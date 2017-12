We schatten de daadwerkelijke risico's verkeerd in.

De vijf onderstaande beweringen zijn - afgaande op de grote inbraken en andere beveiligingsincidenten van het afgelopen jaar - nog steeds de oorzaken van enorm veel risico's en exploits. Als je deze vijf in acht neemt en weet te communiceren naar personeel en bestuur, loop je al voor op veel van je vakgenoten.

1. Elk bedrijf wordt gehackt

Als de wereld hoort van een grote inbraak, denken mensen waarschijnlijk dat het getroffen bedrijf slecht is in beveiliging. Maar we moeten het de volgende keer meer zien als: "Elk bedrijf wordt gehackt. Dit is slechts één waar het in de media over gaat."

Elk bedrijf is volledig te grazen genomen door een malafide hacker of zou dat makkelijk kunnen zijn. Dat is een feit. Ik heb het niet over internetloze topgeheime organisaties waar werknemers aan het eind van de dag hun harde schijf in een kluis leggen, maar over de normale bedrijven met gewone werkstations en doorsnee personeel.

Ik heb nog nooit een bedrijf meegemaakt (en ik ben als beveiligingsconsultant bij honderden geweest) waar ik niet tenminste één hacker vond in de systemen. In de meeste gevallen, vooral de laatste tien jaar, vond ik meerdere groepen die al jaren binnen waren. Het record was acht verschillende partijen die binnen waren gekomen, waarvan sommige al tien jaar lang.

Die laatste was interessant, omdat een van de redenen dat ik gevraagd was ging om een softwarepatch die het bedrijf niet wilde maar steeds werd toegepast, ondanks al hun pogingen de patch tegen te houden. Dat kwam doordat een groep hackers het zat was dat het bedrijf de beveiliging niet ophoogde, omdat er steeds nieuwe onverlaten binnenkwamen. Je hebt een serieus probleem als je aanvallers bewuster zijn over beveiliging dan jijzelf.

Als part-time pentester ben ik vaak gevraagd om in te breken bij bedrijven (met toestemming van de eigenaars vooraf). Dat heeft me nooit langer dan een uur geduurd, behalve bij één bedrijf. Daar duurde het drie uur, omdat ze de beveiliging hadden opgehoogd na de laatste pentest. Professionals die ik hoog heb zitten doen het zelfs sneller. Dan denk ik nog niet eens aan de overheidshackers die een stapel zerodays hebben om mee te werken.

Die heb je niet eens nodig, want computers zijn nou eenmaal slecht beveiligd. Je hoeft alleen maar wat rond te zoeken om een zwakte te vinden. De meeste bedrijven doen bij lange na niet genoeg om de systemen veilig te maken. De meeste zeggen van wel, maar als je kijkt naar wat echt nodig is (perfect patchen, applicatiecontrole, beperkt internet) zijn ze niet bereid te doen wat echt vereist is. Nog niet tenminste.

2. De meeste organisaties weten niet hoe ze succesvol worden aangevallen

Dit heb ik pas geleerd - en uitgetest - de afgelopen vijf jaar. Ik ben nog nooit een IT-beveiliger tegengekomen die me kan vertellen wat de belangrijkste manier is waarop aanvallers regelmatig binnenkomen. Nou ja, dat is niet helemaal eerlijk, want vijf tot twintig procent kan me het juiste antwoord geven, maar heeft geen data om het te bewijzen.

Dat betekent dat tenminste tachtig procent van IT-beveiligers denkt dat het iets anders is. De rest van de IT'ers en het bedrijf hebben geen idee. Als het grootste bedrijf het niet eens is over wat de grootste dreiging is, hoe kun je er dan effectief tegen vechten? Je zou denken dat na al dat geld dat wordt geïnvesteerd in luxe logsystemen dit een makkelijk te beantwoorden vraag zou zijn. Maar dat is het niet. Dat is het misschien nooit, vooral als je de vraag niet eens stelt.