Onlangs mocht ik met Barry van Kampen, ook wel bekend als fish_, een presentatie geven aan CTO’s van techbedrijven uit Nederland en Duitsland. Strekking van de presentatie (spoileralert!): informatiebeveiliging is niet een kwestie van enen en nullen, maar meer analoog. Met andere woorden: in plaats van zwart en wit is het eerder een breed scala van grijstinten waar je mee te maken hebt.
100% veiligheid bestaat niet
Het begint er al mee dat 100% veiligheid niet bestaat. Hoe goed je een informatiesysteem ook beveiligt, er is altijd wel een manier om binnen te dringen. Uiteindelijk is het een kwestie van tijd voordat een systeem gecompromitteerd wordt. Kwaadwillenden hoeven namelijk alleen maar te wachten tot iemand een keer en fout maakt. Mensen maken nou eenmaal fouten, dus het gaat een keer mis. Als er voor het binnendringen van een systeem meer processorkracht nodig is, dan kunnen criminelen ook gebruik maken van “de cloud”. Met hetzelfde gemak waarmee wij een webservertje online brengen bij een cloudleverancier, kan een kwaadwillende een passwordcruncher of botnet opzetten. En daarmee een ander systeem aanvallen.
Gebruikersgemak versus beveiliging
Wanneer gebruikers gedwongen worden om wachtwoorden van 100 karakters te gebruiken, dan neemt de veiligheid in theorie relatief toe. Een wachtwoord van 100 karakters is namelijk lastig te kraken, een computer doet daar maanden over. Ook als je gebruik maakt van de kracht van de cloud. In de praktijk is een wachtwoord van 100 karakters onwerkbaar: gebruikers kunnen het nagenoeg onmogelijk onthouden, laat staan dat ze voor elk systeem dat ze gebruiken zo’n wachtwoord gaan onthouden. De kans is dus groot dat ze wachtwoorden gaan opschrijven en dat ze wachtwoorden gaan hergebruiken. Daardoor neemt de kans toe dat een kwaadwillende het wachtwoord weet te achterhalen. Kraken is dan helemaal niet meer nodig.
Oneindige security budgetten bestaan niet
Binnen de informatiebeveiligingbranche zijn diverse oplossingen te vinden om allerhande securityincidenten te voorkomen. Denk aan: next generation firewalls, intrusion detection, anti-malware, SIEM, SOC, threat intelligence en red teaming. Als een organisatie al deze producten en diensten aanschaft, dan neemt de veiligheid flink toe. De praktijk is echter dat organisaties een afweging moeten maken in wat ze wel en niet aanschaffen. Je kunt nou eenmaal niet alle producten en diensten aanschaffen, dat is simpelweg onbetaalbaar. Daarmee accepteert een organisatie gelijk dat er dus onderdelen in de it-infrastructuur blijven die relatief onveilig zijn.
De basis op orde
Binnen Guardian360 zijn we ervan overtuigd dat een organisatie eerst haar basis op orde moet hebben, voordat zij überhaupt kan beslissen om ergens in te investeren. Organisaties hebben de afgelopen jaren geïnvesteerd in maatregelen om een incident te voorkomen. Door achterstallig onderhoud, verkeerd gebruik of onwetende gebruikers zijn deze maatregelen niet altijd even effectief meer. Daarbij komt dat er vaak geïnvesteerd is in maatregelen die niet (goed) geconfigureerd zijn. Het kan goed zijn dat een organisatie zonder aanvullende investeringen al een stuk veiliger kan worden, soms is het een kwestie van een vinkje! Daarna kan een organisatie bepalen hoeveel grijstinten zij accepteert in haar it-infrastructuur. Ook Barry van Kampen wil hier graag met zijn team van The S-Unit over meedenken!