Achtergrondartikel


Tim Grieveson, Chief Cyber & Security Strategist bij HPE:

‘Ga ervan uit dat insiders data stelen’

Eenmaal binnen kunnen cybercriminelen vaak wekenlang ongestoord rondneuzen in de data en systemen van het slachtoffer. Na de ontdekking van een inbraak duurt het dan ook nog eens gemiddeld zo’n 45 dagen om te herstellen. “Als de dreiging van ‘insiders’ komt, kan die herstelperiode oplopen tot wel 90 dagen”, waarschuwt Tim Grieveson, Chief Cyber & Security Strategist voor Enterprise Security Products (ESP) van Hewlett Packard Enterprise. “Organisaties moeten meer aandacht hebben voor de interne dreiging.”

“De insider threat heeft verschillende verschijningsvormen”, vertelt Grieveson als we hem begin mei spreken in Breukelen. Hij is dan een paar dagen in Nederland voor enkele evenementen rondom de Algemene Verordening Gegevensbescherming (AVG). Deze nieuwe Europese privacywetgeving is voor de enthousiaste Brit duidelijk een ‘hot topic’ dat tijdens het interview dan ook meerdere keren ter sprake komt.

“Op de eerste plaats heb je de ‘bad guy’ die al binnen is, iemands identiteit overneemt en misbruik maakt van de rechten van het slachtoffer”, zo begint Grieveson zijn uiteenzetting van de diverse verschijningsvormen. “Een andere insider is de medewerker die het juiste probeert te doen, maar met zijn handelingen de security van de organisatie in gevaar brengt.” Als voorbeeld haalt hij de laptop met daarop onversleutelde data aan die in de kofferbak van de auto blijft liggen. “Daarnaast heb je tot slot nog de ontevreden werknemer die opzettelijk data naar buiten brengt.”

“Medewerkers weten vaak hoe ze de beveiligingssystemen en processen moeten omzeilen”, waarschuwt Grieveson. “En de bad guys die een identiteit overnemen, hebben doorgaans al gedurende weken of zelfs maanden een gedegen beeld van de organisatie opgebouwd door he toepassen van social engineering. Daardoor weten ze hoe ze onder de radar moeten blijven.” Het gevolg is dat het lang kan duren voordat een organisatie een ‘inside breach’ detecteert en is hersteld van de gevolgen.

Mensen, processen en technologie
Volgens de Chief Cyber & Security Strategist moet er dan ook meer aandacht komen voor de insider threat. “Ga ervan uit dat de ‘threat actor’ al binnen zit, en dat data worden gestolen. Die dreiging kun je alleen mitigeren door de juiste mix in te zetten. Door te kijken naar zowel je mensen en processen als naar de technologie die je inzet.”

‘People’ zijn volgens Grieveson niet alleen de zwakste schakel in security, maar kunnen ook de grote kracht of asset zijn van een organisatie. “Als ze over de juiste vaardigheden beschikken en de juiste training krijgen, kunnen ze zichzelf, de data en de organisatie beschermen.” Om die vaardigheden op de juiste manier over te brengen, moeten security-awarenesstrainingen gericht zijn op de rol van de medewerker binnen de organisatie, en een persoonlijk karakter hebben. Lesstof wordt sneller opgenomen als die betrekking heeft op bijvoorbeeld de persoonlijke creditcardgegevens. “En test het securitybewustzijn. Doe bijvoorbeeld regelmatig een phishingtest en prijs de medewerkers die op een goede manier omgaan met security.”

Processen moeten ervoor zorgen dat een organisatie snel kan reageren op incidenten en dat security een standaardonderdeel is van bijvoorbeeld de ontwikkeling van applicaties. Grieveson: “Een ‘goede security’ moet een vanzelfsprekendheid zijn. Als security deel uitmaakt van je cultuur, dan kost het uiteindelijk ook minder geld. Met een ‘ingebouwde security’ dalen bijvoorbeeld de herstelkosten. Doordat je kwetsbaarheden niet achteraf hoeft te repareren, kun je applicaties ook sneller op de markt brengen. Security maakt het mogelijk om zaken te doen en is meer dan alleen maar ‘nee’ zeggen.”

Het component ‘technologie’ mag in de ogen van Grieveson uiteraard ook niet vergeten worden. “Concentreer je daarbij op de data en niet op de endpoints. Security moet ‘data-centric’ zijn. Je kroonjuwelen bescherm je bijvoorbeeld door data gedurende de gehele levenscyclus te versleutelen, maar wel met behoud van inzicht in die data. Daarvoor zetten wij bijvoorbeeld Voltage Format-Preserving Encryption in. Ook heb je technologieën nodig om dreigingen sneller te detecteren. Daar bovenop kun je gebruikmaken van User Behavior Analytics om afwijkend gedrag van ‘insiders’ sneller op te sporen.”

Good practices
“Veel van de maatregelen die je kunt treffen om de insider threat te mitigeren, zitten ook in de Algemene Verordening Gegevensbescherming”, zo signaleert Grieveson. “De AVG is niet echt nieuw. Het zijn de ‘good practices’ die we al lang hadden moeten toepassen om de privacy van medewerkers, partners en klanten te beschermen.”

“De AVG helpt je ook om data-centric te worden”, benadrukt Grieveson. “Veel organisaties hebben nog geen idee welke data ze hebben, waar die zich bevinden en welke waarde ze hebben voor de business. De AVG stelt je in staat om daarover na te denken in termen van doel, waarde en behoefte. Heb je eenmaal inzicht in je data, dan krijgen ze ook veel meer waarde. Als je weet wat data betekenen, kun je ze ook op andere manieren inzetten en er omzet mee genereren. En het wordt eenvoudiger om data te combineren of juist uit elkaar te halen. De AVG is niet alleen een stok om mee te slaan, maar biedt ook mogelijkheden om bestaande business en processen te optimaliseren.”

Volgens Grieveson staan veel organisaties als het gaat om de AVG echter aan het begin van hun ontdekkingsfase en moeten ze de ‘journey to value’ nog maken. “Die reis helpt bij het opstellen van een roadmap richting compliance met de AVG en het verkrijgen van commitment van de top van het bedrijf. Wij helpen onze klanten daarbij door tijdens een gratis workshop samen in kaart te brengen over welke data de klant beschikt, waar die zich bevinden en welke waarde ze vertegenwoordigen.”


Dit interview is eerder verschenen in Motivator Magazine, voorjaar 2017.

Lees meer over