We Help Sys Admins

We Help Sys Admins

DearBytesBlogWe Help Sys Admins

maandag 26 januari 2015

2015: Nieuwe ronde, nieuwe kansen. 2014 was het jaar waarin een hoop misging in de wereld van informatiebeveiliging. Bedrijven gehackt, bedrijfs-, privé- en creditcardgegevens worden buitgemaakt, maar ook ernstige lekken in technologieën die door de hele wereld gebruikt worden om informatie veilig op te slaan of te verzenden en ontvangen zoals SSL (o.a. Heartbleed en Goto Fail, brrrrr). En, om het maar helemaal af te maken, vormen buitenlandse overheden overduidelijk een serieus dreigement voor de privacy van burgers en de handel van bedrijven. De middelen waar landelijke overheden over beschikken, zorgen voor een ongekend niveau van ‘pwnage’. Hierbij worden bedrijven en instanties binnengedrongen tot aan de meest belangrijke systemen. Dit gebeurt niet alleen via de meest geavanceerde door de overheid ontwikkelde malware, maar ook door bijvoorbeeld zwakheden te introduceren in de cryptografische algoritmes die onze belangrijkste data versleutelen. Of door het spearphishen van medewerkers in het bezit van uitgebreide toegangsrechten, zoals systeembeheerders. In een door Snowden gelekt document vatte een medewerker van de Amerikaanse NSA samen wat zijn opdracht is: “I hunt sys admins”.

i hunt sys admins

bron: leaksource.info

Kortom, er is genoeg reden om bezorgd te zijn over de toekomst van een vrij en veilig internet. Ook wanneer overheden niet direct in je ‘threat model’ voorkomen -niet te snel van uitgaan overigens, zeker niet bij strategische belangen zoals grondstoffen, infrastructuur, financiële diensten, telecommunicatie, enzovoort- is het een voorbode voor wat er uit de schimmige onderwereld van de hackers kan komen. Immers, wat de NSA vandaag voor elkaar krijgt met geavanceerde malware, is bij wijze van spreken morgen mogelijk met de diverse toolkits die hackers tot hun beschikking hebben. Daarnaast wordt spearphishing al lang en breed toegepast in deze wereld. Dit vereist van bedrijven dat er qua beleid en processen en ook qua technische voorzieningen meer wordt gedaan om gevoelige informatie veilig te stellen. Zowel voor het behoud van de eigen bedrijfsvoering en concurrentiepositie als vanuit wettelijk oogpunt. De aanscherping van wetten en vooral boetes kan in combinatie met reputatieschade en misgelopen inkomsten tot behoorlijke financiële schade leiden wanneer persoonsgegevens buitgemaakt worden tijdens een hack.

Begrijp mij niet verkeerd, ik wil je niet bang maken. Paniek is ondoelmatig, daar heeft niemand wat aan. Als we samen gaan strijden voor een vrij en veilig internet, hebben we een brede, rationele aanpak nodig. We beginnen met kennis, want kennis is macht. Wat voor kennis heeft jouw organisatie in huis? Meer dan je denkt! Begin met hetgeen je wil beveiligen: informatie. De verantwoordelijken binnen de organisatie voor specifieke informatie, spelen een belangrijke rol bij het vaststellen van de waarde daarvan. Zo’n inventarisatie geeft houvast bij het bepalen van informatie-classificatieniveaus, toegangsrechten, enzovoort. Kortom, je hebt al kennis in huis om te gaan bepalen wat je wil beveiligen en op welk niveau. Bijkomend voordeel van een dergelijke aanpak is dat security breder gedragen wordt, omdat informatie- en systeemeigenaren binnen je organisatie in het proces worden betrokken. Er ontstaat het besef dat business en security onlosmakelijk zijn verbonden. Dit is maar het begin, en afhankelijk van de samenstelling van je organisatie, komt er in praktijk nog behoorlijk wat bij kijken, maar iedere organisatie is hier in principe toe in staat.

Kennis is ook van belang op technisch vlak. Is de organisatie in staat om de nieuwe doelstellingen op het vlak van informatiebeveiliging ook technisch te realiseren? Wellicht is er genoeg kennis en personeel voor incident respons, maar minder voor bijvoorbeeld preventie en detectie. Vul in wat je direct zelf in kan vullen, ga na wat er nog bij moet komen en beslis -in samenspraak, omdat het wederom ook een business beslissing betreft- of je extra mensen en techniek respectievelijk moet aannemen en inkopen, of dat het kosteneffectief is om het uit te besteden aan security specialisten met verstand van zaken.

DearBytes. We Help Sys Admins.