Cybercriminaliteit is een fact of life
“Controle is geen utopie,” vervolgt hij. ”Het is wél een illusie om te geloven dat een cyberaanval of datalek jou nooit overkomt. Ik kijk naar cybercriminaliteit als naar een fact of life. Net zoals er in je pand kan worden ingebroken, kan je vroeg of laat het slachtoffer zijn van een ransomware-aanval of een andere vorm van cybercrime. Die kans is zelfs groot, je moet er gewoon goed op voorbereid zijn.”
Is die realiteitszin rond cybercrime al goed ingeburgerd, denk je?
Voskeuil: “Hangt er vanaf. Bij corporate ondernemingen vaak wel, maar bij middelgrote tot kleine organisaties nog te weinig. Daar zie je soms nog een zekere desinteresse bij CEO’s. Cybersecurity is ‘technisch’ en ‘eng’, en dus iets voor de CIO of IT. Die krijgt een zak met geld – volgens veel CEO’s ook teveel geld, hoewel ze er zelden een benchmark bijhalen – en moet vervolgens zijn of haar kunstje uithalen om ervoor te zorgen dat het bedrijf 100 procent beveiligd is. Gaat het toch mis, dan is die CIO de gebeten hond. Ik vind dat een heel bijzondere manier van naar security kijken.”
“Ik maak graag de vergelijking met een huis. Stel dat je een peperduur alarmsysteem hebt laten installeren met directe doormelding naar de politie, maar je kinderen laten voortdurend de deuren open staan. Is een inbraak dan jouw schuld of die van het beveiligingsbedrijf? Kijk, wat ik wil zeggen is: security ‘bewust’ zijn en je gezond verstand gebruiken, dat is niet ‘iets voor IT’ alleen, het geldt voor iedereen. Het alarmsysteem kan een heel goede investering zijn, maar het is nooit waterdicht.”
Vandaar de nadruk op awareness-trainingen? En monitoring technieken?
Voskeuil: “Klopt helemaal, maar ook met het beste awareness-programma kan het gebeuren dat werknemers op phishing mails klikken of ten prooi vallen aan social engineering, met nare gevolgen. Dat moet je incalculeren. Het komt erop aan om veel breder in te zetten: op bewustwording, op preventie, op monitoring, op business continuity, en dat allemaal alles op basis van een gezonde risk appetite. Daarbij moet de security-afdeling de business volgen, zodat het geen doel op zich is, of wordt. Een holistische, goed doordachte, goed gedocumenteerde security-aanpak zorgt ook voor minder paniek op het moment dàt er iets gebeurt. Het gevoel in control te zijn, dat is cruciaal.”
“Een holistische, goed doordachte, goed gedocumenteerde security-aanpak zorgt ook voor minder paniek op het moment dàt er iets gebeurt. Het gevoel ‘in control’ te zijn, dat is cruciaal.”
“We zien vandaag inderdaad heel veel focus op onze monitoring tools en diensten zoals MDR (Managed Detection & Response), EDR (Endpoint Detection & Response) en NDR (Network Detection & Response). Logisch, want die stellen je in staat in een vroeg stadium afwijkingen te detecteren en dus sneller in te grijpen, al dan niet geautomatiseerd, waardoor je ook de eventuele schade beperkt. We hebben bij Cegeka een uitgekiend MDR aanbod, waarmee we klanten end-to-end ontzorgen. Omdat het een ‘managed’ dienstverlening is, hebben klanten geen of beperkte kennis en resources nodig, én zijn ze vaak goedkoper uit dan dat ze het zelf doen.”
Waar komt volgens jou de grootste bedreiging vandaan, op het vlak van security?
Voskeuil: “Een wat verrassend antwoord misschien, maar toch: het globale en nijpende tekort aan senior profielen, mensen met een flink aantal jaren ervaring op de teller als het gaat om cybersecurity. Iedereen voelt die. Vandaar dat we bij Cegeka continu fors inzetten op recruitment en opleiding. Momenteel loopt er een internationale ‘Aspire to More’-campagne. Daarmee willen we niet alleen op het vizier blijven bij die seniors, maar er vooral voor zorgen dat méér mensen zich gaan specialiseren in het domein.”
“Daarnaast zorgt de implementatie van nieuwe technologieën ook wel voor uitdagingen. Er zijn bijvoorbeeld nog niet zoveel partijen die echt kaas hebben gegeten van hoe je de security inregelt op een werkvloer met een 5G-mobiel privaat netwerk en diverse IoT-endpoints (Internet of Things). Dat is nieuw. Komt nog bij dat sommige nieuwe technologie cybercriminelen in de kaart speelt. 5G bijvoorbeeld kan ervoor zorgen dat bij een datalek de data ook veel sneller naar de criminele organisatie doorstroomt.“
Er zijn bijvoorbeeld nog niet zoveel partijen die echt kaas hebben gegeten van hoe je de security inregelt op een werkvloer met een 5G-mobiel privaat netwerk en diverse IoT endpoints. Bij Cegeka zijn we zowel met IoT als met 5G bezig, en we buigen ons dan ook nu al over dat soort vraagstukken.”
“Bij Cegeka zijn we zowel met IoT als met 5G bezig (Noot: Cegeka nam in 2020 de Belgische 5G-pionier Citymesh over, en ambieert om de 4e telecomprovidor te worden), en we buigen ons dan ook nu al over dat soort vraagstukken. Die zullen er in de toekomst alleen maar méér zijn, want die technologieën zullen onze samenleving drastisch gaan veranderen en op termijn gemeengoed worden. Zoals vaak wordt gezegd: de perimeter van het IT-landschap dijt steeds verder uit, het aantal endpoints dat moet beveiligd worden – zeker met IoT – neemt alsmaar toe. IT en OT (Operational Technology) raken steeds meer verweven met elkaar.”
En de COVID-19 crisis, wat is daar de blijvende impact van, denk je?
Voskeuil: “De massale en plotse omschakeling naar thuiswerken, maakt voor mij heel duidelijk dat we security anders moeten gaan bekijken en aanvliegen. Nu iedereen overal, altijd en op elk type device toegang heeft of wil hebben tot allerlei bedrijfsdata, moeten we de klassieke focus op infrastructuur loslaten en naar data verschuiven, met dataveiligheid en integriteit voorop.” Ook moeten er uitgangspunten gehanteerd worden als ‘ZeroTrust’ en ‘Assume Breach’. Kort door de bocht: in principe niemand vertrouwen die bij de data wil en er altijd vanuit gaan dat cybercriminelen al op je systemen zitten: je hebt het alleen nog niet gedetecteerd.”
“We moeten de klassieke focus op infrastructuur loslaten en naar data verschuiven, met dataveiligheid en integriteit voorop. Data moet leidend zijn, infrastructuur een afgeleide.”
“Data moet leidend zijn, infrastructuur een afgeleide: vorm volgt inhoud. De juiste vraag is bijvoorbeeld “wie mag bij welke data of data-onderdelen, op welke manier, en hoe zorgen we ervoor dat dit cybercriminelen niet de kaart speelt?”. Dan kom je vanzelf wel weer bij infrastructuur terecht, maar die mag niet de rode draad zijn, want dan denk je teveel in termen van sunk costs. Vandaar dat ik het liever heb over information security: daar hoort zowel cybersecurity als datasecurity onder.”
“Een bijkomend voordeel van de focus op data, is dat je een ‘mag niet’-verhaal kan ombuigen naar ‘zo-kan-het-wel’. CISOs die focussen op hoe je data op een veilige manier kan laten werken voor de organisatie, zie ik veel vaker door de business als sparringspartner aangehaakt worden. Ze krijgen meer gedaan dan de remmers-in-vaste-dienst die vooral met het vingertje zwaaien. De beste CISO’s zijn niet degenen die voor alles op de rem gaan staan, maar de business ondersteunen bij het behalen van bedrijfsdoelen.”
Hoe vliegen jullie bij Cegeka Nederland security aan?
Voskeuil: “Ik pleit altijd heel erg voor een holistische visie op security, in dienst van de business. Security loopt over drie assen, namelijk mensen, processen en techniek. Je moet gaan nadenken wat de slimste zetten zijn, over die drie assen heen, specifiek voor jouw situatie. Dat kunnen dingen zijn die geld kosten – en dan is het zaak je euros zo goed mogelijk te besteden, iets waar wij klanten in adviseren – maar het kunnen net zo goed procedures zijn. Denk bij dit laatste bijvoorbeeld aan het automatiseren van zogenaamde joiners & leavers-processen, wat niet alleen geld bespaart maar ook de veiligheid verhoogt.”
“Om terug te keren naar mijn metafoor van het huis: niet elk huis moet of kan op dezelfde manier beveiligd worden. Is het een alleenstaand huis? Wie wonen er? Wat is de functie ervan? Waar is het gelegen? Wat zijn de echt waardevolle of niet (snel) te vervangen erfstukken? Hoe zit het met vluchtwegen? De context, tesamen met de ‘Risk Appetite’, bepalen de aanpak. Daar starten we.”
“Niet elk huis moet of kan op dezelfde manier beveiligd worden. Is het een alleenstaand huis? Waar is het gelegen? Wat zijn de niet te vervangenerfstukken? Hoe zit het met vluchtwegen? Wie wonen er in het huis? De context bepaalt de juiste security aanpak.”
Wat wordt er volgens jou nog vaak onderschat als het om security gaat?
Voskeuil: “Wat we vaak zien gebeuren is dat bedrijven hun maturiteit op het vlak van security nog niet goed inschatten. Denken dat het wel meevalt en dat ze goed voorbereid zijn op een incident op basis van buikgevoel in plaats van feiten. Of plichtmatig doen wat andere bedrijven ook doen en vinden dat dat volstaat. Bij die bedrijven zit een groot gat tussen daar waar ze zouden willen zijn en daar waar ze werkelijk staan. En dit is niet altijd een kwestie van budget en resources, maar meer van onvoldoende kennis en aandacht, het onderwerp voldoende serieus nemen.”
“Zeker in sectoren waar IT geen deel uitmaakt van de core processen, wat vaak het geval is bij bijvoorbeeld overheid en zorg, is dit nog weleens een issue. Die zijn niet toevallig samen met financiële organisaties vaak het doelwit van criminelen. En juist bij organisaties waar kritisch gekeken wordt naar securitybudgetten en de resultaten, zie ik de veiligheid toenemen. Smart euro’s noem ik dat: slim investeren vanuit heldere uitgangspunten en doelen. Omdat je nu eenmaal niet alles (tegelijk) kan. ”
“Nu, het probleem zién, en er ook nog iets aan doén, dat is weer een heel ander verhaal. Put your money where your mouth is, zeg ik dan, en daar zie ik nog te vaak aarzeling. De toenemende media-aandacht voor cybersecurity en de coronacrisis lijken daar wel voor een verandering te gaan zorgen. Toezichthouders en andere stakeholders worden ook steeds strenger: je moet als bedrijf echt zwart op wit kunnen aantonen dat je er redelijkerwijs alles aan hebt gedaan om je goed te beschermen.”