De uitspraak van deze politieman doe me denken aan wat ik gisteravond op 1Vandaag hoorde. Een MKB-er vertelde dat een politieagent, die de ransomwareinfectie op zijn systemen kwam onderzoeken, vroeg of het slachtoffer een signalement van de dader kon geven.
Versimpeling lost niks op - integendeelEen m.i. groot probleem bij het beperken van de mogelijkheden voor cybercrime is dat "autoriteiten" in korte statements verkondigen "Doe X om te voorkomen dat je slachtoffer van cybercrime wordt!" - en daarmee suggereren dat er eenvoudige oplossingen voor zouden bestaan.
X: train users of maak offline backups of segmenteer je netwerk of gebruik 2FA of gebruik een "betere" virusscanner" of gebruik Linux of gebruik passphrases of gebruik een beter spamfilter of gebruik AppLocker of ...
Complexe systemen kennen geen simpele beveiligingsoplossingenAls wij met z'n allen computersystemen willen blijven gebruiken die, ook als ze voor gebruikers eenvoudig overkomen, onder de motorkap uiterst complex in elkaar zitten en steeds meer afhankelijk zijn van allerlei cloudkoppelingen, zullen we moeten accepteren dat eenvoudige beveiligingsoplossingen niet bestaan.
De meeste beveiligingsadviezen die ik tegenkom zijn incompleet, onwerkbaar of bevatten zinloze of zelfs onverstandige maatregelen. Bovendien zijn ze vaak erg abstract en/of verouderen ze waar je bij staat.
Voorbeeld:
https://www.cyber.gov.au/publications/essential-eight-explained: in deze 8 "Mitigation Strategies to Prevent Malware Delivery and Execution" ontbreken in elk geval netwerksegmentatie en
offline back-ups. Adobe Flash moet je niet meer willen gebruiken, en technieken als application whitelisting zijn controversieel omdat ze "false positive" problemen opleveren en deels te bypassen bleken (waardoor er, o.a. door Microsoft, steeds weer nieuwe technieken voor worden bedacht). En user awareness hoort kennelijk niet bij deze "essential eight" - go figure.
Disproportionele omvang en complexiteitWat ik zelden tegenkom in adviezen is het volgende: dat organisaties serieuzer en vaker moeten gaan overwegen of ze alle in huis gehaalde en nog te halen functionaliteit
echt nodig hebben (rekeninghoudend met het
werkelijke kostenplaatje, inclusief patchen en het eventueel vooraf testen daarvan). De kunst is
niet om als DevOps o.i.d. in een oogwenk een virtueel systeem op te tuigen, maar om vooraf te beargumenteren waar dat systeem voor nodig is, hoe lang het beschikbaar moet zijn, met welke maximale classificatie informatie op dat systeem verwerkt en/of opgeslagen mag worden, wie er verantwoordelijk voor is (back-ups, archivering, kennen van systeemcomponenten en third party dependencies, in de gaten houden of kwetsbaarheden voor systeemdelen worden gepubliceerd en EOL status van componenten, waarborgen van beschikbaarheid, monitoring op opzettelijke en onopzettelijke problemen, testen/installeren van updates en upgrades, bijhouden van documentatie waaronder CMDB, gebruikersondersteuning, vernieuwen van certificaten en sleutels, ...) enzovoorts.
Waren/zijn de 287 Windows servers allemaal nodig in het UNIMAAS domein (voor zover ik begrijp slechts gebruikt voor
administratieve kerntaken van de universiteit)? In mijn ervaring laten ICT-ondersteuners zich, in de waan van de dag, veel te makkelijk overhalen om elke keer nieuwe systemem toe te voegen. Als je onvoldoende gekwalificeerde mensen en middelen hebt om vele duizenden patches per jaar uit te voeren, kom je vroeger of later niet meer toe aan het upgraden van systemen, vooral niet als daar een arbeidsintensieve migratieslag voor nodig is.
TL;DRKortom, ja: security-unawareness van gebruikers is
één van de problemen, maar eentje die je nooit voor 100% oplost. Je zult echt naar het hele beveiligingsplaatje moeten kijken om de, vaak veel duurdere, gevolgschade van een gecompromitteerd gebruikersaccount te beperken.