Gastblog: Jan Martijn Broekhof - Managing Director Guardian360
Dat databeveiliging een steeds dominanter onderwerp geworden is, mag duidelijk zijn. De onvolwassenheid van zowel afnemers als aanbieders zorgt echter voor verkeerde keuzes en een toenemend aantal uitdagingen. Daardoor worden organisaties niet beter beveiligd. Sterker nog: in sommige gevallen leidt deze situatie tot nog meer onveiligheid! Hier moet verandering in komen! Hoe ziet dat eruit?
Waar staan we nu?
Momenteel zijn er zoveel digitale bedreigingen voor organisaties dat het onmogelijk lijkt om je daartegen te wapenen. Hackers, datalekken en ransomware zijn dagelijks in het nieuws. Over de hele wereld hebben mensen last van digitale ellende. Niet alleen banken en defensiebedrijven hebben last van online criminelen, ook MKB-ers beginnen de gevolgen te ervaren. Daarbij is er een flink aantal partijen dat legio oplossingen biedt, je ziet door de bomen het bos niet meer. Onduidelijk is wat nu echt een bedreiging voor jouw organisatie is en wie of wat daar een werkende oplossing voor biedt. Databeveiligers hebben de neiging om vooral de zaken te benoemen die mis kunnen gaan. De AVG is aangegrepen om te schermen met hoge boetes. Daardoor is er veel angst, onzekerheid en twijfel binnen managementteams van organisaties. Het resultaat daarvan is dat organisaties in verkeerde middelen investeren. Of helemaal maar niet meer investeren, want het zal toch wel geen zin hebben…
Doordat we het kennelijk handig vinden om alles aan het internet gekoppeld te hebben, maken we onze IT-omgeving eerder onveilig in plaats van veiliger. Je IP-camera koppelen aan je thuis-WIFI dat je ook voor je werk gebruikt? Inmiddels lijkt het de normaalste zaak van de wereld. Handig inderdaad, maar niet zo veilig. Helaas komen er steeds meer “smart” prullen die aan netwerken geknoopt gaan worden. Databeveiliging is steeds weer een ondergeschoven kindje. Hierdoor krijgen kwaadwillenden alleen maar meer kans om kwaad te doen.
Totale mismatch
Er is sprake van een totale mismatch tussen de beleving van klanten en die van databeveiligers. Hetzelfde geldt voor de verwachtingen van eindgebruikers ten aanzien van databeveiliging en de databeveiligers die het moeten regelen. Ook klopt de wijze waarop wij naar aanvallers en verdedigers kijken niet. De manier waarop we databeveiliging nu proberen te doen, past helemaal niet bij de arbeidsmarkt. Klanten gaan ervan uit dat de spullen die ze kopen dataveilig zijn. Net zoals je geen keukenapparatuur kunt kopen zonder keurmerk waaruit blijkt dat het apparaat deugt, denken klanten dat alle apparaten die aan het internet gekoppeld worden ook veilig zijn. Dat is natuurlijk niet gek: jarenlang zijn klanten verwend met apparaten die alleen maar veiliger en meer betrouwbaar werden, juist door die keurmerken. Eindgebruikers gaan er daarnaast vanuit dat databeveiligers 100% veiligheid kunnen realiseren. Door een next-gen hutsefluts te kopen, denkt men dat alle cyberellende buiten de deur gehouden kan worden.
Veel databeveiligers zijn daarnaast bezig om problemen op te sporen, in plaats van oorzaken te verhelpen. Het is net als bij voetbal: de aanvallers krijgen alle lof als ze mooie doelpunten maken, maar de keeper die zijn doel schoonhoudt, doet gewoon zijn werk. Als je een auto kunt hacken, ben je de gevierde jongen. Als je een kwetsbaarheid vindt in een website of netwerk, dan krijg je veel lof en soms zelfs een beloning. Echter de databeveiligers die er juist voor zorgen dat de oorzaken van veel databeveiliging problemen worden weggenomen, die blijven vaak met lege handen achter. Het is kennelijk niet sexy om kennis over te dragen aan systeem- en netwerkbeheerders waardoor IT-omgevingen veiliger worden. Of het ondersteunen van webdevelopers door ze veiliger te laten programmeren. Zo lang je de oorzaak niet oplost, wordt het echt niet veiliger.
Momenteel is er een schreeuwend tekort aan databeveiligers. Dat tekort wordt alleen maar groter, want databeveiliging wordt een steeds relevanter thema voor organisaties. Kennelijk zijn we ervan overtuigd dat we deze databeveiligers gaan vinden, want we geloven nog steeds dat arbeidsintensief handwerk ons veiliger gaat maken. Binnen de IT zijn al weinig goede mensen te vinden, daarbinnen zijn we ook nog eens op zoek naar mensen met hele specifieke kennis en vaardigheden. Spoileralert: die zijn nauwelijks te vinden en ook niet binnen nu en vijf jaar op te leiden. We zullen dus een andere modus operandi moeten vinden om het tij te keren.
Wat gaat er de komende jaren veranderen?
In de komende vijf jaar zal een aantal ontwikkelingen zichtbaar worden:
1) Security wordt permission to play
Eindklanten verwachten van hun leveranciers en dienstverleners dat zij aan kunnen tonen dat zij er alles aan doen om veilige producten en diensten te leveren. Kunnen zij dit niet, dan worden ze uitgesloten van aanbestedingen en selectietrajecten.
2) Er komen bonussen voor oplossingen
Informatiebeveiligers die zorgen voor blijvende oplossingen zullen beloond worden. Organisaties zullen inzien dat het veel meer loont om die bonussen uit te keren, dan elke keer een pleister te plakken en de aanvaller te belonen.
3) De mystiek rondom hackers is verdwenen
Mensen gaan inzien dat databeveiliging ook gewoon werk is dat door normale mensen wordt uitgevoerd. Natuurlijk heb je bepaalde kennis en ervaring nodig, maar de bovennatuurlijke gaven die door Hollywood worden toebedeeld, zijn echt geen werkelijkheid. Ook ‘gewone’ systeembeheerders zullen informatiebeveiligers geworden zijn.
4) Het laaghangende fruit zal verdwenen zijn
Ontwikkelaars van besturingssystemen en browsers maken een enorme inhaalslag. Daardoor zullen eenvoudig te detecteren en te misbruiken kwetsbaarheden in systemen snel verdwijnen. Alleen echt goede hackers zullen nog in staat zijn om nieuwe kwetsbaarheden te ontdekken. Organisaties zullen daardoor echt veiliger gaan worden.
5) Databeveiliging wordt minder arbeidsintensief
Doordat we accepteren dat we toch niet genoeg mensen kunnen vinden om handmatig databeveiligingstaken uit te voeren, gaan we meer automatiseren. Het Guardian360-platform is hier een voorbeeld van. De komende jaren gaan we steeds meer handelingen van hackers automatiseren zodat deze vaker en goedkoper uitgevoerd kunnen worden en organisaties zich beter kunnen gaan wapenen.