of 59045 LinkedIn

Kapers op de kust

Kapers op de kust. De macht van de digitale klant groeit en die verlangt optimale veiligheid en compliance van zijn leveranciers

Cyber security krijgt tegenwoordig ook in de boardroom de nodige aandacht. Vooral de aanvallen met ransomware, waarbij personen en organisaties worden gechanteerd door het encrypten of corrumperen van data zijn onderwerp van gesprek. Je zult als bedrijf maar gegijzeld worden met als resultaat dat je productiedata opeens niet meer beschikbaar is. Moet je dan toegeven en betalen of heb je je nog goede kopieën beschikbaar om opnieuw te starten?

Internet is de facto onveilig
Ransomware is slechts één van de criminele cyberactiviteiten waar individuen, maar vooral organisaties mee te maken hebben. Natuurlijk zijn ook diefstal en spionage al lange tijd een bekend fenomeen. Maar naast het vervelende ransomware, vormen vooral stille overvallen het grootste gevaar; hackers die ongemerkt – soms al jaren – in uw systemen kunnen meekijken en ongemerkt data kunnen kopiëren en misbruiken.

 

Het internet is nooit ontworpen om veilig te zijn. Uitgangspunt was dat het open en schaalbaar moest zijn, en dat is het ook prima. Als u gebruik van het internet wilt maken, dient u zelf uw veiligheid te regelen.

 

Klant vraagt duidelijkheid
Tegenwoordig worden ook klanten bezorgder over de veiligheid van hun leveranciers. Als hun klantdata niet veilig is opgeborgen, worden ze onrustig en kunnen ze een andere, veiligere leverancier opzoeken. Zeker voor digitale diensten zien we dit fenomeen toenemen. We weten allemaal dat Whatsapp tegenwoordig individuele end-to-end encryptie toepast voor hun gebruikers, om zeker te stellen dat derden niet makkelijk toegang tot de inhoud van de berichten kunnen krijgen. Ook de case van Apple met de FBI is een teken dat het zinvol is naar gebruikers te laten zien dat de veiligheid van data voor de gebruiker topprioriteit heeft.

 

De macht van de digitale klant groeit en die verlangt optimale veiligheid en compliance van zijn leveranciers. En bij twijfel zijn er wel anderen die dat wel in orde hebben. Dus komt cyber security nu ook op tafel in de boardroom, als klanten weglopen omdat iets niet goed geregeld is, is dat cruciaal voor de continuïteit van de business. Was vroeger beveiliging een vervelende kostenpost die helaas – net als een verzekering – nodig was, nu is het een voorwaarde geworden om business te kunnen (blijven) doen.

 

Geen Silver Bullet
Digitale veiligheid is vaak een balans tussen privacy en openheid. Je kunt je systemen helemaal dichttimmeren maar dan is het werken in een open ecosysteem zo goed als onmogelijk geworden. En in de wereld van cyber security is er geen ‘silver bullet’. Er is niet die ene fantastische oplossing om alle problemen op te lossen. Het is een keten van maatregelen die begint bij de mens, vervolgens het proces raakt en tenslotte technische oplossingen nodig heeft. In die volgorde.

 

Hoe kan je veilig zijn als je al vijf jaar je software niet hebt ge-update? Hoe kun je veilig zijn als je medewerkers de basiskennis ontberen om veilig in een open internetwereld te werken? Hoe kun je veilig zijn als je niet weet welke datastromen door je netwerken stromen? 100% detectie is echter onmogelijk, er stroomt te veel data in en rond elke organisatie om alles te kunnen detecteren. En natuurlijk het liefst real-time; ontdekken dat 3 maanden geleden iemand door jouw productiedata heeft gesnuffeld en daarbij ook klant- en betalingsdata heeft geraakt, is als mosterd na de maaltijd.

 

Vooraf regelen
Als je je infrastructuur (en je mensen en je proces) gewoon goed heb beveiligd en beschermd tegen dit soort aanvallen, is er weinig aan de hand. Dan kun je de continuïteit van je business zeker stellen als er een keer een geslaagde ransomware-aanval is. Dan kun je reageren als er een inbraak wordt gedetecteerd.

 

Maar dat moet je van tevoren geregeld hebben. Je kunt ook niet als je huis in brand staat, zeggen dat je helaas dit jaar geen budget had voor blusmiddelen, maar dat ze voor volgend jaar op de begroting staan.

 

Preventie is het belangrijkste in de wereld van cyber security. Zoals gezegd, bestaat er geen ‘silver bullet’ die alles in één keer oplost. En schakel deskundigen in. Security is zo uitgebreid en veelomvattend geworden, dat niemand dat meer helemaal alleen kan oplossen. Werk samen en deel je ervaringen. Luister naar de witte hackers die wellicht toevallig gaten in uw beveiliging ontdekken. Zet hen eventueel zelfs eigenhandig in om te kijken hoe goed uw beveiliging is.

 

Minimaliseer de zogeheten ‘dwell-time’, de tijd tussen het moment dat een hacker uw systeem binnen komt en u het ontdekt en maatregelen kunt nemen. Zorg ook dat u geen systemen heeft die afgesloten silo’s zijn. Dergelijke systemen zijn veel lastiger te controleren op ongewenst bezoek. Zorg dat uw end-points netjes zijn beveiligd; extra aandacht voor al uw end-points en het ecosysteem waarin zij verkeren.

 

Veiligheidsgordel
Veiligheid in de digitale wereld is geen onbegonnen werk. Het is een wereld van educatie en discipline. En ontwikkel procedures voor ‘responsible disclosure’, de wijze hoe u formeel een inbraak meldt bij de overheid. Goed huisvaderschap is de basis voor elke bescherming: wees alert op vreemde gebeurtenissen of signalen, herken afwijkend gedrag van medewerkers, hun devices en hun dataverkeer. Weet welke procedures er binnen de organisatie zijn en oefen ze. Stuur je medewerkers als oefening verdachte mails en kijk wie de attachment opent.

 

Dat cyber security nu eindelijk in de boardroom bespreekbaar is geworden, is fantastisch voor al die security-medewerkers die al jaren proberen aandacht – en budget – voor hun taak te krijgen. Een basisvoorwaarde voor een organisatie om lang en gelukkig nog zaken te kunnen blijven doen. Geen lastige kostenpost maar een natuurlijke werkwijze in een wereld waar geen veilig internet bestaat terwijl we met datzelfde internet steeds vaker ons geld verdienen.

 

Het is als de veiligheidsgordel in je auto, hopelijk nooit nodig, maar als je die ene onzorgvuldige tegenligger tegenkomt, ben je er verdraaid blij mee. Zonder data kan niemand meer. Koester je data, berg het veilig op en zorg voor actieve bscherming. Helaas is de digitale wereld geen veilige wereld: de kapers op de kust gaan nooit meer weg…

Verstuur dit artikel naar Google+

Reageer op dit artikel
















Even geduld a.u.b.

Reactie op dit bericht

Door Jeroen van der Ham op
Responsible Disclosure (of de huidige term Coordinated Vulnerability Disclosure) is iets anders dan de meldplicht datalekken.

Vulnerability Disclosure is dat onderzoekers op een veilige manier kwetsbaarheden kunnen melden bij een bedrijf.

De meldplicht datalekken is dat een bedrijf incidenten moet melden waarbij mogelijk persoonsgegevens zijn gelekt.

AfbeeldingDell EMC Computer Systems (Benelux)

Edisonbaan 14 B

3439 MN Nieuwegein

www.netherlands.emc.com

www.datacentered.nl / www.emcblog.nl

netherlands@emc.com 

Afbeelding Afbeelding Afbeelding 

Meer nieuws

Afbeelding

 

 

Equalit: Samenwerkingsverband meerdere gemeenten

Bloggers