9 fundamentele veranderingen in IT-dreigingen tot 2018

31-03-2016

Bijvoorbeeld cloudfragmentatie en disclosure-dictatuur leiden tot beveiligingsrisico's.

IT is een immer sterk veranderlijk gebied en uiteraard leiden die veranderingen tot nieuwe inzichten en aanpakken wat betreft security. Dit zijn de trends waar IT'ers en specifiek informatiebeveiligers de komende tijd mee te maken krijgen.

De non-profit Internet Security Forum brengt jaarlijks zijn Threat Horizon-rapport uit dat gaat over dreigingen waar IT-beveiliging mee te maken heeft. Ook loopt het vooruit op veranderingen in deze wereld waar IT'ers rekening mee moeten houden. Het rapport kijkt vooruit voor de komende twee jaar en legt de vinger op een aantal zere plekken.

We destilleren 9 veranderingen uit het rapport die zijn onder te verdelen in drie overkoepelende thema's over beveiliging: gevolgen van de komst van nieuwe technologie, de druk op beveiligers van binnenuit door bedrijven die de verkeerde zetten doen en het groeiende interventionisme van overheden op IT-gebied. Laten we beginnen met het eerste thema:

Thema: Adoptie van nieuwe technologie zorgt voor fundamentele veranderingen in het dreigingslandschap.

Technologie is al een integraal onderdeel van het dagelijkse leven geworden, maar het ISF voorziet uiteraard groei voor zowel binnen het privé- als het zakelijke domein. "Organisaties beginnen steeds beter te begrijpen hoe ze de effecten van technologische vooruitgang beter kunnen benutten voor het bedrijf, in plaats van dat ze deze ontwikkelingen zoveel mogelijk buiten de deur proberen te houden", zegt ISF-directeur Steve Durbin.

Dat is een trendbreuk met het eerste decennium van deze eeuw, toen dingen als BYOD en cloudmiddelen juist zoveel mogelijk werden beperkt. De omarming van nieuwe trends die eraan komen, zorgt voor meer connectiviteit en al die bewegende onderdelen zorgen voor een groter aanvalsoppervlak. Dat betekent dat bedrijven zich blootstellen aan meer en nieuwe dreigingen in een complexer wordende wereld.

1: IoT lekt gevoelige bedrijfsinformatie

Het Internet of Things groeit fors omdat de waarde van realtime dataverzameling steeds duidelijker wordt. Of het nu gaat om het optimaliseren van uptime van kostbare industriële apparatuur, het monitoren van verkeer, verzamelen van realtime Quantified Self-gegevens, of verscheidene andere toepassingen, IoT-apparaten worden alleen maar meer gebruikt door consumenten en organisaties. Maar die apparaten zijn niet noodzakelijkerwijs beveiligd, wat een toegang oplevert tot bedrijfsnetwerken.

Daarnaast krijgen organisaties te maken met privacy-issues omdat vage gebruikersvoorwaarden ervoor zorgen dat we slecht zicht hebben op de data binnen het IoT-ecosysteem. Persoonlijke gegevens kunnen zo worden gebruikt op manieren die consumenten niet hebben voorzien. Volgens Durbin is dit een grote uitdaging. "Niemand gaat naar een winkel en vraagt: 'Geef me het best beveiligde apparaat dat je hebt'. Ze willen de mooiste of het apparaat met de meeste features." ISF raadt IT'ers het volgende aan:

• Implementeer een beveiligingsproces om IoT-apparaten toe te laten tot het netwerk om reputatieschade of boetes van toezichthouders na datalekken te voorkomen.
• Vraag toestemming voor dataverzameling voordat je IoT uitrolt en denk niet alleen na over welke gegevens worden opgeslagen, maar ook welke worden gedeeld en met wie.
• Controleer of de gebruikersvoorwaarden voor het delen van gegevens transparant zijn en voldoen aan eisen van bijvoorbeeld de Autoriteit Persoonsgegevens (het voormalige CBP).
• Kijk holistisch naar de impact van IoT op IT-beveiliging in plaats van naar geïsoleerde apparaten.

2. Integriteitsproblemen door onduidelijke algoritmes

Organisaties en personen gebruiken algoritmes - van automatische beurshandel tot zelfparkerende auto's - om beslissingen te nemen en systemen aan te sturen. Door zulke autonome processen zonder menselijk handelen hebben organisaties doorgaans minder zicht op hoe processen onderling functioneren. Volgens Durbin levert dit gebrek aan inzicht belangrijke securityrisico's op die voor problemen zorgen wanneer algoritmes elkaar beïnvloeden op manieren die niet werden voorzien.

Een voorbeeld is de flash crash van Amerikaanse staatsleningen in het najaar van 2014. Algoritmes zorgden dat de waarde dramatisch daalde alvorens het zichzelf weer corrigeerde. "Er gaan af en toe grillige dingen gebeuren", aldus Durbin. "Je moet je beseffen waar je je aan blootstelt als je algoritmische systemen gebruikt. We bouwen meer onze systemen aan de hand van algoritmes, waaronder industriële systemen en kritieke infrastructuur." Dat levert andere risico's op en hierom raadt het ISF de volgende dingen aan:

• Identificeer waar door algoritmes beheerste systemen draaien en maak onderscheid wanneer menselijk ingrijpen een noodzakelijke beveiliging is tegen falen of juist een risico.
• Werk het beleid over het beheren van code bij om rekening te houden met veranderingen voor algoritmes.
• Ga op zoek naar alternatieven om risico's van algoritme-gerelateerde incidenten te beperken, vooral als je je niet kunt verzekeren tegen zulke problemen.
• Plan voor robuustere weerbaarheid en bedrijfscontinuïteit.

3. Overheden gebruiken terroristen voor online aanvallen

Bepaalde overheden financieren terroristengroeperingen om bepaalde doelen te bereiken en te kunnen ontkennen dat het staatsacties zijn. Het ISF verwacht dat dit de komende jaren uitbreidt naar hacks door het leveren van kennis, training, software en hardware aan zulke groeperingen om daarmee infrastructuur en organisaties in andere landen aan te vallen.

Dat leidt tot aanvallen die langer aanhouden en schadelijker zijn dan in het verleden het geval was. Durbin merkt op dat de eerste pogingen van ISIS al hebben plaatsgevonden. Grote bedrijven die met kritieke infrastructuur te maken hebben lijken het eerste doelwit te zijn, maar kleinere bedrijven in de keten van toeleveranciers worden op de korrel genomen om die grotere doelen te bereiken, waarschuwt de ISF-directeur.

"Dat zal niet alleen doorzetten, maar potentieel toenemen", zegt hij. "Dit is dreiging van een heel ander kaliber, want het gaat niet om financieel gewin of controle. Het is vele malen sinisterder. De aanvallen kunnen veel agressiever en aanhoudender zijn dan we tot nu toe van criminelen gewend zijn." De organisatie heeft de volgende adviezen:

• Maak nieuwe risicoprofielen om rekening te houden met actoren als terroristengroepen die andere doelen hebben en andere vaardigheden dan criminelen die een aanval uitvoeren.
• Loop de bestaande controlemechanismes na om te zien of ze bestand zijn tegen zo'n scenario.
• Kijk naar de mogelijkheden om informatie te delen met bedrijven en overheden die te maken krijgen met dezelfde dreigingen.

4. Niet voldaan aan verwachtingen van bestuur na hack

In het verleden waarschuwde het Internet Security Forum dat bestuur en CEO's de waarde van security niet goed inschatten. Dat is veranderd. De laatste jaren worden beveiligingsbudgetten vaker goedgekeurd en het bestuur wil vaak onmiddellijk resultaat zien. Beveiliging staat boven aan de agenda, maar volgens Durbin begrijpt C-level vaak niet dat zulke beveiligingsverbeteringen tijd kosten - zelfs als de juiste vaardigheden en mogelijkheden er al zijn.

Durbin denkt dat het bestuur sneller hogere verwachtingen zal ontwikkelen dan wat informatiebeveiliging daadwerkelijk kan leveren. "Zij zien dit hetzelfde als elke andere bedrijfsvraag", zegt de directeur die benadrukt dat bestuursleden acties per kwartaal verantwoorden en in die tijdspanne resultaat willen meten. "Beveiliging komt in diezelfde cyclus terecht, maar heeft vaak een veel langere doorlooptijd." Daarom raadt het ISF de volgende dingen aan:

• Ga het gesprek met het bestuur regelmatig aan om een realistische kijk te geven op risicomanagement en de veranderingen binnen het informatiebeveiligingsbeleid.
• Doe aan verwachtingsmanagement en vertel hoe wijzigingen de toekomstige mogelijkheden en invloed van de CISO en informatiebeveiligers verbeteren.
• Zorg voor een programma waarin informatiebeveiliging en/of de CISO verandert van technisch specialist naar noodzakelijke en betrouwbare bedrijfspartner.
• Leer van partijen die deze transformatie naar betrouwbare bedrijfspartner al hebben gemaakt.

5. Onderzoekers de mond gesnoerd over kwetsbaarheden

Nu software steeds meer hardware vervangt in allerlei sectoren en groter groeit, zullen onderzoekers ook meer kwetsbaarheden ontdekken en deze willen openbaren om beveiliging te verbeteren. Maar fabrikanten reageren hierop met juridische acties in plaats van dat ze samenwerken met onderzoekers om zaken te verbeteren. Het ISF denkt dat deze trend alleen maar doorzet de komende jaren, waardoor klanten met verborgen gaten komen te zitten in plaats van openbaar gepatchte kwetsbaarheden.

"We hebben een toename gezien in het aantal onderzoekers dat tot zwijgen wordt gebracht met rechtszaken en andere juridische acties", vertelt Durbin. Het kan ook anders, bijvoorbeeld door beloningen uit te loven om zoveel mogelijk kwetsbaarheden te dichten nog voor producten of diensten in handen komen van klanten. Zo'n programma waarin je bijvoorbeeld als provider mensen uitnodigt om de systemen te hacken vraagt om lef "en je moet er zeker voor zorgen dat het bestuur hiermee akkoord gaat".

Het ISF raadt aan dat inkopers meer transparantie eisen tijdens het aanbestedingsproces, inclusief een kijkje in het beleid van de fabrikant om kwetsbaarheden intern te ontdekken en externe testprocedures. De organisatie raadt fabrikanten aan om onderzoekers die responsible disclosure hanteren te belonen. Raadpleeg desnoods een mediator om een bevredigende openbaringsprocedure te bepalen.

6. Cyberverzekeringen levert geen vangnet

Grote datadiefstallen van de komende twee jaar zullen grote financiële verliezen betekenen voor verzekeringsmaatschappijen die de risico's van cyberpolissen verkeerd hebben ingeschat, meent het ISF. Verzekeraars zullen die markt daarom verlaten, strengere eisen stellen aan polishouders, de scope van hun producten nauwer maken, premies verhogen en acceptatie beperken voor sectoren die minder risico lopen.

Organisaties die zijn gaan rekenen op een vangnet met een dataverzekering gaan de pijn voelen. "Assurantiekantoren gaan beseffen dat dit een complex terrein is", vertelt ISF-directeur Durbin. "De standaardaanpak om een verzekeringspolis op te stellen werkt mogelijk niet voor deze sector." De adviezen van de organisatie zijn als volgt:

• Bekijk de risicostrategieën opnieuw en voordat een crisis zich voltrekt, specifiek om te zien wat het risico is dat al dan niet gedragen wordt met een cyberverzekering.
• Beoordeel polissen om te zien wat de mogelijk kostbare dekkingsuitzonderingen zijn.

Thema: Overheden grijpen in op IT

Het ISF verwacht dat overheden de komende jaren nog kritischer gaan kijken naar de technologieën en diensten die burgers gebruiken. Overheden zullen vervolgens indringender ingrijpen bij bedrijven die persoonlijke informatie verwerken, vooral als het gaat om grote techbedrijven. "Overheden zijn gaan beseffen dat ze sommige dingen niet op hun beloop kunnen laten."

"We zien enkele eigenzinnige ontwikkelingen", aldus Durbin die het sneuvelen van Safe Harbor bij het EU-Hof aanhaalt als voorbeeld. "Daarnaast zien we hoe overheden de dreiging van terrorisme gebruiken om regelgeving in te voeren die het normaal gesproken niet zou halen."

7. Disruptieve bedrijven lokken overheidsinterventie uit

Bedrijven met agressieve commerciële strategieën die hun sector op de kop zetten - partijen als Uber, Airbnb en Google - nopen politici en regelgevende organisaties om zorgvuldiger te kijken naar de impact van nieuwe technologieën op het land. Ze beginnen met bijvoorbeeld mededingingsonderzoeken naar anticompetitief gedrag, maar het ISF verwacht dat producten en dienstverleners sectorbreed onder de loep zullen worden genomen.

Overheden zullen zich bewuster worden van deze technologieën, maar hun begrip over de sociale en politieke implicaties ervan blijft achter. Dit leidt tot reactieve en slecht doordachte beleidswijzigingen die aan de ene kant economische groei niet zullen stimuleren en aan de andere kant de gegevens van burgers niet beter zullen beschermen. Je kunt bijvoorbeeld een beweging verwachten richting lokale, gereguleerde clouds die ervoor zorgen dat data minder snel door de wereld kan bewegen. Het ISF raadt aan om:

• Politieke weerstand te vermijden door de lokale gevolgen van het afnemen van zulke producten en diensten te begrijpen. Dat is vooral een uitdaging voor snel schalende bedrijven die een minimale fysieke aanwezigheid hebben buiten het land waarin ze zijn gevestigd.
• Ontwikkel een duidelijke strategie voor politieke invloed en engagement, waarbij de aandacht uitgaat naar regulering met een set basisprincipes (in tegenstelling tot het volgen van compliance-checklists).
• Onderzoek mogelijkheden voor collectieve invloedsuitoefening, bijvoorbeeld door het starten van of aansluiten bij een branchevereniging.

8. Regulering fragmenteert de cloud

Wetten en veranderingen in regelgeving zorgen voor beperkingen in de manieren waarop persoonlijke gegevens worden verzameld, opgeslagen, uitgewisseld en verwijderd. Organisaties die afhankelijk zijn van clouddiensten zullen de impact daarvan merken, waarschuwt het ISF. Ze blijven moeten compliant blijven met nieuwe databeschermingsregels en localisatie-eisen, terwijl de bedrijfsvoering daar niet onder mag lijden.

De locatie-eis is vooral op de voorgrond getreden toen vorig jaar Safe Harbor werd afgeschoten. De nieuwe dataprotectieregels van de EU maken de zaak er complexer op omdat er een hoop compliance-eisen zijn toegevoegd en er hoge boetes op stapel staan voor bedrijven die zich niet aan deze regels houden.

"Toezichthouders willen dat bedrijven zich verantwoordelijk gedragen", zegt Durbin, "en ik verwacht dat als data lekt ondanks dat een bedrijf er redelijkerwijs alles aan heeft gedaan om dit te voorkomen, toezichthouders dat prima zullen vinden. Maar het zal niettemin impact hebben op de manier waarop we cloud gebruiken." ISF geeft als advies:

• Kijk hoe bestaande en voorgestelde regels en wetten kunnen evolueren met de politieke en populaire vraag naar meer databescherming.
• Stel het niet uit. Wees proactief en maak je klaar voor veranderingen in gebieden waar politieke en publieke sentimenten aan het veranderen zijn.

9. Criminelen ontwikkelen zich beter dan politiemacht

Criminelen hebben technische capaciteiten en bereik die gelijkstaan aan die van overheden en grote organisaties. De vaardigheden worden de komende twee jaar volgens het ISF vele malen groter dan die van het publiek en dat verkleint de toepasbaarheid van huidige controlemechanismes die IT'ers nu inzetten om personeel te beveiligen.

Organisaties zullen daarom sneller naar autoriteiten en overheden kijken om hulp te vragen, maar criminelen - die doorgaans organisaties in landen buiten hun thuisbasis aanvallen - zullen autoriteiten ontlopen door gebruik te maken van een gebrek aan internationale samenwerking van sommige landen die daardoor als veilige haven fungeren.

Het ISF vermoedt dat organisaties vaker last krijgen van schadelijke aanvallen en tegelijkertijd minder zullen hebben aan assistentie van de overheid. "Criminelen zijn niet dom", zegt Durbin. "Ze zien in dat er geen consistente internationale aanpak is van de politie en je hebt geen rechtstreekse lijn tussen het land waar de misdaad zich voltrekt en van waar hij wordt uitgevoerd. Voor opsporingsdiensten is dat een achilleshiel." De organisatie raadt het volgende aan:

• Korte termijn: blijf op de hoogte van de evolutie van internetcriminaliteit en zorg voor toepasselijke afweer- en controlemechanismes.
• Middellange termijn: zorg voor threat intelligence, zodat er regelmatig risico-analyses kunnen worden uitgevoerd die zijn gestoeld op relevante gegevens.
• Lange termijn: Benader overheden om samen internationale acties op te stellen die criminaliteit effectief bestrijden.

ComputerWorld Thor Olavsrud

Index