Nieuws


Ad Krikke, Chief Information Security Officer bij DSM

Tijd voor de disruptive CISO

De cyberaanvallers hebben een grote voorsprong opgebouwd op de verdedigers, en met de conventionele beveiligingsmaatregelen gaan we het gat niet meer dichten. Met deze boodschap was CISO Ad Krikke van DSM half februari naar het congres IT & Information Security gekomen. “Het is tijd om het anders aan te gaan pakken.” Of om de titel van zijn presentatie in ’s-Hertogenbosch aan te halen: het is tijd voor de ‘disruptive CISO’.

“Stel”, zo begint Krikke als we hem vlak na zijn ‘keynote’ spreken, “dat zowel de aanvallers als de verdedigers er ieder jaar in slagen om hun capaciteit te verdubbelen. Momenteel zitten de aanvallers op ‘twintig’ en wij op ‘twee’. Na een verdubbeling zitten de aanvallers op ‘veertig’ en wij op ‘vier’. Het gat wordt dus alleen maar groter.”

“Wij zijn aan het verliezen omdat we risicomijdend bezig zijn”, vervolgt Krikke. De grote voorsprong die de aanvallers hebben opgebouwd, heeft volgens de CISO van DSM onder andere te maken met motivatie. “De hackers zijn goed georganiseerd en opereren vanuit een verdienmodel; geld is de motivatie van de hacker. Maar wat is onze motivatie? Wij zitten in de protect-modus en vertellen mensen vooral wat ze niet mogen, maar het kost heel veel tijd om mensen zover te krijgen dat ze de beperkingen ook accepteren.”

Dweilen
“Als we er een ratrace van maken, dan zullen we er nooit in slagen om onze achterstand in te lopen”, zo is de stellige overtuiging van Krikke. “Bijna elke beveiligingsmaatregel die we implementeren, is gebaseerd op wat er in het verleden is gebeurd. We rennen achter de feiten aan door een steeds slimmere en nieuwere beveiliging in te zetten waar vooral de aanbieders van de technologie garen bij spinnen. De investeringen in security kunnen we bovendien niet meer inzetten voor zaken als innovatie. En als de nieuwe technologie eenmaal is geïmplementeerd, dan is die oplossing inmiddels alweer achterhaald.”

“Voor de korte termijn is dit de enige route die we kunnen bewandelen, want niets doen is ook geen optie”, zo stelt Krikke realistisch. “Maar voor de langere termijn is het belangrijk dat we de zaken anders aan gaan pakken, anders blijft het dweilen met de kraan open.”

Security beter benutten
Om de kraan dicht te draaien, is veel meer nodig dan technologie alleen, zo benadrukt Krikke nog maar eens. Een eerste belangrijk punt dat de CISO noemt, is een betere samenwerking tussen de verdedigers. “Maar je zou ook meer gebruik kunnen maken van de security-oplossingen die al aanwezig zijn.”

“Wat je hebt, kun je beter gebruiken.” Als voorbeeld geeft Krikke Identity and Access Management. “IAM kun je voor meer gebruiken dan alleen voor IAM. Je zou IAM bijvoorbeeld kunnen gebruiken om een leverancier toegang te geven tot zijn set van data en hem of haar zelf wijzigingen in de gegevens te laten goedkeuren. Dit in plaats van een terugbelactie door iemand op de financiële afdeling. Op die manier voorkom je dat data bijvoorbeeld via het kanaal van de aanvaller worden gewijzigd en gebruik je IAM in de strijd tegen de cybercriminaliteit. Op die manier haal je meer uit je bestaande investeringen in security.”

Attack surface verkleinen
Een andere manier om het gat te dichten, is volgens Krikke het verkleinen van de ‘attack surface’ door gegevens niet alleen maar krampachtig te willen beschermen maar juist op een gecontroleerde manier te delen. Als voorbeeld geeft Krikke de kopieerbeveiliging op cd’s die keer op keer werd gekraakt. De noodzaak om die beveiliging te blijven verbeteren, verdween toen diensten als Spotify op kwamen zetten die muziek op een gecontroleerde manier ‘vrij door de wereld lieten reizen’. Krikke: “Vandaag de dag zijn de meeste cd’s niet meer tegen kopiëren beveiligd; de oplossing kwam dus door de komst van een nieuw bedrijfsmodel. Met zo’n nieuw model, dat het bedrijf nieuwe mogelijkheden biedt, kun je ook veel gemakkelijker veranderingen in een organisatie op gang brengen.”

“Voor een hacker is het niet meer interessant als het meer geld en moeite kost om via de achterdeur binnen te komen dan via de voordeur”, legt Krikke uit. Volgens de CISO gaat dit bijvoorbeeld ook op voor Intellectual Property. Als IP aan de voordeur duizend euro kost loont het voor een hacker niet meer om aan de achterdeur tienduizend euro uit te geven. “Als Intellectual Property zo gemakkelijk te verkrijgen is, zullen veel bedrijven niet alle research meer zelf uit hoeven te voeren. Hierdoor hoef je dus ook minder te beschermen.”

Spotify IP
Binnen DSM heeft Krikke dan ook een conceptueel model geïntroduceerd dat hij tot ‘Spotify IP’ heeft gedoopt. “Een klein deel van onze Intellectual Property is ‘trade secret’; dat zijn onze kroonjuwelen die we optimaal beveiligen. Het grootste deel van de IP is echter niet echt onderscheidend, maar daar heb je wel in geïnvesteerd en je wilt niet dat anderen gaan lachen met die kennis. Mijn opvatting is dat je dat deel niet krampachtig moet beveiligen maar gecontroleerd beschikbaar moet stellen zodat andere partijen het niet alleen betaald kunnen hergebruiken maar er zelfs iets aan toe kunnen voegen en kunnen verrijken. Open innovatie dus.”

Het Spotify IP-model is nu vooral nog een ‘praatstuk’, een manier om met anderen binnen de organisatie in contact te komen. “En als alleen DSM het gaat doen, dan is de kans klein dat het gaat vliegen”, onderkent Krikke. Toch gelooft hij in de potentie van het model. “Het is een voorbeeld van een oplossing waarmee je een hoger niveau van security bereikt en een nieuw verdienmodel creëert voor jezelf.”

“Je kent vast wel het verhaal over de rijstkorrels op een schaakbord”, zo besluit Krikke, refererend aan het verhaal waarin het aantal rijstkorrels per veld verdubbelt. “Op een gegeven moment heb je zakken met rijst nodig.” Volgens Krikke dwingt de aanvaller op die manier de verdediger ook om steeds dieper in de buidel te tasten. “Dan is het beter om het mes in de zakken te zetten en leeg te laten lopen. Je kunt beter het verdienmodel van hackers aanpakken dan steeds meer geld uitgeven aan niet duurzame securitymaatregelen die alleen op bescherming gericht zijn. Het Spotify IP-model past daardoor in een circulaire economie en het geeft inzicht in welke securitymaatregelen duurzaam zijn en welke niet. IAM en Digital Rights Management (DRM) behoren tot de eerste categorie, firewalls tot de tweede.”


Lees meer over