Wie de geschiedenis leest, maar niet begrijpt…

Hoewel ze de felle strijd niet hadden verloren, was er na de Eerste Wereldoorlog weinig meer over van Frankrijk en het Franse leger. Mede om die reden begon in 1930, onder leiding van de Franse minister van oorlog: André Maginot, de bouw van ‘La Muraille de France‘. Deze muur, de Maginotlinie, was destijds het meest moderne en geavanceerde beveiligings- en fortificatiesysteem ter wereld en tevens een geldverslindend, acht jaar durend bouwproject.

De Fransen waren er van overtuigd dat deze verdedigingslinie voldoende veiligheid zou bieden aan alle ongewenste invallen en bedreigingen. Toen de Tweede Wereldoorlog aanbrak, bleef van deze overtuiging echter weinig meer over. Al in 1940 slaagde Duitsland er -binnen zes weken- opnieuw in om Frankrijk te verslaan. Want terwijl de Fransen bouwden aan hun muur, zaten ook de Duitsers niet stil… Het Duitse leger maakte ditmaal gebruik van lichte infanterie waardoor ze zich snel konden verplaatsen, het benutte nieuwe routes via de Ardennen en bovendien was er flink geïnvesteerd in vliegtuigen. Een groot deel van het Franse leger zat vast in hun eigen forten en bunkers terwijl de Duitsers, Frankrijk binnendrongen. De nieuwe ontwikkelingen en tactiek van het Duitse leger, maakten het dat de Fransen niet zagen aankomen dat hun kolossale muur, waarvan de bouw gebaseerd was op gebeurtenissen uit het verleden, op dat moment onvoldoende veiligheid bood.

Met andere woorden: het bestaande concept van beveiligen was inmiddels volledig achterhaald en de Maginotlinie, die bedoeld was als obstakel om de Duitsers buiten de deur te houden, droeg uiteindelijk bij aan de val van Frankrijk. En wat deze geschiedenisles met cybersecurity te maken heeft, is meer dan je zult denken…

… is gedoemd ‘m te herhalen.

Vandaag de dag organiseren veel bedrijven ook hun aanpak van cybersecurity, namelijk op dezelfde achterhaalde manier; gebaseerd op bedreigingen uit het verleden. Er wordt in veel gevallen nog steeds gestreefd naar een waterdichte beveiliging om op die manier ongewenste toegang te voorkomen: door een dikke te bouwen van technologische beveiligingstools, gemetseld door IT-specialisten en securityprofessionals.

De razendsnelle ontwikkelingen op het gebied van cybercrime, maar ook losse eindjes in (legacy-)systemen en menselijke fouten, zorgen ervoor dat organisaties achter de feiten aan blijven lopen. De goed bedoelde, maar achterhaalde, verdedigingslinie blijft het uitgangspunt van beveiliging, terwijl technieken en methodes die worden gebruikt door cybercriminelen voortdurend veranderen en verbeteren; net als de Duitsers destijds, zitten zij vandaag de dag niet stil.

Het hedendaagse streven van organisaties om deze ontwikkelingen voor te kunnen zijn en daarmee ongewenste toegang te voorkomen, is om deze reden een onbegonnen zaak. Het is vandaag niet meer de vraag óf criminelen binnenkomen, maar wanneer. Om deze reden is het hedendaagse perspectief of beveiligen achterhaald. Kortom, er is een andere benadering nodig om grip te kunnen krijgen op cyberrisico’s. Een benadering vanuit het perspectief dat criminelen vroeg of laat binnen zullen dringen: dat de muur doorbroken wordt. We kunnen er simpelweg niet meer omheen: “They will get in anyway,” en wat doen we dan?

 

Van weerstand naar wendbaar

Zoals gezegd is het een onbegonnen zaak om ongewenste toegang volledig te willen voorkomen. Om ervoor te zorgen dat een organisatie en haar medewerkers niet vast komen te zitten, zoals destijds de Fransen in hun bunkers, zullen organisaties moeten inspelen en meebewegen met de ontwikkelingen in hun omgeving. Beveiliging moet flexibel en wendbaar worden ingevuld. Want in de praktijk blijkt: bescherming met een muur alleen, is niet voldoende.

Organisatiebrede verantwoordelijkheid

Wanneer over cybersecurity en al diens aspecten wordt gesproken, wordt in de praktijk doorgaans gewezen naar ICT-afdelingen en CIO’s als verantwoordelijken. Het idee dat alleen deze afdelingen de strijd tegen (cyber-)dreigingen en ongewenste invallen moeten aangaan, is naar mijn idee echter klinkklare onzin.

Ongewenste toegang wordt namelijk niet alleen verkregen door gepeuter in de digitale omgeving; het achterhalen dan wel stelen van wachtwoorden, nieuwsgierig gedrag van gebruikers met browsers, downloaden en e-mail en social engineering zijn allemaal manieren waarop evengoed toegang tot systemen, informatie en data kan worden verkregen. En de gevolgen hiervan kunnen groot zijn: datalekken, ontvreemding van intellectueel eigendom en/of privacygevoelige gegevens, maar ook uitval van systemen kan de continuïteit van bedrijfsprocessen bedreigen. Dit kan leiden tot reputatierisico’s en het kan tevens hoge kosten met zich meebrengen ten aanzien van de aansprakelijkheid en bescherming van klant-, product- en persoonsgegevens. Hiermee wordt duidelijk dat het de kern raakt van organisaties en daarmee alle medewerkers, niet alleen de IT’ers en CIO’s. Dit vraagt dus niet alleen om technologische verdediging, maar om een organisatiebreed verantwoordelijkheidsgevoel om de risico’s zo beperkt mogelijk te houden.

Defense, detect, response

Met bovenstaande zeg ik overigens niet dat defensieve maatregelen volledig kunnen ontbreken. Zie het zo: het scala aan security-tools en kennis van IT-professionals kan behoorlijke klappen opvangen, maar is slechts bestand tegen een gedeelte van de aanvallen; preventieve maatregelen alleen, zijn simpelweg niet voldoende.

Om weerstand te kunnen bieden tegen ongewenste dreigingen en invallen en om meer grip te krijgen op cyberrisico’s is het van wezenlijk belang om, organisatiebreed, ook detecterende maatregelen te treffen. Daarbij kan gedacht worden aan signaleringen en rapportages over afwijkingen in (bedrijfs-)processen en meldingen van ongeautoriseerde toegang tot bepaalde informatie en systemen, maar er dient ook zeker gedacht te worden aan bijvoorbeeld de bewustwording van medewerkers, waardoor zij in staat worden gesteld phishing mails, verdachte telefoontjes, opvallend gedrag en overige risico’s en bedreigingen te herkennen.

Tot slot maken, wederom organistiebrede, responsieve maatregelen het beveiligingsplaatje compleet: onderzoek naar de oorzaken, bijvoorbeeld van afwijkende patronen in (bedrijfs-)processen en ondersteunende faciliteiten, het actief opvolgen en natrekken van ongeautoriseerde toegangspogingen en meldingen van medewerkers op basis van bezoekersgedrag, verandering in of van hun werkomgeving, vreemde mails of telefoontjes, etc.

Door ‘cybersecurity’ op deze manier te benaderen wordt niet gestreefd naar een waterdichte beveiliging, maar naar een manier van beveiligen waarop ongewenste toegang (vroegtijdig) kan worden opgespoord en actie kan worden ondernomen om zodoende schade te voorkomen, beperken of indien nodig te herstellen.

Effectiviteit en efficiency

Door al deze maatregelen -en het is nog maar een handje vol voorbeelden- lijkt het er misschien op dat je organisatie een beveiligingspakket zou moeten aanschaffen zo massaal als de gehele Maginotlinie, maar het tegendeel is waar. De kunst ligt hem in de inrichting van deze maatregelen, waarbij efficiëntie en effectiviteit als uitgangspunten gelden.

Eén van de voornaamste reden waarom investeringen in de aanpak van cyberrisico’s veelal worden gezien als last en kostenpost, ligt namelijk op dit gebied. Vanuit de veronderstelling dat alles dichtgetimmerd moet worden, is dit heel begrijpelijk: het kost veel geld en mankracht en kan daarbij ook nog eens een doorn in het oog zijn ten aanzien van de werkbaarheid in de organisatie. Hierdoor ontstaat de kans dat medewerkers om beveiligingsmaatregelen heen gaan werken. Verder lijkt het, omdat in eerste instantie weinig direct resultaat wordt verkregen, weinig op te leveren. Maar zoals niet vaak genoeg gezegd kan worden: het is een onbegonnen zaak om te sterven naar waterdichte beveiliging.

Het is daarom van belang dat door stakeholders in en van een organisatie, op basis van een afwogen benadering vanuit verschillende perspectieven, het gewenste niveau van beveiliging wordt bepaald en dat de organisatie resterende risico’s begrijpt en accepteert. Een goede asset-analyse is op dit gebied onmisbaar.

Vervolgens is het per te treffen maatregel van belang dat objectief wordt bepaald of deze maatregel daadwerkelijk waarde toevoegt, in relatie met de kosten ervan. We weten inmiddels dat alleen een IT-pretpakket van dure tooling, bijvoorbeeld om verdachte e-mails te filteren, niet kan zonder een actieve en tijdige follow-up van de resultaten. Maar denk op dit gebied ook eens aan het vergroten en op niveau houden van de bewustwording en kennis van medewerkers ten aanzien van cyberrisico’s. Wat een relatief goedkope maatregel is, en toch zeer effectief.

 

Van Cybersecurity naar ‘Lean Cyber Resilience’

Door organisatiebreed zowel preventieve, detectieve als responsieve maatregelen te treffen waarin effectiviteit en efficiency gelden als uitgangspunten, ontstaat een doorlopend proces van monitoring: risico’s worden bekeken en geanalyseerd, de huidige situatie wordt bekeken en gemeten, verbeteringen worden doorgevoerd en controles vinden plaats. Zodoende wordt er gestreefd naar een blijvend optimum en wordt een verbeteringsproces van beveiligings- en controleactiviteiten gecreëerd, ondersteund door doelgerichte technische tooling en zonder onnodige activiteiten en inzet van middelen.
Deze benadering zorgt voor het vergroten van waarnemingsmogelijkheden door de organisatie, doordat niet slechts IT-afdelingen verantwoordelijk worden gesteld.
Het voorkomt buitenproportionele investeringen in technologische tooling en specialismen, omdat de organisatie van dit proces effectief en efficiënt wordt ingericht, en het vergroot de flexibiliteit rondom beveiliging, waardoor openheid naar en interactie met de buitenwereld kan worden behouden. Deze benadering leidt tot een effectieve, efficiënte en wendbare beveiliging ten aanzien van cyberriciso’s.
Met andere woorden: het resulteert in een situatie die ik ook wel ‘Lean Cyber Resilience‘ wil noemen.