Data-beveiliging 2008: focus op het grootste risico (dat bent u)
Allemaal leuk en aardig, dat internet, maar erg veel veiliger is het er niet op geworden. De kans dat het een onverlaat lukt om uw bedrijfsgegevens te publiceren (of te verkopen aan de hoogst biedende concurrent) is vele malen groter dan u zich waarschijnlijk realiseert. De vraag is of dat in 2008 anders wordt.
Ga de geschiedenis van de meeste softwareprogramma’s maar na: de eerste de beste update die u moet downloaden is een beveiligingsupdate. En niet zelden is die binnen 24 uur na de introductie van het programma beschikbaar. Het geeft aan hoe moeilijk het is programma’s te beveiligen tegen kwaadwilligen.
De verwachting is dat het risico op data-misbruik het komende jaar alleen nog maar groter wordt. Het toenemende gebruik van draadloze en vooral mobiele systemen is daar debet aan. Wat beveiligingsexperts betreft, was de BlackBerry nooit uitgevonden.
Wat ook niet helpt is de toename van thuiswerken. De laptop wil zich thuis nogal eens ontworstelen aan het (hopelijk) strakke regime van de IT-afdeling op de zaak en wordt zodoende een mogelijke prooi voor cybercriminelen.
Beveilig de bron
Zelfs grote en goedwillende bedrijven hebben het moeilijk met data-beveiliging. De ratrace tussen enerzijds beveiligers en anderzijds cyberboefjes is een 24/7 gevecht. Voor een gewone IT-afdeling niet bij te benen. Laat staan voor de gemiddelde MKB-er. Hoe goed u ook uw best doet en hoeveel u ook uitgeeft aan externe deskundigheid: u loopt altijd een paar stappen achter op de slechteriken.
We horen het u zeggen: “Maar ik heb toch een Firewall en ant-virus software!”.
Wat de experts u tot op heden niet wilden vertellen (daarom doen wij het maar) is dat een firewall ooit is uitgevonden omdat het maar niet wil lukken de bron voldoende te beschermen. Het is een pleister. Geen slechte pleister, maar toch. En zoals u weet slijten pleisters na verloop van tijd. Ze houden ijverige IT-studenten buiten de deur, maar een professionele cybercrimineel laat zich er niet door tegenhouden.
Moeder Aller Bedreigingen
Even terug naar wat in 2008 waarschijnlijk het grootste zorgenkindje dreigt te worden: de beveiliging van mobiele apparaten: telefoons die steeds slimmer en veelzijdiger worden. Inmiddels zijn er geavanceerde pakketen op de markt die de data op dergelijke toestellen beschermen met gebruikmaking van versleuteling, authenticatie en de ’ouderwetse’ firewall. De instellingen van die software is niet meer de zaak van de gebruiker van de telefoon, maar van die van de IT-specialist. Die beheert alle toestellen die onder zijn hoede zijn centraal.
Het is een stap in de goede richting, zeggen de deskundigen. Daarmee doelen ze op de software, maar ook op het feit dat het grootste risico-element buitenspel wordt gezet: de gebruiker. Want het grootste probleem is niet de software, maar de gebruiker zelf. De gebruiker is De Moeder Aller Bedreigingen. Hij of zij, zo lijkt het, neemt het probleem gewoonweg nog steeds niet serieus. De gebruiker gebruikt (en verliest) USB-sticks alsof er niets aan de hand is, schakelt beveiligingssoftware uit ‘want dat werkt sneller’ en netwerkt zich in de kroeg een ongeluk terwijl er op de achterbank van de leasebak een laptop voor het grijpen ligt die zelfs de meeste elementaire vorm van beveiliging mist - een password bijvoorbeeld.
Handdoek
Hoe groot het probleem is, blijkt uit onderzoeken in de VS, UK, Australië en Canada. De meeste gebruikers blijken bij de term data-beveiliging te denken aan zaken als spam, virussen, malware, phising en ‘trojan horses’. Kortom, allemaal bedreigingen die doorgaans via e-mail op ons afkomen. Dat er jaarlijks meer data op straat komt te liggen door een laptop in de auto achter te laten of een onbeveiligde USB stick te laten slingeren, blijkt totaal niet doorgedrongen, concluderen de onderzoekers.
Daarom gaat het roer om voorspellen deskundigen. De beveiligers zullen zich niet langer primair richten op de hard- en software, maar op de gebruikers. Dáár zit het grootste risico, dus daar is de grootste winst te halen.
Dus ze gooiende handdoek in de ring?
Nee, dat niet. De grotere adviesbureaus op dit gebied verleggen wel de focus. Hard- en software beveiliging, zeggen ze, is inmiddels op een niveau gekomen, dat alleen die-hard experts nog een vinger achter kunnen krijgen. Dat kost inmiddels echter zoveel tijd en zoveel energie, dat negen van de tien doorsnee bedrijven niet meer interessant zijn. Ook cybercriminelen hebben een ROI om in de gaten te houden. Daarom is de tijd rijp om de ‘vervuiler’ aan te pakken – de gebruiker. Deels door beveiligingstaken veel vaker centraal uit te laten voeren door de systeembeheerder, deels door voorlichtings- en bewustwordingscampagnes. En mocht dat allemaal niet helpen, dan kunt u altijd nog het draconische advies van een Noorse hoogleraar ICT-beveiliging opvolgen: mobiele apparaten er uit, alle USB poorten op elke PC onklaar maken en een voor de buitendienstmedewerkers die écht niet zonder laptop kunnen: een basic exemplaar, zonder functionerende USB poorten, zonder modem en een 512 kb harde schijf.
