Belonen werkt beter dan straffen als het om security gaat

15 november 2021, 15:39 Door -Redactie-

Wie de zwakheden van de tegenstander kent, kan daarop inspelen, schreef schrijver en schaker Hein Donner ooit. Het omgekeerde geldt ook. Wie ervan uitgaat dat de tegenstander onze eigen zwakheden doorziet kan ellende net wat makkelijker voorkomen. In dit artikel daarom geen features van security-oplossingen, maar juist een opsomming van de negen belangrijkste en meest onderschatte zwakheden op dit gebied.

Man sits inside a small greenhouse and works on laptop. He is protected from outside threats. Concept of working securely from home.

1 Medewerkers als zwakste schakel

Tijdens een interview vertelde een IT-manager bij een waterschap ‘off-the-record’ dat alle security-problemen in de voorgaande tien jaar uiteindelijk terug te voeren waren op onoplettende medewerkers. Toch op die link geklikt, de voornaam van de oudste dochter als wachtwoord gebruikt, printjes op het bureau (of de printer) laten liggen, het zonder extra beveiliging gebruiken van publieke hotspots. Een belangrijke zwakheid is: we vergeten dat techniek niet alles oplost.

2 Gebrekkige awareness-training

Als we de vorige zwakheid erkennen, dan moeten we daar wat mee. Trainen! De auteur van dit stuk had tijdens de Koude Oorlog een leraar geschiedenis en die zei spottend: “Als ik de Russische president was dan viel ik Nederland aan op de eerste maandag van de maand om 12 uur. Het luchtalarm staat dan toch al te loeien en niemand reageert.” Of: als je drie keer in een maand (al dan niet door een technische storing) te maken hebt met het brandalarm op de werkplek – dan is de kans groot dat mensen bij de vierde keer, als het wel serieus is, niet nog eens acht verdiepingen naar beneden lopen om na een kwartier wachten in de regen weer naar de kantoortuin te gaan. Kleed een security-training goed in. Regisseer het als een toneelstuk. Een CEO-­fraude-mailtje als test heeft weinig zin als die CEO benaderbaar is en tijdens de lunch met medewerkers in de ­kantine zit. Wees dus net zo slim als de ­criminelen die precies door hebben wanneer een bepaalde manager met vakantie is, of op zakenreis.

En: het blijkt steeds weer dat straffen, het serieuze gesprek als een medewerker de fout in is gegaan bij een door de eigen IT-afdeling verstuurde link of bestand, veel minder goed werkt dan belonen. Nudging werkt als het gaat om het verhogen van de awareness. Schakel voor trainingen vooral een channel partner in!

3 We vergeten de hardware

En dan hebben we het dus niet over het ‘eigen’ OS van die hardware, maar het puur fysieke stuk. Hoeveel serverracks staan daadwerkelijk op slot? En als dat zo is: wie heeft dan de sleutel? Komt de regelmatig wisselende medewerker van het schoonmaakbedrijf er ook in? Vaak is er helemaal geen echte serverruimte en staat de hardware (inclusief de wifi-routers) gezellig te knipperen (en stof te happen) in een kastje onder de trap. Bijna elke internetrouter is beplakt met een sticker waarop het wachtwoord staat. Zeker, de AVG besteedt er aandacht aan. André Hiddink van Rittal omschrijft de strekking van die bepaling als volgt: “Je moet de deur van een slot voorzien” (Artikel 32, AVG-richtlijn). Er zijn, zo legt Hiddink uit, normen die specifiek iets zeggen over fysieke beveiliging. Zoals de apparatuur dient niet toegankelijk te zijn. Maar er ontbreekt een richtlijn wat nu de minimale vereisten zijn waaraan we moeten voldoen als het gaat om het niveau fysieke security. Hiddink: “Eigenlijk is de richtlijn fysieke security is gebaseerd op: doe maar wat. Geen richtlijn betekent dat je geen houvast hebt. En eigenlijk ook geen belang om er aandacht aan te besteden.”

Geen richtlijn betekent dat je geen houvast hebt. En eigenlijk ook geen belang om er aandacht aan te besteden

4 Security is meer dan defensie

Natuurlijk is voorkomen beter dan genezen, maar het is toch fijn dat artsen medicijnen paraat hebben voor als je toch ziek wordt. We kunnen allemaal ziek worden, dat weet iedereen, we kunnen ook allemaal geraakt worden door een virus van cybercriminelen. Of een ransomware-aanval. Is er dan beleid voor de stappen die genomen moeten worden? “We hebben een herstelplan, dat staat op de server.” Juist, maar dat apparaat is nou net niet bereikbaar na een ransomware-attack…

Alle defensie is gericht op het voorkomen van een onderbreking in de business-continuïteit. Zorg er dan ook voor dat je een heldere strategie hebt om die continuïteit snel te herstellen na een geslaagde aanval.

5 Hybride werken

Tijdens de lockdown was het overzichtelijk: iedereen werkte thuis. Nu het hybride werken opkomt wordt deels weer op kantoor gewerkt – maar ook elders. In die gezellige koffiebar, bijvoorbeeld, nu die weer open is. “De wifi is daar zo lekker snel”, maar publieke netwerken zijn beslist een privacy- en security-uitdaging. 

6 Te veel patchwork

Kan een hybride IT-omgeving, door te werken met verschillende public cloud-aanbieders naast wellicht een private cloud én nog wat applicaties on-premise al een uitdaging zijn, het combineren van een groot aantal securityvoorzieningen is niet veel eenvoudiger. Vaak stellen consumentenorganisaties dat Nederlanders nog weleens oververzekerd zijn, maar als de nood echt aan de man is blijkt voor die specifieke claim nergens dekking. Bij security is het net zo. Dat betekent niet per se dat alle security-eieren in het mandje van slechts één leverancier moeten liggen, maar wel dat een en ander goed op elkaar is afgestemd. Wendt u daarom tot een goede reseller/IT-partner.

7 Te weinig patch-work

Maar dan in de betekenis: te weinig aandacht besteden aan het patchen of updaten van de software – waarbij systeemsoftware (wifi-routers, ‘slimme’ airconditioning) niet mag worden vergeten. Ja, heel irritant als daardoor het mailverkeer er een half uur uit ligt. En als je op het punt staat naar huis te gaan zijn die 47 updates van Microsoft Windows ook niet fijn qua timing. Maar het niet regelmatig patchen kan nog veel vervelender uitpakken.

8 Naïviteit

Het is onder IT-journalisten een bekend verhaal: een grote redactie (de naam van de uitgave is bij ons bekend) was onderdeel van een uitgeverij waarvan de IT-afdeling verlangde dat wachtwoorden maandelijks veranderd werden. Omdat op de redactie vrij veel parttimers werkten en bepaalde berichten toch ‘door moesten’, werden wachtwoorden onderling gedeeld. Dat is AVG-technisch al bedenkelijk, maar erger nog was dat de wachtwoorden in een driemaandelijkse cyclus wisselden. De eerste maand was het Qwerty1, de tweede maand Asdfgh2 en in de derde maand Zxcvbn3. Ofwel: steeds de eerste letters van de drie verschillende ‘regels’ van een computertoetsenbord.

9 Schaamte

Nog steeds wordt er gegrinnikt over de CEO-fraude bij de Nederlandse vestiging van bioscoopketen Pathé. Hoe kun je als landelijke directie op basis van slechts een (nep)mailtje van de hoogste baas een grote som geld overmaken? Het feit dat dergelijke vormen van fraude steeds vaker voorkomen (en technisch moeilijk af te vangen zijn) speelt daarbij een rol. Naast het feit dat social engineering tegenwoordig op een veel hoger niveau staat dan toen we de eerste berichten van een Nigeriaanse prins ontvingen die 100.000 dollar op onze rekening zou storten “als jou eerst aanbetaling doen”.

CEO-fraude slaagt omdat criminelen zich verdiepen in de bedrijfscultuur. Het is alleen een vorm van fraude die we liever niet delen met anderen. Schaamte speelt een rol – dit geldt ook voor andere security-inbreuken. Wie deelt graag dat er onvoldoende gepatched is? Dat medewerkers nog steeds op verdachte links klikken? Hoeveel er betaald is aan de afpersers na een ransomware-aanval? Dat iemand tijdens de vrijdagmiddagborrel de stekkers in de serverkast verwisselde? Schaamte, het niet willen delen of vertellen is de grootste en meest onderschatte security-valkuil.

[Dit artikel is eerder gepubliceerd in Security & Privacy Dossier 2021]

Lees het artikel hier in PDF

Door -Redactie-
Special

Security & Privacy Dossier 2021

De ICT-wereld is snel. Mis niets.

Meld je nu aan voor de ChannelConnect nieuwsbrief.

Send this to a friend