Beveiliging is geen verdedigingsoefening meer

Michel Klompmaker
Uit het onlangs verschenen rapport van BT en KPMG blijkt dat het erger is dan menigeen vreest. Goed georganiseerde cyber criminele organisaties binnen steeds meer binnen bij grote ondernemingen. Vrijwel overal zijn criminele ondernemers actief buiten en binnen grote ondernemingen. Sommige experts spreken in dit verband over een wapenwedloop.

Het rapport is samengesteld op basis van bevindingen en aanbevelingen tot stand gekomen vanuit de interviews die zijn afgenomen in samenwerking met Vanson Bourne met ongeveer 200 directeuren verantwoordelijk voor IT, zakelijke weerbaarheid en de bedrijfsvoering van grote organisaties in de Verenigde Staten, het Verenigd Koninkrijk, Singapore, India en Australië.
Slechts zo’n twintig procent van de IT-beslissers binnen grote multinationals is ervan overtuigd dat zijn / haar onderneming volledig beschermd is tegen de bedreiging van cybercriminelen. Het rapport, ‘Taking the Offensive – Working together to disrupt digital crime’  wijst uit dat 94 procent van de IT-beslissers zich ervan bewust is dat criminele ondernemers hun medewerkers chanteren of omkopen om toegang te krijgen tot hun organisaties. Ruwweg de helft (47 procent) van de respondenten geeft toe dat er geen strategisch plan is om dit te voorkomen. Het rapport wijst ook uit dat bijna alle respondenten te maken hebben gehad met een cyberaanval, waarvan meer dan de helft aangeeft dat dit de afgelopen twee jaar is toegenomen. Tegelijkertijd geeft 91 procent van de respondenten aan dat zij obstakels ondervinden bij het tegengaan van digitale aanvallen, waarbij velen de wettelijke obstakels noemen, en minder dan de helft van de respondenten maakt zich zorgen over de afhankelijkheid van derde partijen in hun reactie.
We spraken daar onlangs op exclusieve basis over met Ramy Houssaini, Vice President BT Security in Europa. “De industrie bevindt zich nu in een wapenwedloop met professionele criminele bendes en overheidsinstellingen met geavanceerde technieken. De cybercrimineel van deze eeuw is een meedogenloze, efficiënte ondernemer die wordt ondersteund door de sterk ontwikkelde en de zich snel evoluerende zwarte markt. Doordat cybercriminaliteit steeds erger wordt, is een nieuwe benadering nodig voor de digitale risico’s die we lopen en daarbij moet je jezelf in de schoenen van de aanvaller verplaatsen. Organisaties moeten zich niet alleen verdedigen tegen cyberaanvallen, maar ook de criminele organisaties verstoren die deze aanvallen ontketenen. Zij moeten nauwer samenwerken met rechtshandhaving en partners op het gebied van cyber security.”
In het algemeen praten over cyber risico levert blijkbaar geen nieuwe inzichten op. Men moet nadenken over de mogelijke en aannemelijke scenario’s van aanvallen tegen de eigen organisatie en overwegen hoe cyber security, fraudebestrijding en zakelijke weerbaarheid samen kunnen werken ter voorbereiding op – en om te kunnen omgaan met – deze bedreigingen. Wanneer dit gerealiseerd is, kan cyber security een reguliere corporate strategie worden en wordt het een essentieel onderdeel van zakendoen in de digitale wereld, aldus de samenstellers van het rapport.
Het BT-KPMG rapport laat zien dat de Chief Digital Risk Officers (CDROs) nu worden aangesteld in strategische functies, waarbij digitale expertise en managementvaardigheden op hoog niveau gecombineerd worden. Ruim een kwart van de ondervraagden bevestigt dat een CDRO al is benoemd. Niet onbelangrijk voor de samenstellers van het rapport: de noodzaak wordt gemarkeerd om budgetten aan te passen. Zestig procent van de beslissers geeft aan dat de cyber security van de organisatie momenteel wordt gefinancierd vanuit het centrale IT budget, terwijl ongeveer de helft vindt dat het uit een apart beveiligingsbudget moet komen. Een grote uitdaging die uit het rapport naar voren komt, is de financiering en de hoogte van de Research & Development uitgaven die nodig zijn om de organisaties die doelwit zijn te beschermen tegen de criminelen.
Ramy Houssaini : “We hebben zelf binnen BT een groep van “ethische hackers” van zo’n 150 personen, verdeeld over de UK, Europa, de USA en Azië. We trachten om gemeenschappelijk de strijd aan te gaan. De recente voorbeelden rond Dropbox, SWIFT en heel recentelijk nog Yahoo laten zien dat het iedereen kan treffen, met alle schadelijke gevolgen van dien. We zullen in de toekomst niet alleen naar de data moeten kijken maar ook naar de gedragscomponent. Ongebruikelijk gedrag in relatie met Big Data dient op de juiste manier geïnterpreteerd te worden. Als gevolg van de enorme toename de laatste twee jaren, zullen we de aanpak moeten veranderen, van defensief naar offensief, maar daar hebben we wel alle spelers zowel vanuit de private als vanuit de overheidssector voor nodig.”
De conclusie van dit onderzoek wijst uit dat de mentaliteit veranderd moet worden en beveiliging niet simpelweg meer gezien kan worden als een verdedigingsoefening. Beveiliging maakt in feite digitale innovatie mogelijk en zorgt uiteindelijk voor een beter financieel resultaat.