Stop de spion!

Je hebt maanden besteed aan het oplossen van de items die rood gemarkeerd stonden in je laatste interne auditrapport en net een wettelijke toets met succes doorstaan. Je hebt je netwerk getest op kwetsbaarheden, penetratietests uitgevoerd afgelopen jaar en alles wat open stond weten af te dichten. Je hebt je policies voor informatiebeveiliging verder aangescherpt en onlangs geïnvesteerd in een oplossing voor 'security information and event management' (SIEM). Jij bent nu veilig, toch?

Verplaats jezelf eens in de wereld van een crimineel. Hij weet dat de meeste beveiligingsprogramma's zich concentreren rond wettelijke compliance. Hij weet dat het budget van een IT-afdeling beperkt is. Hij weet ook dat jij jezelf wilt verdedigen tegen een bijna onnoemelijk aantal aanvalstactieken, terwijl hij weet dat hij maar één weg naar binnen hoeft te vinden.

Hoe verdedig je jezelf tegen een vernuftige, gemotiveerde crimineel? Een professionele spion die erop uit is van jou bedrijfsgeheimen te stelen? Een vaardige insider met een specifiek doel in gedachten? Deze mensen weten dat informatie in vele vormen te verkrijgen is, niet alleen elektronisch, en dat zij in staat zijn elke kwetsbaarheid te misbruiken. Een goed informatiebeveiligingsprogramma moet daarom verder gaan dan penetratietests en kwestbaarheidsassesments.

Lucratieve business

Bedrijfsspionage is om meerdere redenen in opkomst: de kwakkelende economie, mensen die sneller van baan veranderen en zelfs overheden die willen proberen de eigen economie te stimuleren met bedrijfsgeheimen uit andere landen. In veel gevallen is het eindproduct lang niet zo waardevol als de informatie die beschikbaar is over productie, onderzoek en ontwikkeling of de 'knowhow' van een onderneming. Dit type informatie helpt de ontwikkelingskosten naar beneden te brengen en helpt de langetermijn productie van een goed. Uiteindelijk moet het bedrijf een zo goed mogelijk product naar de markt brengen tegen een zo laag mogelijke kostprijs en concurrenten te slim af zijn.

Het stelen van informatie is een van de oudste manieren om strategisch en competitief voordeel te behalen. Zo heeft bijvoorbeeld China al honderden jaren een monopolie op de productie van zijde. Vroeger was zijde soms waardevoller dan goud. De Chinezen verdedigden hun geheimen met hand en tand op straffe van de doodstraf bij diefstal. Toch wisten een aantal buitenlandse monniken in 300 na Christus eitjes van de zijdeworm in bamboe loopstokken uit China te smokkelen. Ze vonden dus een aanvalstactiek die werkte en ze doorbraken daarmee het Chinese monopolie.

Spionage vond in het verleden plaats, gebeurt vandaag nog en zal ook morgen plaatsvinden. Het enige wat veranderd, zijn de gebruikte technieken. Technologie maakt dat veel bedrijven zich voornamelijk richten op de elektronische dimensie van informatiebeveiliging. Helaas betekent zo'n aanpak dat je het probleem niet helemaal begrepen hebt.

De vier dimensies van informatie

Volgens beveiligingsexpert Ira Winkler bestaat informatie in vier vormen: op papier, visueel, gesproken en elektronisch. Professionele spionnen kunnen deze informatie via een van deze vormen ontvreemden, dus het implementeren van alleen beveiligingstechnologie is niet voldoende om je bedrijf veilig te noemen. Een effectief informatiebeveiligingsprogramma moet alle vier de vormen van informatie beveiligen door fysieke, logische en operationele maatregelen te treffen.

Om te zien waarom dit moet gebeuren, moet je jezelf opnieuw in de gedachten van de crimineel verplaatsen. Met jouw snode plannen, kun je zowel met als zonder hulp van technologie een manier vinden om aan je informatie te komen.

Ken je de oude James Bond-films nog waarin Sean Connery gadgets tevoorschijn toverde waarvan de eenvoud nu lachwekkend is? Schoenen met geheime vakjes in de zool, boeken met verborgen bandrecorders erin en stemomvormers. In de film Goldfinger droeg Bond een wetsuit met een rubberen eend op de rug om gecamoufleerd te blijven. Onderschat daarom niet de kracht van zulke low-tech apparatuur wanneer het aankomt op het verzamelen van niet-elektronische informatie.

Naast dat we ons vooral zorgen maken om (irreële) technische hoogstandjes, worden bedrijfsgeheimen tegenwoordig vooral gestolen met behulp van verborgen camera's, microfoontjes zo klein als een insect, (gecamoufleerde) USB-sticks, WiFi-tools, keyloggers met WiFi-mogelijkheid en monitorloggers die eruitzien als verlengkabels maar waarmee alle bureaubladactiviteit van een gebruiker vanaf het scherm gepikt wordt. Een simpele zoekopdracht toont aan dat deze gadgets relatief goedkoop zijn en overal online besteld kunnen worden. Vergeet ook niet zaken als de copier, faxmachines en andere 'oudere' apparatuur die in sommige gevallen akelig makkelijk informatie kunnen lekken.

De professionele spion

Een gemotiveerde professionele spion is bijna niet te stoppen door enkel gebruik te maken van de traditionele securityoplossingen. Vaak is zo'n persoon:

• Goed opgeleid en erg gemotiveerd
  
• Goed ingelicht over de businessprocessen en de waarde van het intellectueel eigendom
  
• Getraind in social engineering waardoor hij of zij alleen al door de juiste mensen te misleiden aan waardevolle informatie kan komen
  
• Vindingrijk, creatief, volhardend en ontgaat hem of haar geen detail
  
• In staat om diverse skillsets en contacten in te zetten om het doel te bereiken
  
• In staat om gebruik te maken van de meest effectieve vaardigheid/technologie met de minste kans op detectie
  
• Gesteund door voldoende financiële bagage om een doelstelling op een systematische en methodologische manier te bereiken
  
• Een ware opportunist en een meester in het ontwijken
  
• Moeilijk om je tegen te beschermen

Het valt je misschien op dat tech-vaardigheden niet prominent op de lijst staan en dat is omdat deze uitbesteed of aangekocht kunnen worden. Andere factoren, vooral het in staat zijn om op een flexibele manier de meest effectieve methode te kiezen zijn, hoe James Bond-achtig ze ook mogen overkomen, belangrijker voor het succes van de spion. Uiteindelijk is het doel van hem of haar om een gerichte aanval op te zetten waarbij het risico op ontdekking tot een minimum beperkt wordt. Voor securityprofessionals is het essentieel om zich in de schoenen van een crimineel te verplaatsen en op dezelfde manier te denken. Vaardige criminelen kiezen vaak voor de weg van de minste weerstand om te krijgen wat ze willen hebben. Het zijn getrainde opportunisten die profijt weten te trekken van iedere kwetsbaarheid die ze tegenkomen. Verplaats je jezelf in hun denkwijze, dan zie je waar je gevaar loopt en kun je de beste maatregelen treffen voor jouw organisatie.