van software en de trainingsexperts.

Om nou met je hele team een soort cyberversie van Waar is Wallie te spelen, lijkt mij een beetje zonde van al dat talent en de salariskosten.

Dit brengt me weer bij een van de belangrijkste punten waar het misgaat: We hebben de ICT geïsoleerd van de beveiliging. Het probleem wordt versterkt door de cultuur die de elite prijst. Als gemeenschap en industrie, hebben we de ICT'ers als beveilingsonderzoekers altijd uitgelachen om hoe slecht ze zijn in beveiliging. We voelden ons beter. Met hun ego al gedeukt door een datalek of een andere systeemfout ontdekt door beveiligers, accepteerden de ICTers het label van "slecht in beveiliging."

Het wordt nog erger. Ik denk dat met de psychologische scheiding van de beveiliging en de rest van het bedrijf, de medewerkers bij het idee kwamen dat beveiliging niets met hun eigen werk te maken heeft.

"We hebben een afdeling met de titel 'beveiliging.' Zij houden ons veilig – daarom houden wij ons daar niet mee bezig. We zouden alles toch alleen maar verpesten, toch?"

Dit probleem kwam ik niet alleen tegen in de veiligheidsindustrie – maar zelfs in de muziekindustrie.

"Een of andere producer met een computer fixt al mijn slechte nummers voor me" – over Rockin' the Suburbs door Ben Folds

Het werk van de beveiligingsexperts dat we nodig hebben zal nooit compleet door robots overgenomen worden. We hebben alle hulp nodig die we kunnen krijgen. Iedereen moet zich persoonlijk bezig gaan houden met beveiliging, maar ondertussen hebben wij onbedoeld de boodschap uitgezonden dat "wij het wel regelen" en niemand zich ermee bezig hoeft te houden.

We moeten iedereen gaan inzetten. De uiteindelijke verantwoordelijkheid moet weer terug naar de echte experts – de mensen die de code schrijven en (godzijdank) alle centrale computers onderhouden. De rol van beveiligers verdwijnt niet, maar verandert wel. We moeten van het idee af dat de beveiliger een soort poortwachter is, die let op alles wat in en uit gaat. In plaats daarvan moeten we met z'n allen samenwerken en de kennis van beveiliging met elkaar delen. Zo kunnen alle werknemers samen een verdediging opbouwen waarbij iedereen genoeg zelfvertrouwen heeft om daar aan deel te nemen.