Security noodzakelijk tegen cybercriminelen

Security noodzakelijk tegen cybercriminelen
De almaar toenemende mogelijkheden die internet het bedrijfsleven biedt, is koren op de molen van cybercriminelen. Een gesprek met securityprofessionals Elly van den Heuvel en Bart Hogendoorn die virtuele gevaren bestrijden. ‘De cyberwereld verandert zo snel, je loopt steeds achter de feiten aan.’

Een zestienjarige jongen zet een video op internet waarin hij een cyberaanval aankondigt op internetproviders en websites van de overheid. In Nederland cyberland worden zo ongeveer alle verloven ingetrokken.

Een paar dagen later laat minister Ivo Opstelten van Veiligheid en Justitie weten dat de politie de bevoegdheid moet krijgen om computers van anderen te hacken, om zo bestanden te kunnen doorzoeken. De nerveuze reactie van de minister laat zien hoezeer het onderwerp cybercriminelen de samenleving bezighoudt. Een goed moment om met Elly van den Heuvel, directeur van het Nationaal Cyber Security Centrum (NCSC), te spreken over het bestrijden van cybercriminelen. Ook Bart Hogendoorn, directeur van HP Nederland, houdt zich voortdurend bezig met cyber security. De eerste vraag is voor Elly van den Heuvel.

Op deze foto zie ik het team van NCSC. Dat bestaat overwegend uit mannen. U bent een vrouw en sinds 2008 general manager cyber security bij NCSC?
Van den Heuvel: ‘Ik doe dit werk omdat het leveren van een bijdrage aan het bestrijden van cybercriminelen er echt toe doet. Iedereen heeft of krijgt ermee te maken. Het is boeiend te werken in een wereld waarin niemand de baas is. Internet is van iedereen. Internet is anders, ongrijpbaar, daardoor ook lastiger. Je bent voortdurend bezig te kijken wie welke rol kan spelen en welke verantwoordelijkheden er zijn, of moeten zijn.’

U heeft uw baan te danken aan bedrijven als HP, die apparatuur hebben ontwikkeld die cybercrime mogelijk maken.
Elly van den Heuvel: (Lachend) ‘Ik heb het genoegen gehad een van de founding fathers van internet te ontmoeten, Vincent Cerf, de man die met Bob Kahn in 1973 de architectuur ontwikkelde van wat later internet zou zijn. Hij vertelde mij dat ze nooit hebben kunnen voorzien wat nu mogelijk is met internet en dat zij bij het bouwen ervan op geen enkele wijze rekening hebben gehouden met het onderwerp security. Dat maakt dat we nu achter de feiten aanlopen.’
Hogendoorn: ‘Internet is een technologie die, net als alle andere technologie in opkomst, zich steeds verder ontwikkelt. Bij het volwassen worden van welke technologie dan ook, komen er issues naar boven die gemanaged moeten worden. Security is zo’n issue en HP investeert dan ook in het ontwikkelen van oplossingen. Het mooie van internet is dat het maximaal openstaat voor gebruikers. Dat is ook meteen de zwakte. Maar open data heeft de toekomst. Het dient geen enkel doel internet op slot te gooien.’

Bij andere producten is het wettelijk zo geregeld dat de fabrikant aansprakelijk is voor fouten aan het product. In de internetwereld is dat niet zo. Is dat niet vreemd?
Van den Heuvel: ‘Eigenlijk ontstaat nu pas het gemeenschappelijk besef dat men ergens verantwoordelijk voor is. Internet serviceproviders bijvoorbeeld voerden heel lang het standpunt dat ze alleen maar een doorgeefluik zijn en nergens verantwoordelijkheid voor dragen. Die gedachte hebben ze inmiddels losgelaten.’
Bart Hogendoorn: ‘In het b2b-gebied is het in de ICT al usance dat er afspraken worden gemaakt tussen leverancier en afnemer inzake aansprakelijkheid. De directe schade die ontstaat door een security issue is iets dat besproken wordt tussen leveranciers en afnemers.‘

In de niet-virtuele wereld worden producten getest op veiligheid. Is het denkbaar dat er ook iets dergelijks komt voor hard- en software?
Hogendoorn: ‘Waar vroeger nadrukkelijk werd gekeken naar zaken als communicatie en functionele elementen, wordt security nu veel meer meegenomen. Overigens zijn er voor software die niet vanuit dat perspectief is ontwikkeld, voldoende tools om te testen hoe veilig de applicatie is. Iets anders is dat waar security vroeger iets was om reactief op te reageren, men op het ogenblik meer denkt vanuit scenario’s: hoe waarschijnlijk het is dat er op een of andere manier ergens iets gaat gebeuren.’

Ik zie de rol van HP in deze waardeketen verschuiven. Het bedrijf moet zijn eigen gegevens beschermen, maar door een ontwikkeling als cloud computing heeft het ook steeds meer de verantwoording voor informatie van derden, in de datacentra die HP daarvoor beschikbaar heeft.
Bart Hogendoorn: ‘Je hoort dat mensen of bedrijven zich afvragen of hun gegevens wel veilig zijn in de cloud. Feit is dat hun gegevens daar net zo veilig zijn als in een eigen datacenter. Wel zijn de risico’s in een cloudomgeving anders. Daar moet een analyse van worden gemaakt.’

Cloud computing is een voorbeeld van hoe internettechnologie zich ontwikkelt. Hoe kijkt het NCSC vanuit het oogpunt van beveiliging aan tegen een ontwikkeling als cloud computing?
Elly van den Heuvel: ‘Het is een ontwikkeling waarin we moeten meegaan, maar die wel veilig moet zijn. We hebben zojuist een whitepaper gepubliceerd over de risico’s die we zien met betrekking tot cloud computing en waar je op moet letten. Ons perspectief is dat honderd procent veiligheid niet bestaat en dat je goed moet overwegen welke eisen je stelt en welke maatregelen je neemt.’

Heeft HP het concept cloud getest op veiligheid?
Hogendoorn: ‘Cloud is meer dan een concept. Het is een concreet utilitymodel met de nodige fysieke gevolgen. En ja, we laten op de cloudmodellen die we aan klanten bieden natuurlijk ook een risicoanalyse los. Maar verder is cloud niets anders dan een stap in het volwassen worden in onze industrie, een normale stap in een technologische evolutie.’

NCSC is opgericht met als doel vitale organisaties in Nederland in de virtuele wereld veilig te laten opereren. Hoe doet u dat? Wat is uw rol?
Van den Heuvel: ‘Niet door de veiligheid van deze organisaties over te nemen. Iedereen is en blijft verantwoordelijk voor zijn eigen veiligheid. Wij ondersteunen organisaties door incident response en door onze kennis door te geven in factsheets en whitepapers. Dagelijks verstrekken wij veiligheidsadviezen op onze website. Op boardroomniveau proberen we awareness te krijgen en er zo voor te zorgen dat organisaties investeren in hun eigen veiligheid.’

Wat zijn de belangrijkste bedreigingen van dit moment?
Elly van den Heuvel: ‘We geven jaarlijks het Cybersecuritybeeld Nederland uit, waarin we schrijven over de regie die het NCSC voert. Inlichtingendiensten, het Ministerie van Defensie, banken en andere organisaties leveren een bijdrage. Daar kwam onlangs uit dat spionage een groot probleem is bij zowel de overheid als de private sector. Hacken dus. Andere bedreigingen zijn identiteitsfraude en gerichte aanvallen. Het centrum is, voor alle duidelijkheid, geen opsporingsorganisatie. Het Team High Tech Crime van de KLPD is de opsporingsorganisatie, terwijl de AIVD zich bezighoudt met zaken die het landsbelang in gevaar brengen.’

Het werken aan cybercriminaliteit is niet alleen maar oog hebben voor technologie. Cybercriminelen zoeken altijd de makkelijkste ingang naar databases. Dat zwakke punt is steeds meer de mens. Ik hoor u dat niet noemen in het lijstje van grootste bedreigingen?
Van den Heuvel: ‘Daar heeft u een punt. Door ontwikkelingen als bring your own (BYO), consumerization en sociale media als Facebook, wordt internet steeds gebruikersvriendelijker, maar niet altijd veiliger. Daar is eigenlijk maar één ding aan te doen: het creëren van awareness. Nu kun je aan gebruikers niet vragen om goed op te letten of het device waarmee ze werken wel veilig is. Dat is vaak te complex. Daarom wil ik heel graag praten met leveranciers van software en hardware, om zoveel mogelijk aandacht te besteden aan veiligheid.’
Bart Hogendoorn: ‘Je moet er vanuit gaan dat al die apparaten niet veilig zijn. Je moet security op een ander level organiseren.’
Elly van den Heuvel: ‘Organisaties die BYO en sociale media omarmen, kunnen wel hun medewerkers ervan bewust maken dat ze sommige zaken gewoon niet moeten doen.’

En als ze niet luisteren?
Van den Heuvel: ‘Dan lijkt het me verstandig dat je daar als organisatie consequenties aan verbindt. Het is verder niet aan mij om te zeggen wat, maar je moet wel bepaald gedrag afstraffen.’
Hogendoorn: ‘BYO is een ontwikkeling in de ICT. Dat houd je niet tegen, moet je ook niet willen. Elly heeft het over gedrag van medewerkers. Ik denk dat mensen toch wel doen wat ze eigenlijk niet zouden moeten doen. Maar je kunt bepaald gedrag wel detecteren. Die informatie is goed uit systemen te halen. Mensen creëren vaak onbewust risico’s, maar voor de rest: installeer tools om bepaalde gedragspatronen te herkennen. Zo merk je het wanneer iemand bijvoorbeeld ad random probeert passwords te achterhalen. Het intrigeert mij altijd dat mensen in de virtuele wereld dingen doen die ze anders niet doen.’
Van den Heuvel: ‘Het is helaas een onderwerp waarin ouders hun kinderen niet kunnen helpen. Het is vaak andersom. Ik zie hier wel een rol voor het onderwijs weggelegd. Overigens niet alleen om awareness te creëren, maar ook omdat ik zit te springen om goed personeel.’

Kan HP dat gat van onvoldoende personeel opvullen?
Hogendoorn: ‘We willen best aan een uitwisselingsprogramma meewerken. Ik geloof overigens meer in continu opleiden van medewerkers. De cyberwereld verandert zo snel dat tegen de tijd iemand klaar is met een opleiding, hij al weer achter de feiten aanloopt. Er zou hier een mooie samenwerking kunnen ontstaan tussen overheid en private sector. Je kunt op kleine schaal beginnen.’

Hoe is de samenwerking met het bedrijfsleven binnen het NCSC georganiseerd?
Van den Heuvel: ‘Het centrum heeft al een goede publiek-publieke samenwerking. Elke publieke organisatie die iets te maken heeft met cyber security of cybercrime heeft een liaison binnen NCSC: AIVD, OPTA, Defensie, SIDN, het OM, het NFI en het KLPD. We zijn nu bezig om de publiek-private samenwerking vorm te geven. Ik wil heel graag samenwerken met bedrijven die een algemeen belang of een sector kunnen vertegenwoordigen, en niet zozeer hun eigen bedrijf.’
Hogendoorn: ‘Dat is inderdaad logisch en gewenst. Het is ook in ons voordeel dat klanten en overheid het gevoel hebben dat ze internettechnologie op een veilige manier kunnen inzetten. Dat ze niet het risico lopen van alle kanten bestookt wordt. Dat houdt innovatie tegen.’

Hoe is de samenwerking internationaal georganiseerd?
Elly van den Heuvel: ‘Minimaal 43 landen voeren hetzelfde werk uit als het NCSC. Voorts zijn er wereldwijd ongeveer tweehonderd computer emergency response teams van overheden of grote bedrijven, die met elkaar samenwerken. Informatie over nieuwe ontwikkelingen wordt met elkaar gedeeld. Ook binnen de EU gebeurt er veel. Ik zit hier niet in mijn eentje te denken: goh, hoe los ik het op. ’

De AIVD zei een paar jaar geleden dat er op elke hoek van de straat wel een terrorist kon worden gezien. Als je langdurig in de wereld van cybercrime vertoeft, bestaat dan de kans dat je overtrokken reageert?
Van den Heuvel: ‘Ja, en daarom brengen we Cybersecuritybeeld uit, omdat we niet alleen willen weten wat de grootste bedreigingen zijn, maar ook wat de toegebrachte schade is. Het in kaart brengen van de geleden schade is lastig, daar hebben we ook de private sector voor nodig. Niet ieder bedrijf wil vertellen hoeveel schade ze hebben geleden. En dan is er nog het probleem van standaardisatie, om geen appels en peren met elkaar te vergelijken. We willen het risico niet overschatten, maar ook niet onderschatten.’
Hogendoorn: ‘In sommige gevallen hoef je dat ook helemaal niet te kwantificeren, omdat het zonneklaar is dat een aanval een impact heeft. Financieel, voor het imago of het vertrouwen.’

Moet je de omvang van schade kunnen kwantificeren om investeringen in security te rechtvaardigen?
Van den Heuvel: ‘De hack bij Diginotar heeft duidelijk gemaakt dat er in Nederland werk aan de winkel is. Mede daardoor is er nu geld beschikbaar en er is een cyber security strategie om de publiek-private samenwerking van de grond te doen komen. De vraag of je kunt doorschieten is een terechte. Je hebt een reëel beeld nodig van de omvang.’
Hogendoorn: ‘Omdat honderd procent veiligheid niet bestaat, zouden bedrijven wellicht een voorziening op de balans kunnen opnemen, zoals ook wordt gedaan voor dubieuze debiteuren. Hoeveel dat moet zijn, dat is een lastige. Bij dubieuze debiteuren is er informatie uit het verleden, zodat kan worden geëxtrapoleerd naar de toekomst. Maar je zou er wel iets voor op de balans kunnen zetten. Voor een bank zou dat misschien meer moeten zijn dan voor een broodfabriek of overheidsinstantie.'
Van den Heuvel: ‘Het is ook van belang bij ieder ICT-project een bepaald percentage uit te trekken voor beveiliging. Hoeveel? Dat vind ik ook situationeel bepaald’.

Wat kan een bedrijf zelf doen om de veiligheid te vergroten?
Hogendoorn: ‘Als er in een complexe omgeving zoals de cloud ook security moet zijn, dan zou ik als ik ceo van een niet-ICT-bedrijf op zoek gaan naar een partij die me kan helpen bij het inrichten van een veilige ICT-infrastructuur.’
Van den Heuvel: ‘Een bedrijf moet niet denken: ik besteed het uit en dan is het probleem helemaal weg. Ik kom te vaak zaken tegen die mis zijn gegaan, terwijl dat op een redelijk eenvoudige manier voorkomen had kunnen worden als mensen gewoon gepatcht hadden en onze adviezen hadden opgevolgd. Daarvoor voeren ze allerlei redenen aan, bijvoorbeeld omdat ze voor het patchen het bedrijfsproces moeten stilzetten en dat niet willen of kunnen.’
Hogendoorn: ‘Maar dat is een security issue. Dat speelt al jaren.’

Het dubbelinterview met Elly van den Heuvel en Bart Hogendoorn over security en cybercriminelen is gepubliceerd in Management Scope 11 2012.

facebook