Security: een continue spagaat

April 26, 2016
Security: een continue spagaat

Blog by Erik de Geus,

Er is de laatste tijd (weken, maanden en zelfs dagen) geregeld over geschreven over het onderwerp beveiliging. Vanmorgen las ik nog een artikel in een van de Nederlandse ochtendkranten over werkdruk bij een van de speciale diensten, de staatsdienst Bewaken en Beveiligen (DBB). Dit is de dienst die ons Koninklijk Huis en politici beveiligt. Het is een veelbesproken thema en de diverse fysieke aanslagen in bijvoorbeeld Brussel en Parijs laten zien dat het een essentieel onderdeel is van onze maatschappij.

In dit blog wil ik echter dieper ingaan op digitale beveiliging. Wie de media de laatste tijd ook gevolgd heeft, weet dat er digitaal eigenlijk dagelijks “aanslagen” worden gepleegd. Gelukkig is het fysieke leed daarbij relatief beperkt gebleven, echter is er ook bij digitale “aanslagen” sprake van dergelijk leed.

Neem bijvoorbeeld het artikel uit de Financiële Telegraaf van woensdag 17 februari: “Hackers gijzelen ziekenhuis VS en eisen € 4 mln losgeld”. Op het eerste gezicht lijkt dit een onschuldige hack bij het Presbyterian Medical Center in Californië. Wat blijkt, echter, de hackers hebben het ziekenhuis door middel van ransomware digitaal platgelegd. Artsen kunnen niet meer bij de patiëntgegevens en medische apparatuur welke verbonden is met het internet werkte ook niet meer. Het gevolg was dat het ziekenhuis patiënten heeft moeten overplaatsen naar andere locaties. Een voorbeeld van fysiek leed door een digitale “aanslag”.En denk nu niet dat dit alleen in Amerika gebeurt. Recentelijk gebeurde hetzelfde ook in Duitsland.

Wekelijks spreek ik met onze klanten, zowel binnen als buiten de gezondheidszorg, die allemaal aangeven dat ze in het afgelopen jaar gehackt zijn of dat er pogingen daartoe gedaan zijn. Het is eigenlijk heel eenvoudig: de vraag is niet of je gehackt wordt, maar meer wanneer het gebeurt en of het niet al heeft plaatsgevonden. Met de nieuwe wet Meldplicht Datalekken wordt het wel belangrijk voor de directeuren en bestuurders van organisaties om te zorgen dat de beveiliging goed geregeld is. Want het niet tijdig melden van datalekken zou kunnen resulteren in boetes die kunnen oplopen tot € 810.000,- of zelfs 10% van de jaaromzet.

De uitdaging is nu: hoe kun je in de hedendaagse digitalisering borgen dat je enerzijds de organisatie digitaal beveiligt en er anderzijds voor zorgt dat de organisatie en de gegevens beschikbaar zijn voor de relevante processen? Dit is een continue spagaat waar alle organisatie een antwoord op moeten vinden.

Het is eigenlijk dezelfde spagaat waar ook de dienst Bewaken en Beveiligen mee te maken heeft. De beste beveiliging van ons Koninklijk Huis en politici is om ze in een zwaarbewaakt kasteel, met slotgracht en beveiligers, op te sluiten en ze niet onder de mensen in het openbare leven te laten begeven. Echter vereist hun functie juist dat ze zich met grote regelmaat onder de mensen begeven. Met alle risico’s van dien.

IT-organisaties zitten ook in zo’n spagaat: hoe kunnen we al onze IT-systemen zo flexibel en open mogelijk maken, en er tegelijkertijd voor zorgen dat alles veilig is en het risico op datalekken zo klein mogelijk maken?

Een fantastisch voorbeeld van hoe een security-lek op een flexibele manier is ondervangen zonder dat het bedrijfsproces stilviel, is de volgende.

Ik sprak recentelijk een klant die in een specifiek weekend een belangrijke marketingcampagne had. De vrijdagavond daarvoor kwam het telefoontje dat er een security-lek ontdekt was in de applicatie-omgeving die de bewuste marketingcampagne moest ondersteunen. Uitstellen van de campagne was natuurlijk wel het laatste wat men wilde, want in de huidige omgeving van multimediale marketing waren de mailings de deur al uit, de radiocommercials ingepland en moest de omgeving klaar zijn om alle traffic te kunnen behandelen.

Doordat deze klant het software-defined datacenter tot in de puntjes verzorgd heeft, kon men meteen ingrijpen:
1. De geïnfecteerde IT-omgeving werd uit de productie-omgeving gehaald
2. Een schone omgeving werd teruggezet
3. De marketingcampagne kon gewoon doorgaan
4. Ondertussen kon een gespecialiseerd security-bedrijf digitaal forensisch onderzoek op de geïnfecteerde omgeving doen
5. Het einde van het weekend bleek dat er geen persoonsgegevens waren buitgemaakt en dat het lek geen schade had toegebracht

En het allermooiste is dat deze handelingen (m.u.v. het forensisch onderzoek natuurlijk) door een “algemene” ICT Consultant zijn verricht. Oftewel: er is geen diep technische netwerkspecialist of security-specialist nodig geweest.

Dit voorbeeld geeft mooi aan hoe het software-defined datacenter klanten kan helpen om enerzijds de openheid en flexibiliteit te kunnen bieden, maar anderzijds ook beveiliging te kunnen garanderen.

Graag wil ik de lezer uitdagen om te achterhalen hoe het beveiligingsspagaat in de eigen organisatie is geregeld. En of het überhaupt is geregeld. Laat het hieronder weten!


 
Related Posts
 
 
 
Blog Archive