V&A: Tijd voor "een technologische en culturele verschuiving" in cyberbeveiliging

Het "nieuwe normaal" van werken op afstand heeft geleid tot een nieuwe focus op cyberbeveiligingsbewustzijn en werknemersgedrag, zegt Thomas Parenty, medeoprichter van cyberbeveiligingsconsultants Archefact Group.

Natuurlijk waren cyberbewustzijnstraining , beveiligingsverantwoordelijkheid en management buy-in al belangrijk vóór de COVID-19 pandemie, zegt Parenty, die met de National Security Administration en het Clinton White House heeft gewerkt aan cyberbeveiligingskwesties. Maar zoals het afgelopen jaar is gebleken, hebben veranderingen in de manier waarop bedrijven werken, hen kwetsbaar gemaakt voor nieuwe cyberbeveiligingsrisico's.

Mimecast sprak met Parenty - die, samen met Archefact medeoprichter Jack Domet, co-auteur was van A Leader's Guide to Cybersecurity: Why Boards Need to Lead - and How to Do It [1] - over de menselijke factor in beveiliging, hoe bedrijfsleiders worden geconfronteerd met een toegenomen verantwoordelijkheid voor cyberbeveiliging en hoe ze best practices in hun organisaties kunnen aanmoedigen.

Mimecast: Hoe voorbereid waren organisaties over de hele wereld om werk op afstand veilig te stellen tijdens de COVID-19 pandemie?

Thomas Parenty: Dit was een interessante wake-up call, zo je wilt, op twee fronten. Enerzijds was er de afhankelijkheid die organisaties hebben van de beveiligingskenmerken van de producten die zij gebruiken, en anderzijds ook de interne uitdagingen om de manier waarop zij computersystemen gebruiken te veranderen om een nieuwe manier van zakendoen te ondersteunen.

Beveiligingslekken in commerciële software zijn een constante. Maar als je dat terzijde schuift, is de belangrijkste factor die cyberrisico's introduceert het gebruik van technologie op nieuwere, andere manieren als gevolg van het veranderen van de manier waarop je zaken doet. Nu we deze radicale verandering van bedrijfsfunctie naar remote hebben meegemaakt, [moet u] in gedachten houden dat telkens wanneer u de manier waarop u zaken doet gaat veranderen, u vervolgens moet kijken hoe de technologische implicaties daarvan nieuwe risico's gaan introduceren.

Mimecast: Is er een nieuwe drempel om je voor te bereiden op cyberaanvallen? Ligt er nu meer verantwoordelijkheid bij de individuele gebruiker?

Parenty: De pandemie en de risico's van werken op afstand hebben het bewustzijn vergroot, maar ze hebben niet fundamenteel veranderd wat we nu moeten doen. Wat bedrijven moeten doen, is overstappen van een algemeen bewustzijn van cyberbeveiliging, of het nu gaat om "kies een sterk wachtwoord" of "klik niet op de link". Ze moeten beter kijken naar de individuele acties die een gebruiker kan ondernemen om een aanval waarschijnlijker of minder waarschijnlijk te maken. Dat hangt zeer, zeer sterk af van de specifieke activiteiten waarbij zij betrokken zijn en de omgeving waarin zij verkeren.

Een voorbeeld is dat als iemand, als gevolg van zijn werkomstandigheden, toevallig gebruik maakt van openbare Wi-Fi. Wel, dat geeft duidelijk aan dat ze een VPN moeten gebruiken om de kans uit te sluiten dat hun verkeer onderschept wordt. Als u thuis werkt, moet u opgeleid zijn of weten dat u uw kind niet op uw werkcomputer moet laten spelen of spelletjes moet laten installeren, omdat dat zelf een kwetsbaarheid zou zijn. Als we nadenken over zinvolle training voor mensen, moet die specifiek verband houden met de handelingen die zij verrichten als onderdeel van hun werk.

Mimecast: In uw boek, A Leader's Guide to Cybersecurity , benadrukt u dat veel niet-tech-dynamieken, zoals de manier waarop frontline-werknemers hun werk doen, meespelen in cyberverdediging. Geeft het overlaten van het toezicht aan de techneuten slechts een gedeeltelijk beeld van wat gebruikers in uw systeem doen en de potentiële risico's?

Parenty: Het is belangrijk na te denken over wat mensen motiveert en wat hun drijfveren zijn om inzicht te krijgen in hun handelingen die voor de veiligheid van belang kunnen zijn. Laten we eens kijken naar twee veel voorkomende motivaties: In het algemeen willen mensen hun werk doen, en ten tweede willen ze stress op het werk vermijden. In het boek geef ik een voorbeeld van een autoconcern waar, om hun werk gedaan te krijgen, een groep een valse werknemersaccount moest aanmaken voor zakenpartners zodat zij toegang konden krijgen tot de systemen en zij konden samenwerken. Hun prioriteit was veel hoger om hun werk gedaan te krijgen dan om de veiligheid van het bedrijf te beschermen.

Dat is een boodschap voor cyberbeveiligers: Als je niet begrijpt hoe mensen werken, ga je controles ontwikkelen die een van de volgende twee dingen doen: verhinderen dat er werk wordt gedaan of het bedrijf niet echt beschermen.

In een ander voorbeeld uit de praktijk kijk ik naar het perspectief van een individuele cyberbeveiliger. Als je ervoor zorgt dat de firewall goed is geconfigureerd en bescherming biedt tegen aanvallen van buitenaf, loop je het risico dat legitieme toepassingen niet meer kunnen werken. Als dat zou gebeuren, zou er iemand voor zijn bureau staan die tegen hem schreeuwt dat hij het onmiddellijk moet repareren. En vanuit een natuurlijk menselijk perspectief [denken ze], "OK, ik zal de firewall minder veilig maken zodat ik minder stress heb op het werk."

Dit zijn voorbeelden van factoren waarbij je de beste technologie zou kunnen hebben, maar die van geen bijzonder nut is tenzij je rekening houdt met de menselijke natuur en de drijfveren van individuen.

IT-medewerkers houden zich door de aard van hun werk bezig met computers, netwerken en technische apparatuur. Daar zijn zeker risico's aan verbonden, maar pas als je buiten de IT-afdeling kijkt en naar de organisatie, het bedrijf in zijn geheel, dan krijg je echt een idee van de wezenlijke risico's voor het bedrijf. Het is absoluut essentieel dat de bedrijfsleiders de risico's identificeren die het belangrijkst zijn voor het bedrijf, zodat u vervolgens de cyberbeveiligings- en IT-mensen kunt inschakelen om te zeggen: "Nou, dit zijn de manieren waarop die risico's voor het bedrijf zich zouden kunnen materialiseren als gevolg van een cyberaanval. Nu moeten we weten waar we ons op moeten richten vanuit een technisch perspectief."

Mimecast: Zien we meer bewustzijn bij business line leiders dat cybersecurity deel moet uitmaken van hun verantwoordelijkheden?

Parenty: Afhankelijk van de CEO, afhankelijk van de sector, varieert de terughoudendheid of bereidheid om deze nieuwe verantwoordelijkheid op het gebied van cyberbeveiliging op zich te nemen duidelijk. Maar vrijwel iedereen weet dat hij verantwoordelijk is. We zijn nog niet op het punt van aansprakelijkheid, zoals het geval is met financiële verslaglegging en Sarbanes-Oxley. En aangezien cyberbeveiliging een veel breder gebied is met veel externe afhankelijkheden, denk ik niet dat we dezelfde soort aansprakelijkheid moeten hebben als voor financiële verslaglegging. Maar zowel CEO's als raden van bestuur erkennen duidelijk dat, ook al zijn ze niet wettelijk verplicht, ze wel degelijk de rekening gepresenteerd krijgen als er een grote inbreuk op hun bedrijf wordt gepleegd. Dit zijn allemaal zaken waarvan CEO's zich zeker bewust zijn en die zij steeds meer proberen uit te zoeken wat hun rol is om ervoor te zorgen dat hun bedrijven adequaat beschermd zijn.

Mimecast: Hoe kunnen leidinggevenden cyberbeveiliging tot een prioriteit maken, terwijl ze tegelijkertijd in zoveel andere richtingen worden getrokken?

Parenty: Vanuit het perspectief van een CEO zijn er maar een paar dingen die hij moet doen. In de eerste plaats moeten ze ervoor zorgen dat het bedrijf organisatorisch in staat is cyberbeveiliging te beheren en dat het over voldoende personeel en middelen beschikt om cyberbeveiliging te organiseren. Een ander element is ervoor te zorgen dat de organisatie binnen het bedrijf is gesitueerd, zodat zij daadwerkelijk effectief kan zijn. Je wilt bijvoorbeeld geen cyberbeveiligingsorganisatie hebben die zo diep in de [grotere] organisatie is ingegraven dat niemand naar hen luistert.

Wat [de cyberbeveiligingsorganisatie] voortdurend moet doen, is ervoor zorgen dat de rest van het bedrijf begrijpt dat cyberbeveiliging een prioriteit is en dat de CEO op de hoogte moet zijn van de status. Een eenvoudige stap is ervoor te zorgen dat er regelmatig over cyberbeveiliging wordt gerapporteerd aan de CEO en aan het executive leadership team.

Een paar weken geleden sprak ik met de CEO van een heel groot Europees transportbedrijf. Toen ze een nieuwe CISO in huis haalden, merkten ze onder andere op dat veel van de senior executives weigerden om de CISO te ontmoeten, het aan iemand anders delegeerden of de vergadering inkortten. De CEO ging naar elk van deze leidinggevenden en zei: "Je neemt de vergadering en je neemt het voor de hele tijd." Dat gaf de boodschap dat dit echt belangrijk is en niet iets wat je gewoon kunt negeren.

Mimecast: Sommige van uw aanbevelingen raken aan de kwestie van het tekort aan cyber-talent. Kunstmatige intelligentie en automatisering worden als een optie aangeboden, maar worden professionals te afhankelijk van waarschuwingen en missen ze het grote bedreigingsbeeld?

Parenty: Technologie hebben en er voordeel uit halen op het gebied van beveiliging zijn twee totaal verschillende concepten. Om echt voordeel te kunnen halen uit cyberbeveiligingstechnologie, moet er veel werk worden gestoken in het beheer en de administratie ervan. Ik ben betrokken geweest bij veel grote bedrijven, met budgetten voor cyberbeveiliging van honderden miljoenen dollars, die absoluut elk beveiligingsproduct hebben, waarvan er geen een echt goed wordt gebruikt. De afhankelijkheid van technologie is een van de punten waarop veel bedrijven tekortschieten, want, nogmaals, het is niet genoeg om de technologie te hebben. Hoe meer technologie je hebt, hoe meer waarschuwingen je zou kunnen zien. We hebben een situatie die een combinatie is van Peter huilt wolf en de hooiberg die groter wordt.

Hoewel meer verfijnde geautomatiseerde analyses - AI, machine learning of gewoon betere algoritmen - zeker enig voordeel kunnen opleveren, zit je nog steeds met het probleem dat je het niet gaat zien als je niet gericht genoeg bent op waar je naar op zoek was. Om cyberbeveiligingsactiviteiten te kunnen prioriteren, moet je eerst beginnen met: Wat zijn de belangrijkste bedrijfsrisico's voor het bedrijf die zich als gevolg van de cyberaanval zouden kunnen voordoen? En richt vervolgens uw technische activiteiten op het beperken van die cyberaanvallen op die ondersteunende systemen.

Mimecast: Zoveel technologie is nu verweven in de dagelijkse bedrijfsvoering, niet alleen informatie maar ook operationeel management. Is het tijd om de plaats van cyberbeveiliging in bedrijfscontinuïteit en operationele veiligheid te heroverwegen?

Parenty: Het is absoluut noodzakelijk de aandacht te verleggen naar de cyberbeveiligingsproblematiek van kritieke infrastructuur en operationele technologie. Er staat veel meer op het spel dan alleen het verlies van creditcardgegevens. Geen schoon drinkwater, geen elektriciteit - dat heeft veel grotere gevolgen dan het verlies van persoonlijke informatie. Ik wil niets afdoen aan de impact van het verlies van bepaalde persoonsgegevens, maar in vergelijking met "we hebben geen elektriciteit" doet het er echt niet toe.

Een van de dingen die we in gedachten moeten houden bij het verleggen van die focus is dat de prioriteiten op het gebied van cyberbeveiliging waarmee we van oudsher te maken hebben, waarbij vertrouwelijkheid van informatie prioriteit heeft, op hun kop worden gezet in deze operationele en IoT-omgevingen, waarin de beschikbaarheid van systemen en de integriteit van informatie veel en veel belangrijker zijn. Er vindt een culturele en technologische verschuiving plaats van de traditionele behandeling van cyberbeveiliging in een kantooromgeving naar deze meer operationele omgeving. Je moet ervoor zorgen dat de cyberbeveiligers inzien dat de prioriteiten en de verhoudingen anders liggen.

Mimecast: Is het delen van informatie de grootste uitdaging die we op dit moment hebben - organisaties informatie laten delen over aanvallen en hoe ze zijn gebeurd, zodat iedereen zijn verdediging op orde kan krijgen?

Parenty: Binnen een organisatie kun je technische mensen hebben die best bereid zijn om informeel informatie te delen met collega's. Maar wanneer je kijkt naar de formele, officiële structuren om informatie over kwetsbaarheden te delen, loop je tegen een aantal juridische problemen aan. Juridische afdelingen van veel bedrijven zijn helemaal niet blij met het vooruitzicht dat hun bedrijven informatie over kwetsbaarheden delen vanwege de aansprakelijkheidsimplicaties. Dat is een probleem.

Er zijn ook problemen met betrekking tot het delen van informatie met regeringen. In sommige sectoren, zoals de elektriciteitssector in de VS, wordt informatie over bedreigingen op zeer doeltreffende wijze gedeeld tussen de overheid en die bedrijven in een vertrouwelijke omgeving. Dat is iets wat heel goed werkt, maar het is geen oplossing die over het algemeen schaalbaar is. Meer in het algemeen zijn er problemen met het delen van informatie tussen overheden en bedrijven, omdat het delen van informatie meestal in één richting gaat: van het bedrijf naar de overheid. Je hoort nooit iets terug. Er zijn, zo u wilt, meer organisatorische en juridische belemmeringen voor het delen van informatie dan louter technische belemmeringen.

Mimecast: Ziet u interessante opkomende trends of bedreigingen die we in de gaten moeten houden?

Parenty: Waar we ons in de toekomst de meeste zorgen over moeten maken, is de nauwere integratie tussen de digitale en de fysieke wereld. In het verleden ging het bij cyberaanvallen vooral om bits en bytes, of het nu om gestolen geld of informatie ging. Maar nu kijken we naar gevolgen die reëel zijn in de fysieke wereld en die veel grotere schade kunnen aanrichten. Dat is het gebied waar cyberbeveiligers en bedrijfsleiders de meeste aandacht aan moeten besteden. Dat hoeft niet alleen op het gebied van kritieke infrastructuur te zijn, want dit geldt ook in bredere zin voor het internet van dingen.

[1] A Leader's Guide to Cybersecurity: Why Boards Need to Lead-and How to Do It , door Thomas J. Parenty enJack J. Domet (Harvard Business Review Press, 2019)