V&A: Beste praktijken voor het opbouwen van een cultuur van cyberbeveiliging

"Cyberaanvallen nemen toe in frequentie, geavanceerdheid en impact. De verdediging ertegen vereist een nieuwe kijk op de aanvallen en de aanvallers." Dat verklaren Keri Pearlson en haar co-auteurs in Casting the Dark Web in a New Light , een publicatie van de MIT Sloan School of Management.

Nu cyberaanvallen een steeds grotere bedreiging vormen voor bedrijven, hebben CISO's en cyberbeveiligingsprofessionals nieuwe benaderingen nodig om hun bedrijven te beschermen, zegt Pearlson, uitvoerend directeur Cybersecurity bij MIT Sloan. Centraal hierbij staat het inbrengen van cyberbeveiligingsbewustzijn in de cultuur van een organisatie, en dit is, aldus Pearlson, een bedrijfsbreed project. "Mensen moeten op meerdere niveaus betrokken raken," merkt ze op. "Het is niet alleen de taak van de CISO."

In het interview met Mimecast-bijdrager Mercedes Cardona dat volgt, legt Pearlson uit hoe cybercriminelen steeds beter georganiseerd zijn geworden en welke best practices bedrijven moeten volgen om terug te vechten.

Noot van de redactie: Dit is het tweede in een reeks interviews met vooraanstaande deskundigen op het gebied van cyberbeveiliging uit de academische wereld, onderzoeksinstellingen en de particuliere sector.

Mimecast: Dus hoe creëert een bedrijf een cultuur van cyberbeveiliging? Helpt bewustmakingstraining op het gebied van cyberbeveiliging?

Keri Pearlson: Veel bedrijven hebben trainingsprogramma's voor naleving en die zijn nuttig voor een aantal dingen. Ten eerste kunnen ze het vakje 'compliance' aanvinken dat ze dit hebben. Maar een andere is dat ze een basislijn vaststellen voor hun werknemers.

De meest doeltreffende opleiding is iets dat gebeurt op het moment, wanneer ik het nodig heb, niet iets dat ik heb gevolgd toen ik aan de job begon. We willen dat de algemene werknemer - niet het cyberteam, maar u en ik - bepaalde dingen doet. We willen dat ze niet op een phishing e-mail klikken; we willen dat ze, als ze een vreemde website of iets dergelijks zien, dat melden. We willen dat ze, als ze toevallig - per ongeluk of expres - op iets klikken dat iets teweegbrengt wat ze niet verwachtten, ons dat vertellen zodat we het kunnen gaan onderzoeken. We willen dat ze geen thumb drives inpluggen die ze buiten vinden en niet weten wat er op staat.

We willen dat teams samenwerken. Als je iets ziet dat er vreemd uitziet, willen we dat je je naar je collega wendt en zegt: "Ik heb dit net gekregen, heb jij ook zoiets gekregen, of heb je het gezien?"

Dit zijn gedragingen die we willen stimuleren. Maar gedrag wordt gestuurd door waarden, attitudes en overtuigingen. Als je het belangrijk vindt, ga je er waarschijnlijk iets aan doen.

Mimecast: In uw artikelen bespreekt u veiligheid in relatie tot operationele technologie versus informatietechnologie. Kunt u uitleggen wat dat betekent?

Pearlson: We hebben het over technologieën die worden gebruikt om een bedrijf te runnen. Het kan gaan om productie of industriële controles, nutsvoorzieningen, boilers en koelers of grote offshore boorplatforms. Er zijn allerlei soorten technologieën die onze bedrijven tegenwoordig besturen, en de mensen die ze besturen zijn OT - operationele technologen. Informatietechnologen zijn meestal mensen die met informatie werken, en de kern van hun werk is digitaal - zoals bankieren of creditcardverwerking of een of andere vorm van organisatiegegevens.

De OT mensen hebben al een zeer sterke veiligheidscultuur. Je bent op een offshore booreiland; je bent in een boiler-chiller fabriek; je bent in een productiebedrijf waar machines draaien. Je bent je al bewust van de veiligheid; je gaat niet je vinger op een apparaat steken omdat je wilt zien of het heet is.

Wij willen er zeker van zijn dat deze veiligheidscultuur zich ook uitstrekt tot informatiebeveiliging. Je wilt bijvoorbeeld niet dat iemand inbreekt en de instellingen verandert - de boiler hoger zet zodat hij ontploft. Deze operationele systemen zijn digitaal, maar niet op de manier waarop we traditioneel over informatiesystemen denken. IT-afdelingen beheren niet noodzakelijkerwijs de OT. De OT worden beheerd door een aparte groep, meestal de mensen die de operaties leiden.

Wij willen dezelfde veiligheidsdiscipline die al in deze OT-omgevingen bestaat, toepassen op de informatie- of digitale kant van hun activiteiten. En zo denken ze er misschien nog niet over.

Mimecast: Hoe creëer je dit soort cyberbeveiligingsbewustzijn in een recessie-economie, wanneer bedrijven met zoveel andere concurrerende prioriteiten te maken hebben?

Pearlson: Dit is de kunst van het management. Managers moeten uitzoeken wat de prioriteiten zijn en waar ze hun aandacht aan gaan besteden. Wat ik je kan vertellen is dit: Als je je aandacht niet besteedt aan het beschermen van je bedrijf op cyber-gebied, dan laat je jezelf kwetsbaar voor een aantal enorme risico's. Dat is de beslissing die managers moeten nemen.

Er zijn bepaalde waarden, attitudes en overtuigingen over veiligheid waar je geen vat op hebt. Je kunt niet bepalen in welk land je bent, en sommige landen hechten meer waarde aan veiligheid en privacy dan andere. Je hebt geen directe controle over de regelgeving die op je van toepassing is.

Maar er zijn veel dingen die een manager kan doen, en die noemen we managementmechanismen. Dat zijn de dingen die managers kunnen doen om de harten en geesten van mensen te veranderen.

Eén bedrijf waarmee we werken, een verzekeringsmaatschappij, heeft een leider aangenomen om een cyberbeveiligingscultuur op te bouwen. Dit was een beslissing van het management; ze hebben er middelen achter gezet. Ze hebben iemand aangenomen en het is haar taak om ervoor te zorgen dat de waarden, attitudes en overtuigingen over cyber in overeenstemming zijn met wat het bedrijf wil zien.

Persoonlijk denk ik dat dat een briljante beslissing was, omdat een marketing persoon weet hoe je harten en geesten moet veranderen. Dat is waar het bij marketing om gaat. Het is je laten begrijpen wat belangrijk is.

Mimecast: De buy-in van het management verkrijgen is een conventionele wijsheid, maar hoe werk je je een weg naar beneden naar de eindgebruikers van het bedrijf?

Pearlson: Mensen houden van beloningen. Een ander bedrijf deelde met ons enkele van de dingen die ze doen: ze voerden een campagne waarbij ze mensen een koekje gaven als ze iets lieten zien. Het was een chocolate chip cookie, en ze hadden zoveel mensen die deden wat van hen gevraagd werd omdat ze een koekje wilden. Het is heel simpel, maar dat beloningssysteem veranderde de waarden van mensen, veranderde hun overtuigingen.

Een ander voorbeeld: De cyberbeveiligingsevangelist van dezelfde bank ging rond en plakte kleine Post-it briefjes op onconventionele plaatsen: "Heb je onlangs je wachtwoord veranderd?" "Heeft u uw computer afgesloten voordat u naar deze koffieautomaat kwam?" Om het onderwerp onder de aandacht te brengen, voerde hij zijn campagne op plaatsen waar mensen samenkwamen.

Tijdens de 'all-hands meeting' van een ander bedrijf - alle handen, dus alle werknemers - begon de CEO met een cybersecurity-moment. Ik zou een boek willen schrijven: Cybersecurity kan gratis zijn, omdat er zoveel kleine dingen zijn die je kunt doen die weinig tot niets kosten, zoals een koekje of je werknemersvergaderingen beginnen met vijf minuten discussie over de nieuwste cybersecuritykwestie.

Dat soort dingen werkt om de harten en geesten van iedereen in de organisatie te winnen. Als je denkt dat je baas het belangrijk vindt, denk je waarschijnlijk ook dat jij het belangrijk zou moeten vinden. En omgekeerd, als je baas het er nooit over heeft, weet je misschien niet dat het belangrijk voor hem is.

[We hebben bijvoorbeeld een ander project op het gebied van productontwikkeling. We onderzoeken hoe we de harten en geesten van productontwikkelaars kunnen veranderen, zodat ze bouwen voor cyberbeveiliging, net zoals ze bouwen voor maakbaarheid, gebruiksgemak en onderhoud. En in één bedrijf dat we onderzochten, zeiden de managers nooit tegen hun ontwikkelaars: "We willen dat jullie bouwen voor cyberbeveiliging." Ze gingen er gewoon van uit dat ze het wisten.

Mimecast: Naarmate meer ivd-apparaten online komen, van uw auto tot uw koelkast, zullen deze dan geen deel gaan uitmaken van de vergelijking?

Pearlson: Natuurlijk, en een van onze andere bevindingen is dat als het gaat om merkproducten met een grote naam, klanten ervan uitgaan dat cyberbeveiliging al is ingebouwd.

Maar als dat waar is, hoe gebeurt het dan? Niet omdat de ontwerper eraan dacht het in te bouwen. Als het veilig is, is het omdat het ontwerpproces ervoor zorgde dat het product veilig was. Dat is iets heel anders. Het is veel duurder om iets achteraf te voorzien van beveiligingsfuncties dan om het vanaf het begin te ontwerpen met cyberbeveiliging in het achterhoofd.

Mimecast: U was co-auteur van een rapport over het Dark Web waarin het nieuwe bedrijfsmodel van cybercriminaliteit werd besproken. Hoe is de aard van cybercriminaliteit aan het veranderen?

Pearlson: Hollywood wil ons doen geloven dat hackers allemaal getatoeëerde, gepiercete mensen met capuchons zijn die in donkere kamers zitten met meerdere schermen voor zich. En die mensen bestaan ook. Maar vandaag de dag is het een grotere business dan dat. En dat is wat het 'aha!' moment van die paper was. Toen we ons onderzoek deden, vonden we een aantal cybercriminaliteit-as-a-service-aanbiedingen op het Dark Web.

Hackers in spe kunnen alle onderdelen die ze nodig hebben als dienst kopen en ze vervolgens in elkaar knutselen om hun aanvalsvector te vormen. En het Dark Web is zo goed georganiseerd, ze hebben ondersteuningsdesks. Er is iemand die je op het Dark Web kunt bellen of met wie je contact kunt opnemen om je te helpen alles in elkaar te zetten.

Dit zijn gewone zakenmensen met een slechte ethiek. Ze delen informatie onder elkaar, zodat ze weten hoe ze de waarde van hun zaak kunnen maximaliseren.

[Omgekeerd], als we niet goed zijn in het delen van informatie over hoe we worden aangevallen, kunnen we niet van elkaar leren, en stellen we onszelf alleen maar bloot aan voortdurende aanvallen.

Mimecast: Zijn ondernemingen nog steeds gefocust op de hacker in de kelder? Moeten ze erkennen dat cybercriminaliteit nu georganiseerde misdaad is?

Pearlson: Ik denk dat veel bedrijven daar inmiddels wel achter zijn. Maar ik ben er niet eens zeker van dat ze nadenken over wie het is, anders dan is het een natie-staat of een soort hackactivist, of is het gewoon iemand die geld wil? Deze mensen zijn georganiseerd, maar het is niet noodzakelijkerwijs georganiseerde misdaad. Het zijn gewoon hele slimme, technologisch onderlegde mensen die zakenmensen zijn.

Mimecast: Welke stappen moeten bedrijven, gezien dit alles, nemen om zich beter te verdedigen?

Pearlson: De autoriteiten zijn hier erg goed in - de drieletter agentschappen: Binnenlandse Veiligheid, FBI, wat je lokale autoriteiten ook zijn. Zelfs veel grotere politieafdelingen hebben nu cyberwapens. Ze hebben nieuwsbrieven die ze versturen. Ze zijn erg goed in het delen van wat ze hebben, wat ze weten en wat ze kunnen delen. Dat is een manier om jezelf te beschermen: je aansluiten bij wie de juiste autoriteit is voor jouw bedrijf.

In chatrooms, op het Dark Web, kun je aanwijzingen zien dat er een aanval wordt gevormd. Dan kun je jezelf proactief beschermen.

Als je bijvoorbeeld wist dat iemand zich aan het voorbereiden was om verzekeringsmaatschappijen aan te vallen door [bepaalde] processen te verstoren, dan zou je stappen kunnen nemen om jezelf te beschermen. Je zou bijvoorbeeld je verdediging kunnen verschuiven naar dat specifieke gebied.

Mimecast: Wat moeten de topprioriteiten zijn voor CISO's en beveiligingsprofessionals?

Pearlson: Ik ben een beetje bevooroordeeld; ik denk dat de mensenkant een prioriteit moet zijn. Ik denk dat je mensen je zwakste schakel zijn, maar ook je beste verdediging. Als ik zou kijken naar nieuwe initiatieven voor mijn bedrijf, zou ik hier serieus naar kijken. Waar zitten de gaten? Waar zitten de zwakke plekken? Hoe kunnen we die dichten?

Dat gezegd hebbende, ik denk dat het een paal boven water is dat al uw technologieën up to date zijn. Alle patches die zijn uitgebracht voor uw systemen zijn geïnstalleerd en hersteld. Er is een basis hygiëne die moet gebeuren.

Voor de kleinere bedrijven, moet je daar beginnen: Zorg ervoor dat je hygiëne in orde is. En dan voor de grotere bedrijven of bedrijven waar de tafel inzet is gedekt, dan denk ik dat het volgende is om te kijken naar je mensen.

Dat is waar ons onderzoek naar cultuur zo belangrijk wordt: Hoe verander je de harten en geesten van je mensen? Hoe bouw je een cultuur van cyberbeveiliging?