Nationaal Coördinator Terrorismebestrijding en Veiligheid Dick Schoof meent dat de publieke en private sector meer in detectie moeten investeren. "We moeten in een vroeg stadium aan de voorzijde acteren, ook offensief. We moeten actief kunnen 'terughacken', zodat we aanvallen kunnen voorkomen." Een impressie van het veiligheidscongres 'Meet the visionaries'.
Cyberveiligheid moet een veelbesproken onderwerp zijn in de boardroom, geen specialiteit van techneuten. Dat was de belangrijkste boodschap op het veiligheidscongres ‘Meet the visionaries’ van B-Able in Nijmegen.
De toon van de zesde toogdag voor cybersecurity werd gezet door een openingsfilmpje waarin onder de tonen van apocalyptische muziek onthutsende nieuwsflashes over cyberaanvallen. Die werden afgewisseld met flitsen van mensen in alledaagse situaties, kennelijk nietsvermoedende slachtoffers blootgesteld aan de ijzingwekkende risico’s van falende systemen. De trailer eindigde met de portretten van de sprekers begeleid door paukensalvo’s. Luid applaus voor de intro: cyberveiligheid is hot, en dat ziet de sector graag nog even bevestigd.
Twitter gehackt
Toch was de sprekersstal allerminst een verzameling onheilsprofeten. Alleen Raimund Genes, CTO van beveiligingsreus Trend Micro, jongleerde met dreigingsbeelden. Hoe kunnen we een cloud, gehost door een Amerikaans bedrijf, nog vertrouwen? Komt de policy van bring your own device niet neer op ´bring your own disaster´? Staren we ons niet blind op grof geschut uit China, terwijl de echt intelligente aanvallen uit Rusland komen?
Genes wees op het veranderde karakter van internetsaboteurs: “Malware is niet meer vooral een manier om te pronken met programmeerskills, maar dient steeds vaker een ‘commercieel’ doel. Malware komt nu uit de onderwereld.” Genes wees op de ontwikkeling van de beurskoersen op de dag dat duistere krachten het twitteraccount van Associated Press hadden weten te hacken. Een plotselinge dip van de koersen, binnen enkele minuten weer overwonnen, weerspiegelde het effect van die hackactie. “Ze hadden via het account het nieuws verspreid dat er twee bommen in het Witte Huis waren ontploft en dat Obama gewond was geraakt. Na enkele minuten was duidelijk dat het een hoax was. Maar in die paar minuten kon iemand heel erg rijk worden, als hij maar op tijd koopt en verkoopt. De hacker dus.”
DDoS-aanvallen
Waar degenen die de recente DDoS-aanvallen op op hun geweten hebben, op uit waren, blijft gissen. Nationaal Coördinator Terrorismebestrijding en Veiligheid Dick Schoof weet het ook niet. “Iedere dag worden vitale infrastructuren meerdere malen aangevallen. Maar deze aanvallen waren wél heel massief en gericht. Het uitvallen van iDeal was maar een bijeffect. Voor dat soort bijeffecten krijgen we steeds meer aandacht. We hebben wel zogenaamde meelifters kunnen opsporen, figuren die een graantje mee dachten te kunnen pikken door rekeninghouders hun inloggegevens te ontfutselen, maar wie er achter de aanvallen zaten, en waar ze op uit waren…”
Er bestaat een bloeiende, omvangrijke criminele malware-industrie, aldus Schoof. “Er zijn kant-en-klare pakketten te koop waarmee je hackacties kunt opzetten.” Sterker nog: er wordt zelfs geadverteerd voor het neerhalen van sites door middel van DDoS-software.
Terughacken
Schoof meent dat de publieke en private sector meer in detectie moeten investeren. “We moeten in een vroeg stadium aan de voorzijde acteren. Niet alleen defensief, maar ook offensief. We moeten actief kunnen ‘terughacken’, zodat we aanvallen kunnen voorkomen. Dat is eigenlijk belangrijker dan opsporing en vervolging.”
Maar cybersecurity is niet meer alleen een antwoord op kwaadaardige software, aldus Yuri Bobbert, oprichter en CEO van bedrijfsinformatiebeveiliger B-Able, die het congres organiseerde. Volgens hem is het managen van veiligheid een kwaliteit geworden waarmee je klanten werft en behoudt. Steven de Haas, hoogleraar Information Systems Management in Antwerpen, beaamt dat. “Tot nu toe is veiligheidsbeleid te veel benaderd als antwoord op risico´s, terwijl veiligheid meer als een toegevoegde waarde moet worden gezien, als iets wat interessant is voor klanten.”
Bobbert:
“Het vertrouwen van klanten in een bedrijf kan van het ene op het andere moment wegvallen. Ieder bedrijf zou over dat veiligheidsmanagement moeten rapporteren in zijn jaarverslag. Je moet duidelijk maken hoe je over de eigendommen van je klanten waakt.“
In de boardroom
CTO´s hebben het meestal voor het zeggen, als het om de bescherming van het dataverkeer gaat, maar dat is niet goed. “De kans is groot dat zij de Ferrari´s onder de software kiezen, terwijl software met minders toeters en bellen even goed zou kunnen werken”, zegt veiligheidsconsultant Jeroen van den Heuvel. “Zonder een duidelijke veiligheidspolicy kan de keuze nooit goed zijn.” Het hoogste management zou die policy moeten vaststellen. “Als de executives niet doordrongen zijn helpt geen enkele technologie tegen malware. Zelfs bij de sterkste bescherming blijft de menselijke factor spelen,” aldus Peter Kestner, voormalig hacker en nu topman bij Oracle. Ook Bobbert hamert op veiligheidsbewustzijn tot op het hoogste niveau. “Het is schrikbarend hoe weinig de mensen in de boardroom bewust zijn van het belang van cybersecurity. Veiligheidsbeleid moet absoluut een zaak zijn van CEO´s.”