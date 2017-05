Hebben we na WannaCrypt niet eindelijk eens genoeg gehad? Het is de hoogste tijd dat we ophouden te doen alsof halfbakken en slecht geïmplementeerde beveiligingsmiddelen iets fundamenteels veranderen aan de problemen. Er zijn goede oplossingen om security-incidenten te verminderen: we hoeven ze alleen maar te herkennen en toe te passen.

We zouden daar eigenlijk al decennia mee bezig moeten zijn, maar de toename van het belang en de afhankelijkheid van internet maakt het ieder jaar nog belangrijker. Bruce Scheiner stelde in mijn recent verschenen boek 'Hacking the Hacker' dat IoT voor een aardverschuiving zorgt op het gebied van security:

Het is één ding al een spreadsheet een kwetsbaarheid heeft en crasht of gebruikt wordt als ingang. Het is heel iets anders als het om je auto gaat. Zwakke beveiliging leidt tot doden. Dat verandert alles! Ik getuigde vorige maand in het congres over dit onderwerp. Nu is de tijd om serieus te worden. Het speelkwartier is voorbij. We moeten reguleren. Levens staan op het spel! We kunnen niet langer hetzelfde niveau van slechte software vol bugs accepteren. Maar de sector is niet bereid om dit serieus te nemen en dat moet nu wel. Hoe kunnen de mensen die werken aan de beveiliging van auto's dat doen als ze in het verleden niet in staat bleken aanvallers buiten te houden en kwetsbaarheden te dichten? Er moet iets veranderen. Er zal iets veranderen.

Totdat we wettelijke requiremenents hebben gedefenieerd, zal er niet veel veranderen. We hebben al genoeg richtlijnen, best practices, beleidsregels en frameworks, maar geen substantiële harde regels. Wat kunnen we doen om beveiliging te verbeteren? De laatste jaren blijkt steeds dat we steken laten vallen met juist de simpele dingen. Doe de volgende zes dingen om security significant te verbeteren:

1. Neem beveiliging serieus

Ja, de meeste organisaties zeggen beveiliging serieus te nemen, maar dat is simpelweg onwaar in de meeste bedrijven. In de praktijk winnen operationele overwegingen het vrijwel altijd van beveiliging en security wordt gezien als noodzakelijk, maar kostbaar kwaad waarvan iedereen weet dat het uiteindelijk geen verschil maakt.

Het is niet alsof beveiliging niet kan werken - dat kan wel. Maar als je hierin wilt slagen, moet je durven erkennen dat wat je nu doet niet werkt. Vervolgens kijk je naar waarom dat niet werkt en kun je beter zien welke dingen je écht nodig hebt om de IT te beveiligen.

2. Laat data de beslissingen sturen

Het is belangrijk om goed voor ogen te hebben wat de reële dreigingen voor jouw specifieke omgeving te zijn om te kunnen handelen. Daarom moet je weten waar je nu aan wordt blootgesteld. Kijk naar het type phisingmails dat wordt verstuurd, doe pentests op zoek naar kwetsbaarheden, kijk welke malware slechteriken proberen te injecteren, enzovoorts. Dit geeft je een helder beeld van de problemen waar je daadwerkelijk mee te maken krijgt.