IT is voorgoed veranderd - Watskeburt

IT is voorgoed veranderd

Published Sunday, June 05, 2011 10:54 PM

Al eerder heb ik geschreven over de toegenomen dreiging van cybercrime in mijn post over Advanced Persistent Thread (APT). Criminele organisaties, maar ook organisaties die aan overheden kunnen worden gelieerd, houden zich op uiterst professionele manier bezig met het zeer gericht ontfutselen van waardevolle informatie. Ondertussen verschijnen er steeds meer berichten in de media over cyberaanvallen in allerlei soorten en maten. Sommige aanvallen worden breed uitgemeten, zoals de succesvolle aanval op het Playstation netwerk van Sony, de inbraak bij security bedrijf RSA en de afgeslagen poging om een groot aantal Gmail accounts te kraken. Ook de aanval met het Stuxnet virus heeft voor de nodige beroering gezorgd. En terecht, want Stuxnet wordt door deskundigen gezien als één van de gevaarlijkste computervirussen tot nu toe. Stuxnet is het eerste virus dat op grote schaal is ingezet voor aanvallen op industriële systemen. Deze systemen worden bijvoorbeeld gebruikt in energiecentrales en bij de communicatie met satellieten. Het is niet moeilijk om voor te stellen dat de mogelijke consequenties enorm zijn. En dan is er nog een hele rij met incidenten die minder aandacht hebben gekregen maar die ook voor een slechte nachtrust zouden moeten zorgen. Enkele voorbeelden zijn de aanval op het Canadese Ministerie van Financiën, de aanval op de Franse overheid in aanloop naar de G20 vergadering, de poging tot inbraak bij de Europese Unie en de recente poging om het netwerk van defensie gigant Lockheed-Martin te kraken. En dan is dit nog maar het topje van de ijsberg. De meeste aanvallen, waarbij organisaties soms jarenlang ongemerkt leeggezogen zijn, halen bijna nooit de publiciteit.

blog

Nationale veiligheid

Cybercrime is allang niet meer een grote zorg voor alleen IT afdelingen. Het is een kwestie van nationale veiligheid. In Nederland heeft de AIVD recent opnieuw gewaarschuwd voor de toename in cybercriminaliteit en de mogelijke gevolgen. De ernst van de situatie wordt ook geïllustreerd door de reactie van het Amerikaanse Pentagon op de aanval op Lockheed-Martin. Een cyberattack kan worden opgevat als een oorlogsverklaring: “If you shut down our power grid, maybe we will put a missile down one of your smokestacks," aldus een woordvoerder van het Pentagon. Niet bepaald een geruststellende gedachte.

Onomkeerbaar

Binnen ons team infra consultants hebben we regelmatig discussies over dit onderwerp. Wij komen dagelijks bij grote bedrijven over de vloer en weten hoe lastig het is voor grote, internationaal opererende organisaties om zich goed te beschermen tegen dit soort geavanceerde bedreigingen. De schaal en complexiteit van de IT infrastructuur, de aanwezigheid van vele legacy systemen en het feit dat bijna alle grote organisaties (delen van) IT aan externe partijen hebben uitbesteedt maken de uitdaging immens. Een collega sloeg de spijker wat mij betreft precies op de kop door te concluderen dat IT voorgoed is veranderd. Alsof IT zijn onschuld definitief verloren is. IT ontwikkelt zich razendsnel en dat geldt helaas ook voor cybercrime. Slechts 10 jaar zit er tussen CodeRed en Stuxnet, maar het is een fundamentele en onomkeerbare verandering.

Fact of life

Cybercrime is waarschijnlijk net als “gewone” criminaliteit iets waar we maar aan moeten wennen en mee moeten leren leven. Dat betekent natuurlijk niet dat we niets kunnen en moeten doen. Er valt ook veel te doen. Bij veel van de genoemde voorbeelden werd er gebruikt gemaakt van relatief eenvoudige middelen. Vaak wordt een combinatie van bekende beveiligingsgaten en ouderwets “social engineering gebruikt om binnen te komen.

3 stappen

Basis beveiligingsmaatregelen zijn een absolute must. Maar 100% beveiliging tegen cybercrime is een utopie. Het is daarom zaak om een goede afweging van de risico’s te maken. De eerste stap is het identificeren van de meest belangrijke data en applicaties en daar een risico plan voor opstellen. Als tweede is het essentieel dat de basis infrastructuur veilig is. Dus zaken als patch management, monitoring, ‘system hardening’, eindgebruikers training en data classificatie om er maar een paar te noemen zijn absoluut randvoorwaardelijk. Beveiliging is zo goed als de zwakste schakel. En als laatste is het goed om te weten hoe je organisatie er voor staat zodat je van daaruit bewust kunt werken aan een hoger niveau van volwassenheid. Microsoft hanteert een Cybersecurity Maturity Model, gelijk aan de aanpak in het Microsoft Infrastucture Optimization (IO) model. Ook voor beveiliging is het goed om duidelijk doelstellingen vast te stellen.

image

De gevolgen

Ik denk wel dat de toename van cybercriminaliteit gevolgen zal hebben voor de manier waarop organisaties omgaan met IT en met het Internet. Het Internet speelt een steeds grotere rol in de IT strategie van veel organisaties, vaak versterkt door de trend die wordt aangeduid als Consumerization. Toch is het in de huidige tijd geen raar idee om de echte kritische systemen volledig los te koppelen van het Internet. Naarmate de cybercriminaliteit toeneemt, zal ook de roep om meer controle en toezicht op het Internet toenemen en zal de discussie over netneutraliteit verder oplaaien. 

Wat denk jij? Bangmakerij of een potentiele bedreiging voor het open Internet zoals we dat vandaag kennen?

door Rob van Megen
Opgeslagen onder: , , , , , , , , , ,

Commentaar:

Geen commentaar

Wat denkt u?

(Verplicht) 
(Verplicht) 
(Optioneel)
(Verplicht) 
CaptchaCube Vraag:


Antwoord: