Gelukkig alleen in VS en UK, dankzij Brexit NIX geen last in BE/NL

Dit soort berichten, samen met de stortvloed aan geslaagde ransomware aanvallen van de laatste tijd, geeft de erbarmelijke staat van informatiebeveiliging en -management prima aan. Niet alleen in Nederland, maar wereldwijd. Als we de kwaliteit van de IT-beveiliging en IT dienstverlening, waar we met zijn allen steeds meer afhankelijk van worden, zouden hanteren bij b.v. de auto-industrie, dan zou iedere auto van het ene op het andere moment een wiel kunnen verliezen, door niet één keuring meer komen, met een paperclip te openen en te starten zijn etc. Maar dat maakt niet uit, je kunt gewoon doorrijden, want het is tot op heden altijd goed gegaan, jij bent niet interessant voor de bad guys en helemaal niemand wil jouw auto stelen. Ik blijf me er over verbazen. Gechargeerd:

- Op operationeel niveau hebben we programmeurs die niet weten hoe ze veilige software moeten maken, beheerders die geen idee hebben wat ze doen om er een beheerste omgeving op na te houden, consultants die wat nieuwe buzzwords roepen ("cyberrisk" en "threat landscaping" doen het nu goed), en business mensen die al helemaal geen affiniteit met IT beveiliging hebben en dus vooral roepen dat alles 24 uur moet blijven draaien vanwege alle jobs die draaien en geen change window hebben.

- Op topmanagementniveau hebben we mensen zitten die geen verstand hebben van informatiebeveiliging, menen dat ze alles kunnen managen maar vergeten dat lijntjes uitstippelen ook inhoudelijk kennis van zaken vereist (waar ze hopeloos in falen... en dan bedoel ik echt TOTAAL geen idee hebben waar ze het over hebben), en veel afschuiven naar middenmanagement, "want die moeten gewoon harder lopen en die beheerders op hun flikker geven als ze hun werk niet goed doen".

- Het middenkader krijgt de budgetten niet, zit tussen twee vuren in, probeert er het beste van te maken en hoopt dat de pleuris niet uitbreekt, ondertussen van migratie naar migratie huppelend zonder dat de overall risico's bekend zijn, laat staan dat de enorm toegenomen complexiteit nog afdoende kan worden beheerst.

En het mooie is: het wordt alleen maar erger. Zo'n 15 jaar geleden wreef ik al in mijn handen dat ik een prima vakgebied had gekozen, en ik ben alleen maar bevestigd in mijn inzichten. Met IoT, blijvende onkunde, cloud als wondermiddel en nog zo'n handjevol nieuwe aanstormende technieken is het de komende jaren nog veel meer genieten. De onderliggende oorzaken zullen aangepakt moeten worden om het tij te keren. Daar wacht ik al 15 jaar op. Wie weet gebeurt er de komende 15 jaar iets, wanneer het kwartje bij de juiste mensen valt. Ik ben bang van niet.

Eens , dank u.

Leek er in 2018 een vermindering te zijn, in de eerste anderhalve maand van 2020 is er al meer berichtgeving dan over geheel 2012, het jaar de ransomware problematiek explodeerde. Dat belooft dus nog wat voor de rest van 2020.

@Overcome en anoniem 20:03: dank voor jullie bijdragen!

Ik vraag me af in hoeverre een ernstig business continuity incident ertoe leidt dat meer mensen, met name management, gaan inzien dat beveiliging niet een probleem is dat de CISO en haar/zijn team moeten en kunnen oplossen, maar iets dat bij iedereen tussen de oren moet zitten. Informatiebeveiligingsrisico's verlaag je nauwelijks met een groter budget en zeker niet door de problematiek uit te besteden, zelfs niet aan de beste CISO.

Als een CISO na een beveiligingsincident de schuld krijgt, is dat -in tegenstelling tot wat de meeste mensen denken- niet omdat de CISO onvoldoende technische maatregelen heeft genomen en/of laten nemen, maar omdat die CISO onvoldoende in staat was om management te laten inzien dat beveiligen eenieders taak is. Zodanig dat, zonder uitzonderingen, elk lid van de directie en MT er, top-down, overtuigend aan bijdraagt om dit bij elke manager en medewerker tussen de oren te krijgen (uit eigen ervaring weet ik dat er altijd directieleden en managers zijn die weglopen voor deze verantwoordelijkheid - terwijl een aanvaller genoeg heeft aan één zwakke plek). Niet omdat het "moet van de CISO" of de auditor, maar omdat men zelf de noodzaak ervan inziet. Zonder authentieke (niet geacteerde) management commitment ben je, als CISO, een sitting duck.

Dit is deels waar, maar hoeft niet altijd zo te zijn. Deze voorstelling is erg zwart-wit. Vergeet niet dat beveiligingsmodellen veelal gebaseerd worden op ervaringen van het verleden, en ja je kunt e.a. zo inrichten dat je meerdere verdedigingslagen hebt. Echter die geven ook geen garantie, maar verkleinen slechts de kans. Noem je dit dan schijnveiligheid of toch een noodzakelijke onderdeel van je beveiligingsstrategie ?

1 - factor is wel constant, hoe langer ze "binnen" zitten, des te meer schade ze kunnen aanrichten.

Ook malware/randsomeware is aan evolutie onderhevig. Ieder gaatje wordt benut, ook gaatjes die nu nog niet bekend zijn.
Het is de constante eeuwige race. Aan de andere kant is de balans. Je kunt niet verwachten dat iedere organisatie de poen of personeel heeft om dagelijks te sleutelen aan het netwerk.

De andere discussie die ik wil opstarten is niet de hardcore -> die is fout, hij/zij luistert niet of doet niets. Maar waar ligt de balans ?

Ook mee eens. Kijk Karma4, zo kun je dus ook reageren en je mening geven. Zonder ook maar 1 woord over wat voor software te praten, laat staan negatieve uitspraken te doen over OSS/Linux met een hoog trol gehalte.

Erik,

Je zinsdeel


kan ik slechts deels beamen. Ik zie meer dan genoeg voorbeelden van bedrijven waar de basale beveiligingsmaatregelen niet op orde zijn. Denk aan netwerksegmentatie, patch en lifecycle management, system hardening, IAM op basis van least privilege, security monitoring op de juiste events (b.v. detectie van het plotseling stoppen van inkomende events van een netwerk node). Dat laatste punt las ik ook terug in het rapport over de universiteit van Maastricht. De aanvaller schakelt de antivirus agent uit, maar niemand die het ziet.

Je zet in je antwoord erg in op awareness en de daarbij horende vertaling naar organisatiehouding en -werkwijzen. Zoals bij alle complexe problemen is er vaak echter meer dan één oorzaak aan te wijzen. En dat we een probleem hebben moge duidelijk zijn. Iedereen die een tijdje meeloopt zal voorbeelden van oorzaken kunnen aandragen. Uit de losse pols (ik besef dat sommige oorzaken wellicht zijn ingegeven door een gebrek aan awareness...):

(1) De bekende lip service van hoger management. "Security moet in het DNA van de organisatie zitten", "we moeten eerst ons huis op orde hebben voordat we verder gaan". Twee weken later bij de eerste PRIO 1 of bij de eerste onrealistische managementeis zijn deze kreten alweer vergeten. Practice what you preach blijkt nogal eens een probleem te zijn op hoog niveau, met name als prikkels zoals bonussen een rol gaan spelen. Sluiten van auditpunten vlak voor de deadline (binnen die bonus!) en opnieuw openen in het nieuwe jaar, ik heb het allemaal mee mogen maken.

(2) Bedrijven of consumenten adopteren techniek zonder de security implicaties te weten. Cloud is hier een mooi voorbeeld van. Ik ken bedrijven die meteen op de cloud bandwagon zijn gesprongen vanwege "kostenbesparingen", maar geen cloud kennis in huis hadden (learning on the job, beetje klikken en de cloud provider regelt de rest wel) en een brak design hebben neergezet met de kennis van nu. Ze zitten daar jaren later nog aan vast. Succes met de beveiliging van die omgeving.

(3) Veel software wordt op basis van een least acceptable quality op de markt gebracht om zo snel mogelijk een groot marktaandeel te krijgen. Security is geen primair onderdeel van het ontwerp, maar wordt in plaats daarvan een afterthought, waarbij lang na de marktintroductie pro forma nog wat onrealistische security tips worden gegeven, hetgeen kansloos is als je de grote en onwetende massa al hebt bereikt. Zie b.v. ook https://www.security.nl/posting/625469 en mijn reactie op dat artikel. Daarom zie je iedere week weer berichten langskomen over brakke en privacy-onvriendelijke IoT devices.

(4) Zwakke software acquisitieprocessen. Veel bedrijven controleren slecht op securityaspecten van de aan te schaffen software en tekenen een contract voordat het product voldoende is beoordeeld. Die blauwe ogen van de leverancier waren schijnbaar voldoende om een opinie te vormen over de security- en architectuuruitgangspunten die met de software naar binnen worden gerold.

(5) Legacy i.c.m. complexiteit. Veel bedrijven met een complexe IT-infrastructuur bestaan al decennia. Denk aan bedrijven in de bank- en verzekeringswereld. Door de jaren heen kopen die bedrijven software die niet meer te patchen is of waarvan de leverancier niet meer bestaat, maar die wel moet blijven draaien, worden firewalls een grote chaos, zit het bedrijf constant in de LCM en patch cyclus vanwege 1001 applicaties en is de omgeving zó complex geworden dat niemand meer weet waar potentiële problemen zitten, of zijn de problemen te groot om ze op te lossen.

(6) Security is een specialisme geworden dat weinigen goed beheersen, laat staan dat een stapje verder wordt gedacht dan wat vanuit het beleid of de security guidelines moet worden afgedwongen (als dat al wordt afgedwongen en als die documenten al bekend zijn in de organisatie). Ik kan de IT'ers in veel gevallen weinig kwalijk nemen, maar het maakt het voor een aanvaller wel makkelijker dan 30 jaar geleden.

(7) Mensen blijven niet zitten maar vertrekken als ze elders €200 per maand meer kunnen verdienen. Het gevolg: het "collectieve geheugen" van de organisatie is na verloop van tijd vervangen en de nieuwkomers (liefst goedkope jonge mensen) zullen de omgeving vooral moeten leren beheren via learning on the job. Zeker bij complexe omgevingen vormt dat een risico.

De lijst kan probleemloos uitgebreid worden met nog 50 punten. Op alle fronten wordt gefaald. Bij veel bedrijven is het geld er niet om security goed te implementeren, ontbreekt de kennis, of ontbreekt de wil of de noodzaak, tot het te laat is. Dat sommige bedrijven er tot op heden goed vanaf zijn gekomen is puur geluk. It is easy to mistake good luck for good practice. De eerste stap om dat te veranderen is wellicht top-down awareness, wie zal het zeggen.

Volstrekt mee eens. Echter, in mijn ervaring heeft informatiebeveiliging, in alle organisaties waar ik geweest ben (en dat zijn er veel), als gevolg van het gebrek aan management commitment en daardoor gebrek aan awareness bij verreweg de meeste medewerkers, een uiterst lage prioriteit. Sterker, er wordt soms ronduit de draak mee gestoken - ook door leidinggevenden.

Natuurlijk wil elke zichtzelf respecterende CISO dat de maatregelen die jij noemt (ook in de rest van jouw bijdrage) genomen worden. En dat computers met Windows Server 2003 (zoals in Maastricht) en ongepatchte Citrix gateway/Pulse Secure VPN servers onmiddellijk van het netwerk worden gehaald. En dat ICT een fatsoenlijke CMDB bijhoudt. De praktijk is dat je als CISO daarbij wordt tegengewerkt door mensen die meer indruk weten te maken op nitwit management/bestuur, en dat daarom dingen hartstikke fout gaan. En dan kun je bij een live uitgezonden interview ook maar beter niet zeggen: "ik heb hier een paar jaar geleden al voor gewaarschuwd, maar werd tot nu toe nooit serieus genomen. Heel misschien verbetert dat nu" - want ook dat is niet goed voor jouw carrière.

ISO 27001 bijvoorbeeld. De oude BIR en tegenwoordig BIO benadrukken in elk geval dat veel verantwoordelijkheden bij het lijnmanagement liggen.

Persoonlijk denk ik dat commitment in de bovenste managementlaag een cruciale KPI vormt. Het grootste meningsverschil tussen CISO's en directies in het rapport is hoe serieus security wordt genomen tijdens board-meetings. Eén partij liegt hier, en uit eigen ervaring weet ik dat dit niet de CISO's zijn. Onvoldoende aantoonbare aandacht (blijkend uit notulen) voor security tijdens board meetings zou een major issue bij elke security-audit moeten zijn.

De politiek in Den Haag onderkent inmiddels dat het hier om bijzonder complexe materie gaat, waarbij er fundamentele zaken op het spel staan is. Men denkt die problematiek aan te kunnen pakken met de instelling van een Nationaal Rapporteur Internetcriminaliteit. Die niet alleen de aard van de onderliggende problemen in de ICT sector onafhankelijk vaststelt, maar ook de voorgestelde oplossingen op hun effectiviteit toetst. Wie weet is het kwartje gevallen.

https://www.security.nl/posting/643967/Tweede+Kamer+wil+Nationaal+Rapporteur+Internetcriminaliteit

"Waar ligt de balans" is een hele goede vraag, maar hoe relevant is die wanneer de bedreiging niet targeted is en dus iedereen kan raken?

Niet idereen heeft het personeel en het budget om zich goed te kunnen verdedigen, de schade zal niet voor iedereen gelijk zijn .. maar de dreiging is wel pakkumbeet voor iedereen gelijk

Dat troll gehalte komt vanuit een bepaalde hoek met een os flaming over dat andere OS. Ik heb vaak genoeg aangegeven dat ik niets met een OS binding heb maar zeer veel last heb van dat bedrijven in evangelies. Informatieveiligheid is een totaal van de gehele keten. ISO 27k (ooit BS 7799 1995) en BIO voorheen Bir-tnk zie ik tenminste loskomen als een stap voor top-down bottom-up verantwoordelijkheden. Het is iets wat al 30+ jaar lang niet goed loopt.

Vanochtend heb ik heb de redactie gevraagd om de bijdrage van "linux4" van vandaag 09:34 te verwijderen (zo'n verzoek heb ik al minstens een jaar lang niet ingediend), omdat ik bijna zeker wist dat ook deze draad weer in de gebruikelijke persoonlijke vete zou eindigen.

Net als de meeste waarschuwende CISO's krijg ook ik -jammer genoeg- weer gelijk.

Ik hoop het, hoewel ik de politiek met argusogen bekijk en de PDF in het door jou geciteerde artikel slechts zie als een leuk idee zonder inhoud. Niet zelden voeren partijpolitieke belangen in Den Haag de boventoon, zeker als politiek benarde situaties dreigen, een minister of staatssecretaris dreigt te sneuvelen of als baantjes zijn te verdelen. En dan heb ik het nog niet eens over de ambtenarenlaag eronder, die uitblinkt in machtsspelletjes en het verkeerd informeren van de Tweede Kamer tot in extremum faciliteert. Ik heb de gewoonte screenshots te maken van voor mij interessante Teletekstberichten. De laatste paar hits m.b.t. Den Haag:
- Ministerie BZK verdraaide rapport (10-02-2020)
- Kamer kreeg cijfers 'Lelystad' niet (06-02-2020)
- Kunduz-missie te mooi voorgesteld (31-01-2020)
- Inspectie liet zich beïnvloeden (28-01-2020; betreft de Inspectie Justitie en Veiligheid)
- ...

De lijst gaat door en door. Veel mooie woorden voor de bühne, maar als het puntje bij paaltje komt is de vraag wat er gebeurt, hoeveel mandaat een rapporteur krijgt (weinig), hoe en waar de opvolging van eventuele aanbevelingen wordt belegd, wie daar bij betrokken is, hoe handhaving van eventuele wetgeving vorm wordt gegeven (zeker internationaal gezien) etc. Tussen het aanstellen van een rapporteur en het daadwerkelijk plukken van de vruchten liggen problemen die we nu nog niet eens kunnen overzien. Dat politieke wil niets zegt heeft b.v. het Innovatieplatform onder Balkenende aangegeven. Lezen van https://adoc.tips/het-innovatieplatform.html is de moeite waard. Het is vooral politiek en indekspelletjes dat de klok slaat. Voor inhoudelijke discussies moet je zelden in Den Haag zijn. Teveel kennisgebrek, teveel schijven, teveel achterkamers, teveel alternatieve belangen.

Naast de intellectuele armoede in Den Haag zijn veel van de problemen die spelen lastig tot onmogelijk door een overheidsrapporteur te adresseren. De overheid kan weinig betekenen bij politieke spelletjes binnen bedrijven. De overheid verplicht niet om voldoende kennis van SSDLC te hebben. De overheid bepaalt niet welke junioren zonder securitykennis worden aangenomen. De overheid bepaalt de complexiteit van computersystemen niet. De overheid houdt de snelheid van techniek zelf amper bij en heeft zelf een zeer slecht IT track record. Wetgeving en awareness kan misschien een klein deel afvangen, maar het grote probleem is dat we allemaal verantwoordelijk zijn. Dat maakt zaken enorm lastig aan te pakken, tenzij je echt harde dingen af gaat spreken. Dat is in een land als Nederland zo goed als uitgesloten.

Hoe dan ook, ik laat me verrassen door de rapporteur. Misschien wordt het wel wat. De toekomst zal het leren.