Beveiliging: Grijp je onderneming bij de ballen

Enkele jaren geleden werd er een beroep op mij gedaan door de CSO van een Fortune 25 onderneming. Hij had vier van de belangrijkste bedrijven die gespecialiseerd zijn in penetratietests gevraagd het bedrijfsnetwerk op gaten te controleren. Alle vier de bedrijven kwamen twee weken en 100.000 dollar later terug met de verontrustende mededeling dat ze het bedrijfsnetwerk volledig onder controle hadden. De CSO stapte meteen naar de CEO, die kort samengevat zei: “dat boeit me niet”.

De CSO gaf mij de opdracht een spionage-simulatie te houden. Na een week kwam ik bij hem terug en gaf hem een keurig overzicht van hun plannen voor fusies en acquisities, de nieuwe technologieën die ze de komende drie jaar wilden gaan lanceren, zakelijke voorstellen ter waarde van ettelijke miljarden dollars, foto’s van mezelf terwijl ik het kantoor van de CEO van afluisterapparatuur voorzag, en de verontrustende mededeling dat ik het bedrijfsnetwerk volledig onder controle had. Een week later verhoogde de CEO het beveiligingsbudget met 10 miljoen dollar en namen ze beveiligingsmanagers in dienst voor alle business units.

De reden dat de CEO nu wél reageerde is dat ik het bedrijf bij de spreekwoordelijke ballen had gegrepen en begon te knijpen. Ik liet ze de pijn voelen die hoort bij slechte beveiliging. Er werd een waarde gekoppeld aan de kwetsbaarheden en het liet de CEO zien dat er moest worden ingegrepen.

Aan dat verhaal moest ik denken toen ik las hoe Dennis Blair, de Amerikaanse Director of National Intelligence, aan het Amerikaanse congres kwam vertellen dat de Chinese hack van Google een waarschuwing zou moeten zijn. In alle eerlijkheid: hoewel ik best wil toegeven dat Google een groot Amerikaans bedrijf is, en dat de aanval schandalig is, moet ik toch zeggen: “dat boeit me niet”.

Als je het grote plaatje bekijkt kan China Google hacken, maar het effect ervan op Amerika is tamelijk minimaal. Behalve dat je als Amerikaan liever geen Amerikaans bedrijf door een ander land gehackt ziet worden, heeft die hack van Google geen impact op de Verenigde Staten als geheel. Het is veel waarschijnlijker dat de 33 andere bedrijven die ook door China in diezelfde aanvalsgolf werden gehackt, en waar je natuurlijk niets over leest in de pers, een veel grotere bedreiging zijn voor de VS en hun economie.

Op dit moment zie ik niet in hoe China het nog bonter kan maken dan wat we ze de afgelopen vijf jaar al hebben zien doen. Het is algemeen bekend dat China het Witte Huis heeft gehackt, en de presidentiële campagnes van Obama én McCain, en, veel belangrijker nog, dat ze een voortdurende en grootschalige hack-campagne voeren tegen het Amerikaanse Department of Defense, het Department of Energy en aanverwante bedrijven. China heeft reeds wapen- en rakettechnologie gecompromitteerd. Hoezo moeten we nu plots wakker liggen van de Google hack?

In feite zijn de Verenigde Staten al door een paar dozijn brandalarmen heen geslapen. De Google hack is irrelevant als je het vergelijkt met andere succesvolle hacks die in de afgelopen tien jaar vanuit China zijn uitgevoerd. En dàt is het grote probleem.

De Amerikaanse senaat heeft formeel de hack veroordeeld. Ik verwacht dat ze zich daar binnenkort voor zullen verontschuldigen, als de VS weer bij China komt aankloppen voor nieuwe leningen om het Amerikaanse begrotingstekort aan te vullen. Denk je echt dat China zich zorgen maakt om zo’n symbolisch gebaar, terwijl ze al tijden talloze soortgelijke veroordelingen op het gebied van de mensenrechten negeren?

Door de hack van Google groot op te kloppen, wordt het eigenlijke probleem gebagatelliseerd. Bekijk dit nou eens vanuit het perspectief van een onderneming. Google is zonder meer het technologiebedrijf met de meest middelen ter wereld. Als Google China niet kan tegenhouden, wat kan een gemiddeld bedrijf dat om geld verlegen zit dan doen? Bedrijven kunnen een hoop geld uitgeven aan hopeloze pogingen China tegen te houden, maar wat heeft dat voor zin?

Bedenk je ook dat de verliezen die geleden worden door een hack uit China voor de meeste bedrijven bijna niet zijn te kwantificeren. Er zijn wel bedrijven die kunnen aantonen dat ze er concrete verliezen door hebben geleden, maar de meeste Chinese hacks of hack-pogingen hebben geen duidelijke consequenties voor de slachtoffers. Google hacken klinkt sinister, maar ook daar zijn de concreet zichtbare effecten minimaal.

Iedereen negeert het feit dat China Amerika bij de spreekwoordelijke ballen heeft en knijpt, terwijl ze zich concentreren op een beetje jeuk. Terwijl Blair zijn tijd verspild met zijn alarm over de Google hack, vergeet hij het congres eraan te herinneren dat er al tien jaar lang diefstal plaatsvindt van defensie- en andere technologieën die tegen de VS gebruikt kunnen worden. Ervaringen uit het verleden laten zien dat het niet ondenkbaar is dat China dat soort technologie doorverkoopt aan landen met terroristische banden.

Beveiligingsmanagers dienen zich op dezelfde manier af te vragen of ze zich niet blindstaren op nonsens, terwijl er veel meer voor de hand liggende en belangrijker problemen zijn om je mee bezig te houden. Hacks en kwetsbaarheden zijn volstrekt irrelevant. Het gaat om het (mogelijk) daaruit resulterende verlies. Als de verliezen kunnen worden afgedaan als onduidelijk of irrelevant, of als ze niet besproken worden, dan weet je zeker dat je CEO je aan zal kijken en zal zeggen: “dat boeit met niet”.

Ira Winkler is president van de Internet Security Advisors Group. Deze bijdrage verscheen oorspronkelijk op CSOonine.com.