Casus Rotterdam is geen uitzondering

Casus Rotterdam is geen uitzondering

DearBytesBlogKwetsbaarheidCasus Rotterdam is geen uitzondering

donderdag 6 april 2017

Veel aandacht voor de informatiebeveiliging van Gemeente Rotterdam momenteel. Maar in de berichten die ons tot nu toe via de media bereiken vind ik niet zoveel schokkende bevindingen staan. Althans als ik ze vergelijk met de gemiddelde situatie die we zien.

Alle commotie ontstaat omdat de Rotterdamse Rekenkamer een onderzoek naar de informatiebeveiliging heeft ingesteld naar aanleiding van een datalek. Die Rekenkamer wil nu haar rapport openbaar maken en dat wil de gemeente op haar beurt weer voorkomen.

Pentests

Er wordt gesproken van zwakheden in software en beheerderswachtwoorden die konden worden achterhaald. Dat is vastgesteld door ethische hackers in een pentest. Nou kan ik je zeggen dat dat niet zo bijzonder is. Zeker interne pentests zijn bijna altijd succesvol; het gaat erom wat je met de resultaten doet.

Ik wil de bevindingen absoluut niet bagatelliseren. Bovendien weet ik helemaal nog niet alles dus wellicht dat de titel van dit blog nog onterecht blijkt. Het gaat me gewoon helemaal niet om Rotterdam, maar om de commotie. Die wil ik graag altijd een beetje in de juiste context plaatsen.

Het is goed dat er langs deze route weer eens wat aandacht is. Maar wat interessanter is, als dit de stand van de beveiliging is, wat gaan we eraan doen? Alle tijd, energie en middelen die gestoken zijn in praatgroepen, beveiligingsstandaarden, wetgeving, enzovoorts van de afgelopen jaren: het haalt in effectieve zin nog maar bar weinig uit. Mijn laatste fiducie dat die top-down benadering tot verandering gaat leiden is als de Autoriteit Persoonsgegevens eindelijk eens haar boetebevoegdheid gaat laten gelden en er een prijskaartje aan slechte beveiliging komt te hangen. Dan valt er tenminste uit te rekenen wat de ‘return’ is van een investering in informatiebeveiliging, zo stel ik mij althans voor.

Bottom-Up Change

Maar goed: het mag duidelijk zijn dat ik meer geloof in een bottom-up verandering. We roepen tenslotte al jaren dat ‘de board’ meer betrokken zou moeten zijn bij de security maar dat schiet nog helemaal niet op. De verandering moet van onderaf komen: daar waar we werken met de beveiligingsmaatregelen en aan de hand van rapportage zien waar zwakheden zitten. En die dan stap voor stap wegwerken. Niet afwachten tot een maandenlange risk assessment en vuistdik rapport een compleet abstract beeld schetst over hoe de totale informatiebeveiliging eruit moet komen te zien. Nee. Agile, Scrum, PDCA, you name it: maar gewoon vandaag aan de slag gaan ermee.

Dat wij hierin geloven, komt bijvoorbeeld tot uiting in onze Malware Defense Service. We hebben ingezet op een maatregel waar geen discussie meer over mogelijk is. Iedereen snapt dat je anti-virus nodig hebt (nog even los van de geavanceerdheid daarvan). Nou wordt de term ‘anti-virus’ snel geassocieerd met een stuk software, maar dat is natuurlijk niet het hele verhaal. Een goede maatregel bestaat uit een combinatie van mensen, processen en techniek. Maar goed: DAT er iets moet zijn tegen malware, dat is evident. De volgende vraag is: hoe dan? En daar kan het mis gaan als je gefocust blijft op die techniek. Aanbieders van nieuwe anti-malware technieken duikelen over elkaar heen en vertellen stelselmatig hoe zij een gat invullen dat alle anderen overlaten. Ik zie dat onze klanten daardoor compleet verward raken over de vraag: wat moet ik nu doen? En vooral: als iedereen voor eigen parochie preekt, wiens antwoord op die vraag kan ik dan nog vertrouwen?

Hoe dan?

Wij verwijzen dan graag naar een algemene standaard. Een onafhankelijk antwoord op de vraag: “hoe dan?”. De Critical Security Controls (CSC) van het Center for Internet Security (CIS) zijn zo’n standaard. Ze zijn ook nog wel bekend onder de voormalige titel SANS Top-20. Een lijst van de 20 belangrijkste maatregelen om controle te krijgen over cybersecurity. Ingegeven door een overlegorgaan die input verzamelt van tal van private en publieke partijen. De CSC worden ook door Nederlandse organisaties steeds vaker geadopteerd als leidraad/benchmark voor de informatiebeveiliging. Er zijn ook alternatieven, zoals NIST en natuurlijk ISO. En ja ook de diverse standaarden in Nederland (de BIG, NEN751x) bieden een redelijke leidraad. Persoonlijk ben ik fan van de CSC omdat de maatregelen heel kort en bondig zijn geformuleerd, heerlijk concreet. Bovendien vind ik 20 een behapbaar aantal als initiële focus en staan ze in prioriteit opgesteld waardoor je ook nog eerst kan focussen op de eerste 5.

Steeds veiliger

Terug naar de praktijk: als wij gefocust zijn op Malware Defense (CSC #8), dan gebruiken wij inzichten daaruit voor stapsgewijze verbetering. Wij zien bijvoorbeeld dat malware veel binnenkomt via email. Dus de email en web beveiliging (CSC #7) kan worden aangescherpt. Of we zien dat er gebrek is aan een up-to-date inventaris van systemen. Dus de asset inventory (CSC #1) is voor verbetering vatbaar. Aan de hand van deze voorbeelden zie je hoe je vanuit de operatie op basis van simpele inzichten de volwassener security als een olievlek en hands-on over de organisatie uitrolt. Het is geen rocket science, echt niet.

Organisaties die met die “wat moet ik nu doen?” vraag worstelen, helpen we graag om aan de hand van zo’n standaard een roadmap te maken. Dat hoeft helemaal niet veel tijd te kosten en geeft gelijk een concrete roadmap. Ben je daarna klaar? Nee. Je bent nooit klaar. Maar als je het goed doet, word je steeds veiliger.