Achtergrondartikel


Jeroen Veraart blikt terug op Cyber Security 2016:

‘We gaan ten onder aan complexiteit’

Heeft uw organisatie recent schade ondervonden als gevolg van cybercrime? Tijdens het Heliview Cyber Security congres dat op 15 november plaatsvond in Amersfoort beantwoordde maar liefst negen procent van de aanwezigen deze vraag met ‘behoorlijke schade’ of ‘enorme schade’. Dat is bijna één op de tien deelnemers. Een zorgwekkend cijfer. De vraag hoe we dit cijfer omlaag kunnen brengen, stond uiteraard centraal in de diverse presentaties.

Een van de beste presentaties van deze dag werd in mijn beleving gegeven door Dave Maasland van ESET. Maasland gebruikte zijn passie voor natuurdocumentaires om uit te leggen dat opgegeten worden als prooi vergelijkbaar is met het ‘haasje zijn’ van een geslaagde criminele aanval.

Om zijn punt kracht bij te zetten, citeert hij Brian Snow, voormalig directeur Information Assurance voor de NSA: “I’m here to tell you that your cyber systems continue to function and serve you not due to the expertise of your security staff but solely due to the sufferance of your opponents.”

Dat is waarschijnlijk in veel gevallen daadwerkelijk het geval. Het bedrijf dat niet geraakt wordt, is waarschijnlijk nog niet interessant genoeg. Maar de rode draad door de presentatie van Maasland is eigenlijk heel simpel. Veel van de grote hacks die de afgelopen jaren hebben plaatsgevonden, zijn het gevolg van enorme nalatigheid en niet het gevolg van zogenaamde ‘sophisticated’ aanvallen. Veel bedrijven die zijn gehackt, roepen dat ze zich niet hebben kunnen beschermen tegen de intelligente aanvallen van de criminelen. Als je onderzoek uitvoert naar de echte oorzaak, dan blijkt echter bijna altijd dat basale zaken gewoon niet op orde waren.

Basis op orde
Waar Maasland dan ook voor pleit, is ervoor te zorgen dat de basis op orde wordt gebracht, en dat alle techniek die al beschikbaar is ook slim en efficiënt wordt ingezet. Wacht even met weer een nieuwe technologie naar binnen kruien en zorg eerst dat alles wat er staat optimaal functioneert.

Het gaat dan om de combinatie van techniek, processen en mensen. Hij eindigt dan ook weer met een blik op de natuur: een luiaard is zo traag dat er mos op hem groeit, hij heeft camouflage. Of kijk naar een schildpad of zeekoe, die hebben een dusdanig dikke huid, die biedt al enorme bescherming.

Begrijp de crimineel
Andere sprekers vestigden tijdens het Cyber Security congres meer de aandacht op de opponent. Om jezelf te kunnen verdedigen moet je je vijand kennen. Mischa Peters van Lightcyber liet in zijn presentatie bijvoorbeeld zien hoe hackers te werk gaan.
Zijn insteek is om vooral te begrijpen hoe de criminelen doen en denken en om deze kennis vervolgens te gebruiken in de bestrijding van dezelfde criminelen. Met Lightcyber moet je in staat zijn om de bekende naald in de hooiberg daadwerkelijk te vinden.

Bij IBM worden altijd veel ontwikkelingen verbonden met IBM Watson, zo ook tijdens de presentatie van Erwin Friethoff, Security Solutions Architect bij IBM. Bij mij blijft altijd het gevoel bestaan dat kunstmatige intelligentie nog steeds niet echt van de grond komt. Er wordt wel een interessante aanvulling getoond op QRadar in combinatie met IBM Watson. Daarbij wordt als het goed is een hele hoop handwerk (of denkwerk) uit handen genomen van de analisten. Dit wordt uitgevoerd door IBM Watson met als gevolg dat de uren die daarbij vrijkomen voor de analisten beter benut kan worden.

Simplicity is necessary
De afsluiting van deze dag werd verzorgd door het fenomeen Mikko Hyppönen. Een mooie spreker die het voor elkaar krijgt om in een en dezelfde presentatie zowel naar de problematiek van vandaag als naar de verre toekomst te kijken.

De Finse beveiligingsexpert van F-Secure startte met te benadrukken dat we ten onder zullen gaan aan de complexiteit die we zelf introduceren. ‘Simplicity is necessary’ zoals hij dat zegt. Daarnaast geeft ook hij aan dat de gebruikers op dit moment nog steeds de zwakste schakel zijn. Helaas kunnen we mensen niet ‘patchen’. Hij trekt dat vervolgens in het extreme en zegt dat educatie van eindgebruikers volkomen zinloos is. Daarin verschil ik nog wel behoorlijk met hem van mening. Wat ik wel met hem eens ben, is dat je issues omtrent beveiliging niet mag neerleggen bij de gewone gebruiker. Die mogen niet de verantwoordelijkheid dragen voor het beveiligen van onze huidige informatievoorzieningen.

Internet laten voortbestaan?
Hyppönen stelt ook de simpele vraag: levert internet met alle gevaren wel voldoende op om het te laten voortbestaan? Ondanks het feit dat je volgens mij internet niet meer uit kunt zetten, kun je wel concluderen dat internet de wereld al veel meer heeft gebracht dan afgenomen! De balans valt volgens Hyppönen nog steeds behoorlijk positief uit, en daar ben ik het eigenlijk wel heel erg mee eens.

Vervolgens nam Hyppönen ons mee in de wondere wereld van het Internet of Things (IoT). Er is recent een aantal zeer grote bedreigingen geweest als gevolg van alle IoT-devices die wereldwijd online zijn gekomen. Het Mirai-botnet is daarvan het grootste en bekendste voorbeeld. Het blijkt dat dit botnet kon worden opgezet door gebruik te maken van slechts 61 standaard wachtwoorden die op maar liefst 400.000 devices waren geïnstalleerd.

Software zonder bugs?
Hyppönen nam ons vervolgens mee in de gedachte dat het in de toekomst mogelijk moet worden om software te laten ontwikkelen zonder dat daarvoor programmeurs nodig zijn. Ja, alle programmeurs moeten zich zorgen maken over hun baan als het aan Hyppönen ligt.

Stel je voor dat er een dag komt waarop er simpelweg geen enkele bug meer in software aanwezig zal zijn. Dit kan volgens Hyppönen worden gerealiseerd door gebruik te maken van Artificial Intelligence. Niet nu meteen, maar hij verwacht dat wij dat in ons leven nog mee zullen gaan maken. Dat is een prettige gedachte.


Lees meer over