Erik,
Je zinsdeel
Als een CISO na een beveiligingsincident de schuld krijgt, is dat -in tegenstelling tot wat de meeste mensen denken- niet omdat de CISO onvoldoende technische maatregelen heeft genomen en/of laten nemen
kan ik slechts deels beamen. Ik zie meer dan genoeg voorbeelden van bedrijven waar de basale beveiligingsmaatregelen niet op orde zijn. Denk aan netwerksegmentatie, patch en lifecycle management, system hardening, IAM op basis van least privilege, security monitoring op de juiste events (b.v. detectie van het plotseling stoppen van inkomende events van een netwerk node). Dat laatste punt las ik ook terug in het rapport over de universiteit van Maastricht. De aanvaller schakelt de antivirus agent uit, maar niemand die het ziet.
Je zet in je antwoord erg in op awareness en de daarbij horende vertaling naar organisatiehouding en -werkwijzen. Zoals bij alle complexe problemen is er vaak echter meer dan één oorzaak aan te wijzen. En dat we een probleem hebben moge duidelijk zijn. Iedereen die een tijdje meeloopt zal voorbeelden van oorzaken kunnen aandragen. Uit de losse pols (ik besef dat sommige oorzaken wellicht zijn ingegeven door een gebrek aan awareness...):
(1) De bekende
lip service van hoger management. "Security moet in het DNA van de organisatie zitten", "we moeten eerst ons huis op orde hebben voordat we verder gaan". Twee weken later bij de eerste PRIO 1 of bij de eerste onrealistische managementeis zijn deze kreten alweer vergeten.
Practice what you preach blijkt nogal eens een probleem te zijn op hoog niveau, met name als prikkels zoals bonussen een rol gaan spelen. Sluiten van auditpunten vlak voor de deadline (binnen die bonus!) en opnieuw openen in het nieuwe jaar, ik heb het allemaal mee mogen maken.
(2) Bedrijven of consumenten adopteren techniek zonder de security implicaties te weten. Cloud is hier een mooi voorbeeld van. Ik ken bedrijven die meteen op de
cloud bandwagon zijn gesprongen vanwege "kostenbesparingen", maar geen cloud kennis in huis hadden (learning on the job, beetje klikken en de cloud provider regelt de rest wel) en een brak design hebben neergezet met de kennis van nu. Ze zitten daar jaren later nog aan vast. Succes met de beveiliging van die omgeving.
(3) Veel software wordt op basis van een least acceptable quality op de markt gebracht om zo snel mogelijk een groot marktaandeel te krijgen. Security is geen primair onderdeel van het ontwerp, maar wordt in plaats daarvan een
afterthought, waarbij lang na de marktintroductie pro forma nog wat onrealistische security tips worden gegeven, hetgeen kansloos is als je de grote en onwetende massa al hebt bereikt. Zie b.v. ook
https://www.security.nl/posting/625469 en mijn reactie op dat artikel. Daarom zie je iedere week weer berichten langskomen over brakke en privacy-onvriendelijke IoT devices.
(4) Zwakke software acquisitieprocessen. Veel bedrijven controleren slecht op securityaspecten van de aan te schaffen software en tekenen een contract voordat het product voldoende is beoordeeld. Die blauwe ogen van de leverancier waren schijnbaar voldoende om een opinie te vormen over de security- en architectuuruitgangspunten die met de software naar binnen worden gerold.
(5) Legacy i.c.m. complexiteit. Veel bedrijven met een complexe IT-infrastructuur bestaan al decennia. Denk aan bedrijven in de bank- en verzekeringswereld. Door de jaren heen kopen die bedrijven software die niet meer te patchen is of waarvan de leverancier niet meer bestaat, maar die wel moet blijven draaien, worden firewalls een grote chaos, zit het bedrijf constant in de LCM en patch cyclus vanwege 1001 applicaties en is de omgeving zó complex geworden dat niemand meer weet waar potentiële problemen zitten, of zijn de problemen te groot om ze op te lossen.
(6) Security is een specialisme geworden dat weinigen goed beheersen, laat staan dat een stapje verder wordt gedacht dan wat vanuit het beleid of de security guidelines moet worden afgedwongen (als dat al wordt afgedwongen en als die documenten al bekend zijn in de organisatie). Ik kan de IT'ers in veel gevallen weinig kwalijk nemen, maar het maakt het voor een aanvaller wel makkelijker dan 30 jaar geleden.
(7) Mensen blijven niet zitten maar vertrekken als ze elders €200 per maand meer kunnen verdienen. Het gevolg: het "collectieve geheugen" van de organisatie is na verloop van tijd vervangen en de nieuwkomers (liefst goedkope jonge mensen) zullen de omgeving vooral moeten leren beheren via
learning on the job. Zeker bij complexe omgevingen vormt dat een risico.
De lijst kan probleemloos uitgebreid worden met nog 50 punten. Op alle fronten wordt gefaald. Bij veel bedrijven is het geld er niet om security goed te implementeren, ontbreekt de kennis, of ontbreekt de wil of de noodzaak, tot het te laat is. Dat sommige bedrijven er tot op heden goed vanaf zijn gekomen is puur geluk.
It is easy to mistake good luck for good practice. De eerste stap om dat te veranderen is wellicht top-down awareness, wie zal het zeggen.