‘Cybersecurity is een proces en geen product’

Edwin Roobol, regiodirecteur Axis Communication

De toenemende digitalisering van de maatschappij geeft cybercriminelen nieuwe werkterreinen. Zo groeit de cybercriminaliteit via het IoT in een hoog tempo. “Geen enkele oplossing garandeert volledige zekerheid”, zegt Edwin Roobol van Axis Communications. “Maar wie goed over bescherming nadenkt, kan z’n kwetsbaarheid wel aanzienlijk beperken.

De digitale ontwikkeling van de samenleving en de economie zorgt in vele opzichten voor interactie tussen individuele personen, ondernemingen en instellingen. Veel sociale, economische en financiële zaken worden steeds vaker naar de digitale wereld verplaatst. Bovendien worden netwerken van afzonderlijke apparatuur steeds groter, zoals Smart Home/Building -oplossingen. Maar niet alleen eindgebruikers stellen de nieuwe mogelijkheden die deze digitalisering biedt op prijs, ook criminelen krijgen door deze ontwikkelingen nieuwe werkterreinen. “Cybercriminaliteit via Internet of Things-netwerken vormen onder andere een reële bedreiging”, zegt regiodirecteur Midden-Europa Edwin Roobol van Axis Communications. “Laat één ding duidelijk zijn. Er bestaan geen oplossingen die volledige zekerheid garanderen, maar wie goed nadenkt over zijn bescherming, kan zijn kwetsbaarheid wel aanzienlijk beperken.” Enerzijds biedt cyberspace dus veel nieuwe mogelijkheden, maar anderzijds ook nieuwe en vooral complexe bedreigingen. “Weten hoe het niveau van cyberveiligheid kan worden verhoogd, is een van de grootste uitdagingen van de huidige maatschappij. Daarbij horen ook steeds meer IoT-apparaten, zoals netwerkcamera’s, die voor een deel moeten worden gelijkgeschakeld met een computer die in het netwerk is aangesloten.”

Domeinen

cybercriminaliteit
Edwin Roobol

De afgelopen jaren zijn veel domeinen die vroeger zelfstandig waren, dichter naar elkaar gegroeid, zoals de fysieke veiligheid en IT-security. Inmiddels worden in beide domeinen dezelfde instrumenten gebruikt en wordt er steeds vaker nauw samengewerkt. Maar ondanks
de permanente ontwikkelingen op veiligheidsgebied, blijft het onmogelijk om systemen te ontwikkelen die 100 procent veilig zijn en toch bedienbaar blijven. “Het is toch mogelijk om de beveiliging van systemen te verbeteren door het aantal risico’s te begrenzen”, geeft Roobol aan. “Beveiliging mag dan ook niet als een eindstation worden beschouwd, maar als het resultaat van een proces van veiligheidsmaatregelen en -structuren. Dat proces is een wezenlijk onderdeel voor ondernemingen, dat steeds tegelijkertijd wordt ingezet en op basis van potentiële bedreigingen verder wordt ontwikkeld.” “Het is daarom belangrijk om te begrijpen dat bedreigingen op systeemniveau moeten worden aangepakt. Niet bij afzonderlijke producten. Cybersecurity is een proces en geen product. Als bedrijven de op dat moment bestaande risico’s niet onderkennen, zijn ze niet in staat de noodzakelijke, effectieve beslissingen te nemen. Een gerichte analyse van de bedreigingen kan daarom duidelijk maken welke gegevens en informatie verloren gaan bij een aanval. Zo’n analyse toont de omvang en maakt duidelijk hoe hoog de investeringen zouden moeten zijn”, aldus de regiodirecteur.

Zwakke plekken cybersecurity

Cybersecurity kent volgens Roobol drie zwakke plekken. Ten eerste de gebruikers. Veel eindgebruikers springen achteloos om met de veiligheid en zijn niet op de hoogte van de implicaties daarvan, noch van de potentiele dreigingen. Zij zijn dus een van de schakels die voor systemen grote gevaren kunnen opleveren en aanzienlijke schade kunnen toebrengen. Andere gevaren zijn onder meer het gebruik van verkeerde wachtwoorden die makkelijk kunnen worden omzeild of eenvoudig te achterhalen zijn of die op briefjes die op beeldschermen zijn geplakt. Dan is er nog phishing of berichten als e-mails, sms’jes of posts op sociale media die eindgebruikers verleiden om vertrouwelijke of persoonlijke informatie prijs te geven. Ook ziet Roobol de installatie van malware of het verlies van USB-sticks met gevoelige bedrijfsdocumenten. Het tweede gevaar vormen de systemen zelf. “Het komt vaak voor dat systemen slecht worden geconfigureerd en daardoor uiterst kwetsbaar zijn. Bovendien speelt het onderwerp veiligheid vaak een ondergeschikte rol en zijn veiligheidsrichtlijnen vaak ontoereikend. Het onderhoudsniveau van de systemen is vaak laag en software-updates worden onvoldoende geïnstalleerd”, aldus Roobol. Het derde gevaar zijn defecten zoals ’bugs’ of fouten in systeeminstellingen en het systeemdesign van (IoT)-devices. “Ook hier is er sprake van gebrekkige kennis bij het gebruik van toestellen, waardoor de uitvoering van veiligheidsprocessen in het gedrang komt. Cyberveiligheidsexperts schatten dat de oorzaak voor 90 procent van alle ’geslaagde’ aanvallen gebeurt bij gebruikers of slecht geconfigureerde systemen in combinatie met een gebrekkig onderhoud. Criminelen starten hun aanvallen steeds bij de zwakste punten en vallen pas in tweede instantie volledige systemen aan.”

Soorten aanvallen

Volgens Roobol zijn er zijn twee verschillende soorten netwerkaanvallen. Ten eerste opportunistische aanvallen, waarbij aanvallers gebruikmaken van bekende zwakke plekken. Als dit niet lukt, gaan zij over naar het volgende slachtoffer. Opportunistische aanvallen zijn gericht op manipuleerbare gebruikers en slecht onderhouden systemen. Daarnaast zijn er gerichte aanvallen. Deze aanvallen worden meestal voorafgegaan door een uitgebreide planning en de aanvallers zoeken hun slachtoffers doelbewust uit met een bepaald doel voor ogen. Deze aanvallen zijn eveneens gericht op manipuleerbare gebruikers of op defecte of slecht onderhouden systemen.

Beveiliging IoT-systemen

Wanneer een IoT-systemen wordt opgezet, moeten alle toestellen die toegang tot het netwerk hebben als PC’s worden behandeld, vindt de regiodirecteur. “Om zo goed mogelijk beveiligde systemen te krijgen, moeten ondernemingen alle onderdelen van de beveiligingsoplossingen in detail bekijken. Bij een videobewakingssysteem met netwerkcamera’s zijn dat bijvoorbeeld de servers, de clients, de Video Management Software (VMS) en alle IP-camera’s. Bij de installatie van dergelijke systemen moeten bedrijven dus in eerste instantie de verschillende veiligheidsniveaus van het volledige netwerk bekijken. Dit soort standaardbeveiliging is gebaseerd op enkele specifieke mechanismen, die kunnen worden aangepast aan de behoeften van de onderneming, zoals de firewall, Network Access Control en de segmentering van het netwerk.”

Het is volgens Roobol essentieel dat IT-systeembeheerders de servers beveiligen met beschikbare veiligheidssystemen waaronder het beheer van accounts en rechten, serviceconfiguratie, antivirussoftware en firewalls. Daarbij mag ook de codering en het algemene onderhoud van de systemen niet over het hoofd worden gezien. Dit zijn twee fundamentele processen voor de totale veiligheid van de systemen, vindt hij. “Serverveiligheid is steeds een zeer belangrijk onderwerp, maar wanneer er sprake is van Video Management Software-servers moeten die op de eerste plaats komen. Want daar worden camerabeelden vaak opgeslagen en een hackaanval om tot die beelden toegang te krijgen, zou nog meer negatieve gevolgen hebben voor de veiligheidsstandaards van de gegevensbescherming met het oog op de privacy-commissie. Het is dus belangrijk voor organisaties om digitale video surveillancesystemen te gebruiken om hun IT securitybeleid en -processen ook op deze systemen toe te passen. Dit zorgt ervoor dat deze systemen minder gevoelig worden voor cybersecurity.”

[Dit artikel is eerder gepubliceerd in ChannelConnect magazine nummer 2-2017]

Lees hier het artikel in PDF