Last van cybercriminaliteit? Maak je systemen onaantrekkelijk!

Wat kunnen organisaties doen tegen cyberaanvallen?

Iedereen kan een willekeurige lijst opstellen van maatregelen die organisaties moeten nemen om zich te beveiligen tegen cyberaanvallen. Iedere lijst zal er verschillend uit zien. Dat is domweg het gevolg van ieders eigen voorkeuren, kennis en ervaring. Ikzelf kijk graag naar de effecten van een maatregel. Daarvoor gebruik ik bijvoorbeeld onderstaande figuur. De figuur is afkomstig uit het ISACA document  'Transforming Cybersecurity using COBIT 5'.

(ISACA document  'Transforming Cybersecurity using COBIT 5')

Het aantal aanvallen (links in het rood) is de optelsom van de interne aanvallen en de externe aanvallen. Deze twee worden beïnvloed door interne medewerkers en de externe aanvallers. Een hoger aantal aanvallen, dat wordt ontdekt, ontmoedigt aanvallers. Ook komen er meer kwetsbaarheden, bedreigingen en risico’s aan het licht hierdoor. Als gevolg hiervan verandert de totale aantrekkelijkheid van de organisatie als potentieel slachtoffer.

Meer specifiek is de aantrekkelijkheid van een individueel systeem bepalend voor de ‘window of opportunity’ voor een cyberaanval. Een onaantrekkelijk systeem vraagt meer inspanning, meer tijd, meer kennis en meer voorbereiding om de aanval succesvol te maken. De bovenste helft van de figuur bepaalt uiteindelijk hoe waarschijnlijk de aanval ook gaat plaatsvinden. De bepalende factoren zijn dan de aantrekkelijkheid van het systeem, het onderliggende motief en de kans die zich voordoet om een aanval te starten.

Binnen deze dynamiek moeten investeringen in securitymaatregelen tot een optimale beveiliging leiden. De volgende figuur laat zien welke maatregelen helpen.

(ISACA document  'Transforming Cybersecurity using COBIT 5')

Sommige systemen zijn helemaal niet aantrekkelijk. Classificatie brengt dit aan het licht. Aanvallen worden ontdekt door Intrusion Detection/Protection Systems, Event Logging en Incident Response. Scanning en monitoring brengen kwetsbaarheden aan het licht. Een goede security architectuur draagt bij aan de technische robuustheid van een systeem. Hardening maakt een systeem moeilijker te kraken. Kortom er zitten aardig wat aanknopingspunten in voor organisaties om te investeren in security.

Nu zijn deze maatregelen nog niet concreet genoeg. De onderstaande figuur is opgesteld door ISACA in het kader van cybersecurity. Het geeft de concrete maatregelen weer die organisaties ‘moeten’ nemen om zich goed te beveiligen tegen cyberaanvallen. 

Het lijkt bijna een voorschrift van de cybersecuritydokter. Als het veel toegepast wordt spreken we gerust van een best practise. 

(ISACA document 'Advanced Persistent Threats: How To Manage The Risk To Your Business') 

Al die maatregelen zorgen dus uiteindelijk voor afgenomen aantrekkelijkheid van systemen. Indirect zeg je daarmee: ‘AFBLIJVEN!’

Ok, nu weet je dat je de aantrekkelijkheid van assets volgens bovenstaande maatregelen kunt verminderen. De vraag is of je straks met al die tooling er wel aan toe komt om ze effectief te gebruiken. 

Het treurige beeld dat ik krijg bij mijn bezoeken aan diverse organisaties is dat ze best in staat zijn om de stekker in de muur te steken, de boel te configureren en geregeld te kijken of de spullen nog aan staan. Maar het functioneel gebruik van security tooling is veelal een ondergeschoven kindje. En dan ben ik toch weer blij dat er security professionals/bedrijven in de markt zijn die weten hoe je het functioneel gebruik van security tooling dagelijks procesmatig uitvoert. 

Ik stel me zo voor dat, als je meer uit je security tooling wilt halen, gewoon eens komt praten. Ik nodig je daarom graag uit voor de Onsight Wintermarkt op 17 december 2013. Een gezellig evenement waar je ontspannen kunt kennismaken met Onsight, de medewerkers en de leveranciers. Verzamel in winterse sferen je kerstpakket bij elkaar. Kijk hier voor meer informatie. 

Ik zie je graag de 17e december. Tot dan!

READY FOR ACTION – CYBERAANVALLEN BESTRIJDEN

In een voorgaand blogartikel (Wat is jouw record op de 100 meter cyberdefense?) heb ik je al gevraagd of je voorbereid was op cyberaanvallen.

Het bestrijden van cyberaanvallen, zoals een Advanced Persistent Threat (APT), vraagt om intensieve voorbereiding  op het onverwachte. Dat zie ik terug bij klanten. In 2013  staat bij hen eigenlijk maar 1 vraag centraal.

Wat gebeurt er allemaal in mijn infrastructuur?

Organisaties weten niet:

• Hoe hun infrastructuur er uit ziet.
• Welke kwetsbaarheden er zijn.
• Welke maatregelen ze hebben genomen.
• Hoe effectief de maatregelen hun werk doen.
• Wie ongeoorloofd toegang hebben tot gevoelige data.
• Waar de gevoelige data is.
• Wanneer aanbevolen (en goedgekeurde) oplossingen eindelijk ingevoerd worden.
• …

Zo kan ik nog wel even doorgaan. Feit is dat het hier om basale vragen gaat die iedere organisatie al lang moet kunnen beantwoorden. Op het eerste oog lijkt het er op dat IT-Managers hun verantwoordelijkheid niet kennen. Of ligt het toch lastiger?

Het nare aan APT’s is hun complexiteit, hun vasthoudendheid en ze blijven steeds slim onder de radar opereren. Ze verpakken hun communicatie met Command & Control servers (C&C) in DNS-verkeer. Of ze sturen requests naar random domeinnamen waarop uiteindelijk een C&C-server reageert. Hoe krijg je dat dan wel in beeld?

Organisaties schaffen wel tooling voor securitymonitoring aan, maar het merendeel van hun tijd zijn ze bezig om die tooling te beheren. Ze werken niet MET de tooling. Eigenlijk tuigt de IT-afdeling een informatiesysteem op waarbij ze zelf gebruiker zijn. Ze hebben echter geen gebruikers aangewezen voor het werken met die tooling. Dan heb ik het over gebruikers die de verantwoordelijkheid en de tijd hebben om er mee te werken!   

OK, wel tooling maar geen gebruikers van die tooling. Dat is een klein schoonheidsfoutje.

Maar de realiteit is dusdanig dat APT’s slimmer worden. Daar hoort dus een nog grotere hoeveelheid tooling en informatie tegenover te staan. Dat is de redenatie in de vakbladen.

Lol! Nog meer tooling in organisaties die wel beheerders, maar geen gebruikers, hebben voor die tooling .

Als je denkt dat tooling je ultieme redmiddel is, vergeet het dan maar. Je zult als IT-afdeling extra kwaliteiten moeten ontwikkelen om APT’s te ontdekken. Vergelijk het met de blinde jongen uit de onderstaande film. Zijn ogen zijn op jonge leeftijd operatief verwijderd. Intussen heeft hij zijn andere zintuigen optimaal ontwikkeld waardoor hij op basis van klikgeluid van zijn tong zijn omgeving kan verkennen. Verbaas jezelf gerust eventjes.

Mooi hè?

Deze week  werd trouwens de icane geïntroduceerd. Een blindenstok die communiceert met de smartphone. En dan kan ik natuurlijk niet voorbijgaan aan de trouwste vriend van de mens. De blindengeleidehond.

Een kwaliteit die sterk bepalend is voor het effectief bestrijden van cyberaanvallen, en andere securityincidenten, is samenwerking. Noem het teamwork.

Overal is het duidelijk dat de mannen van het securityteam prima dingen doen. Toch is er geen gezamenlijke inspanning op dat vlak. Een voorgestelde oplossing voor een lek in de werkplekomgeving ligt na 1,5 jaar gewoon nog te wachten op invoering. Luisteren naar de mannen van security gebeurt niet.

Twee dingen die ik daarover kwijt wil:

1. Beste teamleider van security operations, als je niet gehoord wordt moet je er op af. Zing een ander deuntje, gebruik andere overtuigingstechnieken, regel dat je gehoord wordt. Zorg dat ze naar je luisteren.
2. Beste IT-manager, neem je verantwoordelijkheid. Zorg dat de mannen van security operations ruimte krijgen om hun werk te doen. Jaag alle teamleiders van werkplekbeheer, systeembeheer, netwerkbeheer en applicatiebeheer, samen met security operations, in een hok. Draai de deur op slot en laat ze er pas uit als ze eensgezind een aanvalsplan hebben opgesteld voor samenwerking op het gebied van security operations. Pak die bal op. Breek muurtjes af, laat ze van elkaar leren. Zorg er voor dat ervaring niet wegvloeit naar praatfuncties als IT-architecten. Maak operations leuk. Het is een vak waar je alleen terecht komt als je jaren ervaring achter de kiezen hebt. 

Goed, voor zover het domineesvingertje.

Ik zie ook veel organisaties die nadenken over het outsourcen van hun operationele securitybeheer. Niet alleen het beheer van hun securityinfrastructuur, maar ook security monitoring. Organisaties vinden het niet hun kerntaak. Of ze zijn al jarenlang niet in staat om hun operationele securitybeheer en/of –monitoring  op de rit te krijgen.

Dat laatste is niet verwonderlijk als je het eerste gedeelte van dit blogartikel in het achterhoofd houdt. Het is niet makkelijk, zeker niet als je aangeschafte tooling alleen maar afstoft en niet functioneel gebruikt.

Maar als je security gaat uitbesteden kom je vanzelf de klassieke valkuilen tegen:  

• Je denkt dat je verantwoordelijkheid kunt uitbesteden.
• Je ziet de partij waaraan je uitbesteedt als leverancier en niet als partner.
• Je wilt voor een dubbeltje op de eerste rang zitten.
• Je betaalt een fixed price voor een fixed service. Ieder stapje meer heet méérwerk, met dito factuur.
• Je laat het na om in de eigen organisatie goed third-party management op te tuigen.
• De cultuur van je eigen organisatie sluit niet aan bij die van je ‘securitypartner’ (klopt ook wel als je die slechts ziet als leverancier).
• … 

Ook hier kan ik nog wel even doorgaan.

De uitdaging is om samenwerking te verweven in de uitbestedingsrelatie. Dat is niet altijd het uitgangspunt voor de klant. Maar ik ben wel blij dat veel organisaties zich toch over laten halen om security operations goed te organiseren.

Bij intakegesprekken voor uitbesteding zie je steeds weer dat medewerkers elkaar aankijken als gevraagd wordt: ‘wie pakt bij jullie securityincidenten op waar wij geen mandaat hebben?’. Daar raak je direct het keiharde gebrek aan samenwerking binnen de klantorganisatie als het gaat om security operations.

Zo’n incidentmelding moet gelijk opgepakt kunnen worden. Delegeren is ook prima, maar wel aan iemand die voldoende mandaat heeft. Veelal duidt het ‘elkaar aanstaren’ op gebrek aan zeggenschap, veel hiërarchie, gescheiden beheersilo’s en een starre verticale organisatie. Van horizontale verbinding is geen sprake.  

Een uitbestedingsrelatie moet groeien. De securitypartner moet in staat zijn om klantorganisaties te leren hoe ze operationeel securitybeheer moeten uitvoeren. De eindverantwoordelijkheid ligt bij de klant. Die heeft nog steeds intern securitytaken liggen die de securitypartner niet kan of mag uitvoeren. Bij de securitypartner moeten alle valkuilen van horizontaal verbinden en teamwork vermeden, of opgelost, zijn.

Kennis moet tussen de bureaus door vloeien. De operators moeten de strategische functies invullen binnen de organisatie. Zij zijn leidend als bij de klanten de IT-infrastructuur wordt gehackt.  

Ik verkeer vaak in de situatie waardoor ik klanten, die outsourcing overwegen, de juiste handvatten kan bieden. Ik bouw op die manier dagelijks aan samenwerking met klanten. Zij zijn hierdoor vrijwel direct in staat om cyberaanvallen te bestrijden.

Mooi toch, als er in samenwerking weer een incident voorkomen is? Zeker als er van geleerd wordt en de uitbestedingsrelatie toch weer mensenwerk blijkt te zijn. 

Wanneer spreken wij elkaar over effectieve security operations?

Vakantie - een zware klus al die informatieverwerking

Fijn, we mogen weer aan de gang. De zinnen zijn verzet. 
De vakantie is achter de rug.

Waar vakantie voor velen betekent dat er platgelegen wordt heb ik zelf al menig jaar achter de rug met een dakkoffer vol boeken. De eega is namelijk professioneel boekenverslindster en vakantie heeft zo voor iedereen dus een andere betekenis.

Zelf neem ik twee spannende boeken mee en onderhoudende vakliteratuur. Die twee boeken lees ik uit, maar de vakliteratuur daar kom ik niet aan toe. Jammer toch, want de NSA zit ook niet stil. Blijkt nog eens dat ze veel meer kunnen zien dan wat we tot nu toe dachten! Als security professional moet je dus wel al je vrije tijd gebruiken om op de hoogte te blijven.

Die zomermaanden draaien dus eigenlijk maar om één ding - informatieverwerking.

De eega leest een dakkoffer leeg, de NSA kijkt door een typefout naar de elektronische berichtgeving van héél Egypte en ikzelf lees twee spannende boeken. Nu heb ik deze zomer een meevaller ervaren. De eega had nog wat kadobonnen over en heeft daar een e-reader voor gekocht. Tientallen boeken in één hand. Dat betekende echter niet dat de dakkoffer thuis kon blijven. De vrijgekomen ruimte hebben we gevuld met allerlei andere nuttige vakantiespullen.

Eenmaal thuisgekomen concludeerde ik dat, als ik de sleutel van de dakkoffer was kwijtgeraakt, er niemand naar zou kraaien. Voor zover was deze vakantie dus nog steeds een zware klus met de montage van het ding, het volladen van het ding, het onbenut weer uitpakken van het ding en het weer losmaken en opbergen van het ding.  

Maar goed, laten we even bij de informatieverwerking blijven.

De laatste vakantiedag heb je de werklaptop of werktablet weer aangeslingerd en de inbox ontploft alweer. De stress begint dus al voordat je klaar bent voor de eerste werkdag. Ook informatieverwerking!

Waar het me om gaat is de explosie aan informatie waaraan we als security professionals worden blootgesteld. Big data is de heilige graal bij het oplossen van alle ineffectieve securitymaatregelen. Continuous monitoring, reporting, SIEM, correlation, incident management, .. Allemaal informatieverwerking! Nu dachten we dat SIEM een schone dood gestorven was. Maar in werkelijkheid is SIEM een eerste stap in de goede richting geweest.

Alles verzamelen, normaliseren, correleren, analyseren en rapporteren.

Probleem is echter dat SIEM-projecten per definitie schuivende panelen kennen. Alles moet worden verzameld en iedereen voelt zich eigenaar van de data. Er is dus geen eindverantwoordelijke beheerder. Bijkomend nadeel is dat we al ons vertrouwen in de techniek hebben gelegd. We zijn als security professionals onvoldoende in staat om al die bergen informatie goed in te kaderen en de juiste informatie er uit te halen. Daarom lieten we dat over aan de machines.

Verzamelen zonder onze eigen informatiebehoefte te kennen. Hoeveel organisaties hebben netjes vastgesteld welke security informatie ze allemaal willen en kunnen verwerken? Hoeveel van die organisaties hebben de juiste middelen daarvoor vrijgemaakt?

En dan heb ik het niet over de technische infrastructuur, maar over mensen, kennis, ervaring, vaardigheden!

Er zijn onvoldoende security professionals die beschikken over de juiste kennis, ervaring en vaardigheden om de juiste informatieverwerking onder tijdsdruk goed uit te voeren.  Steeds meer nadruk komt te liggen op de juiste sociale vaardigheden van security managers om security onder de aandacht te brengen bij de directie. Dat is op zich een goede ontwikkeling. Maar de realiteit met Advanced Persistent Threats (APT) vraagt om een juiste voorbereiding op het eerstvolgende incident.  OK, daar heb je geld voor nodig van de witte boorden. Maar je moet nu al op zoek naar de juiste mensen.

APT’s hebben de neiging onder de radar te blijven. Dat betekent dat security professionals in staat moeten zijn om overal afwijkende zaken te kunnen waarnemen. Dat vraagt inderdaad om tooling. Maar ik maak me zorgen om de verwerking van al die informatie. Gedurende een incident zal dat onder tijdsdruk moeten.

Ik denk dan aan Sherlock Holmes die in staat is om alle details in zijn omgeving waar te nemen. Hij is zelfs in staat om die informatie op te slaan in de hersenpan. Hij filtert daar echter uit wat ter zake doet en weet iedereen te verbazen met de juiste conclusies.

Tegen Watson zei hij eens:

‘How often have I said to you that when you have eliminated the impossible, whatever remains, however improbable, must be the truth?’

Hij filterde al het onmogelijke uit zijn waarnemingen en wat overbleef moest dan wel de waarheid zijn (deductie).   

´Deductie´, ´abductie´ - allemaal terminologie die wijst op een wetenschappelijke aanpak. Analyses van zijn aanpak roemen zijn opmerkingsvermogen, maar spreken ook van een grote dosis geluk aan zijn zijde.  Zijn geestelijk vader, Sir Arthur Conan Doyle, wilde natuurlijk wel dat Sherlock de misdaden zou oplossen.   

Dat Sherlock Holmes gebruik maakte van diverse technieken is leuk om eens verder te bekijken (maar niet nu en niet hier).

Een voordeel voor Sherlock Holmes was het gebrek aan tijdsdruk. Dat is tijdens een security incident wel anders.

Hoe goed zijn de security professionals bij jou in de organisatie in staat om onder tijdsdruk de juiste waarnemingen te doen, filters toe te passen, analyses uit te voeren en conclusies te trekken? Roep dan niet dat SIEM dat juist allemaal doet. De bedenkers van SIEM hebben standaard correlatieregels toegepast die misschien net niet de juiste zaken aan het daglicht brengen in jouw specifieke situatie. Daarnaast hebben jouw security professionals eigen regels toegevoegd. Beschikken zij over de juiste vaardigheden om alle goede correlaties in te voeren?

Bijkomend feit is dat aanvullende monitoringtools in de praktijk nauwelijks zijn ingebed in SIEM (ondanks de mogelijkheden daartoe). Als de organisatie nu wordt aangevallen moeten de security professionals op meerdere schermen tegelijk hun informatie verzamelen.

Ik gun iedere organisatie een team met de analytische vermogens van Sherlock Holmes. De realiteit is dat die professionals nauwelijks op de arbeidsmarkt aanwezig zijn  en ze worden ook niet in grote getalen opgeleid op de hogescholen en de universiteiten.

Hou hierbij in gedachten dat Sherlock Holmes slechts op papier bestaat!

Wellicht zijn we als mens niet eens in staat om deze vermogens aan te spreken. Laat staan dat de evolutie ons in staat heeft gesteld die vermogen te ontwikkelen.

Intussen laad ik de digitale serie van Sherlock Holmes op de e-reader van de eega. Ik kijk nu al uit naar de volgende vakantie. Niks ‘zware klus’ die informatieverwerking tijdens de vakantie.

Succes met het volgende security incident. 

Security awareness, van onbewust-onbekwaam naar onbewust-bekwaam.

Wat is jouw favoriete leerstijl?

Als je mensen er op wijst dat ze niet alles op sociale media moeten blootgeven kijken ze je vaak onbegrijpend aan. Ze weten toch zelf wel wat goed voor ze is!

Als security officer bij een financiële dienstverlener heb ik enkele jaren geleden met rode en groene smilies door het gebouw gelopen. Dat is twee keer leuk en dan gaan ze je toch echt irritant vinden. Mensen willen niet dat je ze op hun verantwoordelijkheden wijst.

Een mooi beeld van een tijd waarin de middelen, waar werknemers mee werkten, nog van de organisatie zelf waren. Nu gaan alle gegevens vanaf de eigen tablet linea recta Dropbox in en worden ze uitgewisseld met WeTransfer. Je hebt er geen grip meer op. Het wordt alleen maar moeilijker.

Het sneue aan die smilies is het geloof in de werking ervan. Korte termijn effecten die later eigenlijk alleen maar tegen je gebruikt kunnen worden.

Wat je bereikt is dat mensen van onbewust-onbekwaam plotseling bewust-onbekwaam worden. Dat is ongemakkelijk. Maar als je niet op de juiste manier doorpakt help je ze niet door de barrière naar bewust-bekwaam heen.

Vaak zie je dat de cyclus van onbewust-onbekwaam naar onbewust-bekwaam wordt uitgelegd als de leercyclus van Kolb. Het was echter Maslow (die van die piramide van behoeften) die vier leerstadia onderscheidde. Kijk even in de volgende figuur naar de vier leerstadia van Maslow.

Veelal zie je publicaties waarin beiden genoemd worden. Maar Kolb onderscheidt leerstijlen die anders in elkaar steken dan de vier leerstadia van Maslow! Kolb onderscheidt vier leerstijlen die ingedeeld zijn volgens een matrix. De matrix zie je in de onderstaande figuur. Ook zie je dat de leerstijlen cyclisch doorlopen worden. Daar spreken we dan ook weer van de leercyclus van Kolb! 

Om medewerkers nu door de cyclus van onbewust-onbekwaam naar onbewust-bekwaam heen te helpen moet je ze allemaal op hun eigen manier leren hoe ze veilig omgaan met vertrouwelijke gegevens. Als je ze dus op de risico’s hebt gewezen (ze zijn dan bewust-onbekwaam) moet je ze volgens hun eigen leerstijl door de barrière naar bewust-bekwaam helpen.

Dat is dus al een hele uitdaging. Want hoe weet je welke leerstijl bij welke medewerker past? Het is beslist een uitdaging waarbij het goed is om een security awareness programma af te stemmen met HR.

Er komt namelijk nog een andere aspect bij kijken. Iedereen zal volgens Kolb door de cyclus van de vier leerstijlen heen moeten om alles te laten beklijven. Iedereen start echter bij zijn voorkeursstijl. Daar ontstaat dus de mix van de twee cycli: de leerstadia van Maslow en de leerstijlen van Kolb.

Is er dus een goede match tussen leerstijlen en de leerstadia? Waarschijnlijk is dat in iedere organisatie anders.

Laten we even kijken naar de verschillende leerstijlen.

Een Waarnemer vraagt zich af waarom? Ze leggen verbanden en proberen alles te begrijpen. Ze hebben geen belangstelling als ze het niet begrijpen.

Een Nadenker vraagt zich af wat? Ze willen een analytische aanpak. Ze bekijken het grote geheel en de details. Ze spitten alles door: feiten, extra materiaal en meningen van deskundigen.

Een Toepasser vraagt zich af hoe? Hoe bereiken ze verandering? Praktisch ingesteld als ze zijn richten ze zich op het ontwikkelen, creëren en begrijpen van vaardigheden die ze nodig hebben om de verandering te bereiken.

Een Doener vraagt zich af wat als? Ze zien zichzelf als vernieuwers. Ze vinden de mogelijkheden en dito problemen interessant ze leren als eerste door vallen en opstaan.

Een bewust-onbekwame Doener moet je duidelijk maken wat de uitdagingen zijn. Wat is het onbekende dat moet worden onderzocht. Ga lekker aan de gang, stoot je neus en leer hiervan. Zo’n Doener zal bij al dat ervaren vanzelf een keer naar een deskundige luisteren, er iets over willen lezen en willen begrijpen hoe ze beter kunnen omgaan met vertrouwelijke gegevens. 

Het onderstaande overzicht geeft per leerstijl aan hoe goed geleerd kan worden.

Doeners leren het beste van: ·        De directe ervaring ·        Dingen doen ·        In het diepe gegooid worden met een uitdagende opdracht ·        Het opdoen van nieuwe ervaringen ·        Het oplossen van problemen

Waarnemers leren het beste van: ·        Activiteiten waar ze de tijd voor krijgen ·        Activiteiten waar ze (achteraf) gestimuleerd worden na te denken over hun acties ·        Het krijgen van een kans om eerst te denken en dan pas te doen ·        Het nemen van beslissingen waar geen tijdslimiet of tijdsduur aan verbonden zijn

Toepassers leren het beste van: ·        Duidelijke verbanden tussen leren en werken ·        Het richten op praktische zaken ·        De kans te krijgen dingen uit te proberen en te oefenen onder begeleiding van een expert ·        Technieken die getoond worden met duidelijke praktische voorbeelden

Denkers leren het beste van: ·        Gestructureerde situaties met duidelijke doelstellingen (congressen, boeken, hoorcolleges) ·        Situaties waar ze intellectueel uitgedaagd worden ·        De mogelijkheid te krijgen de tijd te nemen om relaties uit te leggen met kennis die ze al hebben ·        De kans krijgen om vragen te stellen en de basismethodologie of logica te achterhalen ·        Theoretische modellen en systemen

OK, nu weet je iets meer van de manier waarop medewerkers leren. Blijft de uitdaging om ze op hun meest aansprekende wijze door de barrière van bewust-onbekwaam naar bewust-bekwaam te brengen.  Ik vrees dat één keer een workshop en een jaarlijkse online enquête tekort schiet om een langdurig effect te hebben.

Maar denk even na over de effectiviteit van een stuk technologie als je geen infrastructuur, opslagmedium, uitwisselmogelijkheid en endpoint meer in bezit hebt als organisatie. De medewerkers werken toch overal en nergens met eigen spulletjes. Waar grijpt technologie nog in als je het nergens meer aan vast kunt knopen?

Mij lijkt het investeren in een serieus leerprogramma Veilig werken met vertrouwelijke informatie een goede keuze. Die individuele medewerker kan alleen zijn verantwoordelijkheid nemen als er goede ondersteuning is (lees goede ‘lesmaterialen’). 

Biedt technologie dan helemaal geen soelaas meer?

Natuurlijk wel, want niet iedere organisatie zal alle IT uithanden geven. Maar de rol van infrastructurele beveiliging neemt sterk af ten opzichte van de databeveiliging. Neem Data Loss Prevention, daar heb je de mogelijkheid om security awareness met technologie te ondersteunen. Iedere keer als een gebruiker het beleid naast zich neer legt (patiëntendossier naar Gmail stuurt) krijgt hij uitleg over het geldende beleid of de risico’s.

Realiteit is dat zoiets ook weer kan doorslaan in het wegklikken van pop-ups. Een goed uitgebalanceerde aanpak met communicatie, beleid, lesmateriaal, ondersteuning van teamleiders en security officers is wel een randvoorwaarde voor succesvolle inzet van dit soort technologie.

Ben jij als securityprofessional verantwoordelijk voor alle risico’s? Heb je geen budget en geen bevoegdheden? Dan wens ik je veel succes. Wees gerust, want het bewerken van beslissers, die moeten investeren in security, vraagt ook weer nieuwe vaardigheden van jou. Kun je mooi jouw favoriete leerstijl aanspreken.

Wat is jouw persoonlijke leerstijl? Doe hier de test.

Chinese wonderdokter!

Medische apparatuur gevoelig voor cyberaanvallen en malware.

Medische apparatuur is steeds vaker (in)direct aangesloten op internet. Die open toegang tot de systemen maakt ze gevoelig voor cyberaanvallen en malware. Stel je even voor:

• Je pacemaker onder controle van de NSA!
• Je borstimplantaten op IP-adres 192.168.1.22!
• EPD gekoppeld aan MRI in Rusland!

Waren we in de vorige eeuw nog onder de indruk van de Chinese wonderdokter met naalden en kruidenthee. Nu kunnen we toch echt versteld staan van een heel andere vorm van de oosterse geneeskunde.

Kijk, wij beslissen zelf om onze medische gegevens in het EPD op het internet te slingeren. Meneer Snowden heeft duidelijk gemaakt dat de Amerikaanse overheidsdokter NSA met de PRISM-scoop jouw medische geschiedenis extra doorlicht. Dat is netjes afgehecht door Nederlands toezicht, volgens Opstelten. Voor zover dus geen vuiltje aan de lucht!

Maar als medische apparatuur steeds beter toegankelijk is voor anderen, dan wordt second opinion wel heel erg leuk. Internet is vrijheid en openheid, dus ook een second opinion op een Nederlandse diagnose kan nu zonder problemen via internet opgevraagd worden. De buitenlandse arts kan tenslotte zonder problemen bij de laatste MRI-scan.

Als we even kijken waar we dan eenvoudig de second opinion kunnen opvragen, dan komen we in China terecht. Ze hebben de blauwdrukken van de JSF al, dus waarom zouden ze jou niet even een second opinion op afstand kunnen geven?

Als we echter even doorredeneren kunnen we natuurlijk ons ook de volgende gevolgen voorstellen:

• Streng dieetvoorschrift: driemaal daags rijsttafel!
• Laboratoriumuitslag ook  in Chinees te verkrijgen!
• Eén-kind-politiek doorgevoerd in Nederlandse IVF-kliniek!

We moeten er dus voor waken dat onze nationale zorginstellingen niet doorslaan in internationale zorgfabrieken.

De verzekeraars zullen wel erg geïnteresseerd zijn in goedkopere tarieven. De wisselkoersen inbegrepen! Kunnen ze gelijk die spiraaltjesfraude naast zich neerleggen. De patiënt hoeft die echt niet zelf te gaan kopen in China, waarna het ziekenhuis zowel het spiraaltje als de plaatsing vergoed krijgt.

Ik draaf weer door. Medische gegevens op internet, medische apparatuur (in)direct op internet, allemaal niets om je zorgen over te maken.   

Toch heeft de Amerikaanse Food & Drugs Authority gemeend de medische sector te waarschuwen voor de gevolgen van kwetsbare medische systemen die al dan niet aan vanaf internet toegankelijk zijn. Enkele incidenten leiden tot risico’s voor patiënten met een directe zorgindicatie. Analyse apparatuur die wellicht verkeerd gekalibreerd blijkt te zijn, scans die niet gemaakt kunnen worden voor patiënten op de polikliniek. Zomaar wat voorbeelden.

De FDA waarschuwt in hun verklaring Cybersecurity for Medical Devices and Hospital Networks voor de gevolgen van malware en onbedoelde toegang tot medische apparatuur. Enkele voorbeelden zijn: 

• Netwerkgekoppelde medische systemen die geïnfecteerd waren door malware. 
• Malware op computers, smartphones en tablets gericht op patiëntgegevens, montoring apparatuuur en geïmplanteerde apparatuur.
• Onbeheerde verspreiding van wachtwoorden, uitgeschakelde wachtwoorden, hard-coded wachtwoorden voor specifieke accounts (administratief, beheer, onderhoud).Na-ijlende of ontbrekende software updates en/of patches in medische apparatuur en netwerken.
• Kwetsbaarheden in standaard software om ongeoorloofde toegang te beperken (clear tekst, geen authenticatie, hard-coded wachtwoorden, gedocumenteerde wachtwoorden, slechte programmering en codering, SQL-injections).

De FDA vraagt leveranciers van medische apparatuur inzicht te geven in de risico beperkende maatregelen die zij nemen bij het ontwerpen, ontwikkelen en produceren van medische apparatuur.  Ook richten zij zich tot de zorgsector zelf met tips. Ze willen ook graag dat fabrikanten kwetsbaarheden melden, zodat hierover goede adviezen gegeven kunnen worden richting de zorgsector.

Ik ben benieuwd in hoeverre de zorgsector dit gaat oppakken. In Nederland is de NEN 7510 een goed handvat voor ziekenhuizen. Toch zie je dat een goed gedocumenteerd Information Security Management System, een lijst met abstracte security controls en één enkele verantwoordelijke securityprofessional niet voldoende zijn om privacygevoelige gegevens binnen de deur te houden.

Los van de privacy is het natuurlijk wel mooi dat Nederlandse artsen nu de hete adem van Russische  en Chinese vakgenoten in de nek gaan voelen. Goed dat we nu gratis een second opinion kunnen krijgen. Blijft het natuurlijk wel een probleem dat je het recept niet kunt lezen. Maar, laten we eerlijk zijn. Wanneer heb jij voor het laatst het recept van je huisarts kunnen ontcijferen? Ikzelf  gebruik een van de recepten van mijn huisarts nu al bijna een jaar als museumjaarkaart.

Ben jij van mening dat je gezondheid op het spel staat met al die buitenlandse inmenging in je EPD, je laboratoriumuitslagen, je dieetadvies en de vlekjes op je longfoto’s? Wees gerust, een bezoek aan die Chinese wonderdokter uit de vorige eeuw met kruidenthee en naalden spreekt mij ook niet echt aan hoor. Daarom alle lof voor de laatste initiatieven op het gebied van e-Health:

• Ongepatchte MRI-apparatuur aan het internet.
• Tablets vol patiëntgegevens.
• Clouds afgeladen met EPD’s.
• Rammelende online bloedonderzoeken.
• Thuiswerkende longartsen,
• Youtube op de OK (instructiefilms?).
• Operaties op afstand.  

Mocht ik met deze blog zorgprofessionals tegen de schenen geschopt hebben, dan spijt me dat zeer.

Ik ben alleen erg bedachtzaam als het gaat om privacy en medische veiligheid als het internet er bij om de hoek komt kijken. Kijk eens om je heen en vraag de IT-afdeling of alle medische apparatuur waarmee je werkt al voorzien is van de laatste patches of software updates.

Succes met je mooie vak als zorgprofessional. Op een dag zal ik ook van jou afhankelijk worden.

Alle securityprofessionals, die dit gelezen hebben, wens ik veel succes bij hun volgende doktersbezoek. Doe anders even zo’n preventieve scan.

Techniek die je niet wilt hebben!

Hebben ze PRISM ook voor de iPhone?

Vanmorgen las ik de krant. Ik kwam de column tegen van Vincent van Bijlo. Hij had het over PRISM als handige applicatie op Windows. Afluisteren voor de individuele burger.

Mijn zoon afluisteren, mijn vrouw afluisteren, familie afluisteren, concurrenten afluisteren, mijn collega afluisteren, mijn baas afluisteren, mijzelf afluisteren. Ultiem gaaf, echt alles weten van iedereen. Maar dan ook oprecht geïnteresseerd alles weten van die ander.

In je eigen vriendenkring loopt er wel zo’n roddel & achterklap tante rond die van iedereen alles wil weten. Bij de eerste de beste vraag van die persoon draai je jezelf gauw om en laat je het langs je rug afglijden.

Ik wil niet alles weten van anderen. Dat is energieverlies, tijdverspilling en regelrechte bemoeizucht. Je hoeft niet iets te doen met die informatie, maar je mengt je toch in iemand privéleven.

Maar goed, laat ik nu niet doordraven. De overheid kunnen we tot in eeuwigheid vertrouwen. En als we ze niet meer vertrouwen dan gooien we er een parlementaire enquête of een motie van wantrouwen tegenaan. Dat is het mooie van democratie, en daar geloven we natuurlijk vandaag de dag voor eeuwig in. We proberen het nog even in Afghanistan door te voeren, maar realiteit is dat we ons als westerse wereld zo snel mogelijk daar aan het terugtrekken zijn. We laten ze niet in de steek. Nee, we houden een vinger aan de pols.

Kortom, die democratie is in mijn ogen ook maar een tussenstap in onze evolutie. Wellicht is het volgende wat de mensheid staat te wachten nog wel veel mooier. Maar die zekerheid heb je niet.

Zolang je het dus niet weet heb je te maken met de huidige wetten, normen, waarden en realiteit. Niet iedereen wil aan hetzelfde ideaalplaatje meewerken. Daarom willen de hoeders van het ideaalplaatje zoveel mogelijk weten van iedereen. Anderen willen dat ideaalplaatje zo veel mogelijk verstoren.

Nu ben ik niet rechtlijnig tegen het inwinnen van informatie over een ieder. Alleen, er is een goede dialoog nodig om de juiste grenzen met elkaar af te spreken. Die dialoog is scherp en mag hard gevoerd worden. Opstelten sust de Nederlandse voordelen van PRISM. 'We doen alles netjes volgens de regels'. Er is toezicht. 

Daarentegen zijn er rechtgeaarde opponenten zoals Rop Gonggrijp. Net een mooie uitzending van Profiel over hem teruggekeken uit 2006.

Zelf heeft hij meegewerkt aan het ontsluiten van het internet. Zijn idealen staan nog wel overeind. Maar hij krabt zich in die uitzending, nu 7 jaar geleden, wel achter het oor of we op de goede weg zijn.

Ben benieuwd wat hij er nu, 7 jaar later, allemaal van vindt, dat PRISM?

Willen we die techniek nou echt allemaal? Openheid en vrijheid, ja! Maar ook al die controle? Denk daar eens goed over na. Wil jij echt al die techniek die impliciet jou in de gaten houdt?  

Intussen wil Google de geheime dataverzoeken van de Amerikaanse overheid openbaar maken. Een goede bijdrage aan de dialoog?  

Houd wel in de gaten dat er een Meldplicht Datalekken als wettekst voorligt om goedgekeurd te worden. Doe de privacychecker om jouw potentiële boete te bepalen (als de wet realiteit is geworden).  

Wil je trouwens anoniem surfen op het internet, kijk dan even hier.  

Intussen ga ik even op zoek naar de PRISM-app. Ik spreek je later. Of beter nog, ik hoor je (via de PRISM-app)!

Cloud Service Transparantie - SLA met Barack Obama

Stel dat je werkt met vertrouwelijke informatie!

Dat is niet ongebruikelijk als je overdag tegen betaling op een ‘Bill Gates ijzer’ allemaal cijfertjes en lettertjes zit te typen. Neem simpelweg jouw eigen personeelsdossier, of die klantgegevens. Ook patiëntgegevens en credit card gegevens zijn vertrouwelijk, voor als je nog twijfelde. 

 

De IT-baas in jouw organisatie is op pad gestuurd om tegen zo laag mogelijke kosten de business maximaal te ondersteunen met applicaties, services en IT-infrastructuur. Op zijn zoektocht naar goedkopere alternatieven zijn intussen geweldige oplossingen in beeld gekomen. Jouw organisatie werkt tegenwoordig met Microsoft Office 365, Google Docs en andere fantastische cloud services. Ook de meest kritieke systemen staan straks in een (Amerikaans) datacenter op Europees grondgebied.

Een mooie bijkomende trend is jouw wens om je eigen apparatuur mee te nemen naar kantoor. Lekker goedkoop voor de IT-baas, die juicht het toe. Je mag alleen niet met je Blokker-tablet de helpdesk lastigvallen, want dat jaagt de kosten weer omhoog!

In de wereld van BYOD en Cloud blijf je echter zitten met de vraag: ‘Waar blijft al die vertrouwelijke data?’. Je hebt nu eenmaal te maken met verwerking van vertrouwelijke data op eigen apparatuur, verzending via openbare infrastructuren, opslag in en uitwisseling via clouddiensten (Dropbox, WeTransfer, …).

De IT-baas is geen eigenaar meer van de IT-middelen die medewerkers gebruiken. Medewerkers werken ook overal en nergens. Kortom, de tastbare organisatie bestaat niet meer. Er is een schaduworganisatie met dito schaduwinfrastructuur ontstaan die niet meer van ons is en niet meer door ons beheerd wordt.

Ach, zal nog wel even duren voordat iedere organisatie er zo uit ziet.

Blijft het toch knagen dat ik bij Microsoft Office 365, Google Docs en andere clouddiensten niet weet waar de informatie blijft. Gelukkig zijn er diverse initiatieven om daar duidelijkheid over te krijgen. De Cloud Security Alliance heeft diverse werkgroepen in het leven geroepen die speciaal naar cloud transparantie kijken.  De Open Datacenter Alliance heeft een mooie beschrijving opgesteld over ‘Provider Assurance’.

Dit houdt echter nog niet in dat je bij iedere Cloud Service Provider kunt aankloppen om transparantie contractueel en technisch te regelen.

Blijf je toch zitten met de onzekerheid!

Intussen is het misschien een goede zaak om eens te kijken wat je potentiële boete is als straks de wet Meldplicht Datalekken realiteit wordt. Voer de privacychecker eens uit. Bij een klant van mij bleek dat die potentiële boete hun grootste operationele bedrijfsrisico (het stilvallen van een productie-eenheid) tientallen malen zou overschaduwen. Een directeur met klantbestanden op zijn iPad werd daarmee in een keer het grootste bedrijfsrisico.

Leuk dat de kinderen hun spelletjes thuis kunnen spelen op papa’s iPad!

‘Nou Jan Jaap, dat is ook niet leuk dat je zoveel onheil over ons uitspreekt. Kom eens met oplossingen!’

Ik dacht al dat je zo zou reageren. En die oplossing heb ik voor je.

Ik stel me voor dat je even contact opneemt met de NSA (National Security Agency) in Amerika. Die jongens hebben met de grootste IT-organisaties in de States een sluitende overeenkomst om alles wat jij en ik het Internet opslingeren netjes te analyseren. ‘PRISM’ heet de dienst van de NSA. De IT-organisaties zeggen nu nog van niets te weten, maar hoe harder het ontkend wordt ….

Trouwens, deze tekst zal nu wel door PRISM geanalyseerd zijn.

Dus, zolang de mooie initiatieven van Cloud Security Alliance en Open Datacenter Alliance nog niet volledig zijn uitgewerkt, kun je prima een SLA afsluiten met Barack Obama. Hij weet precies waar de patiëntendossiers zijn gebleven. Neem dan wel de juiste voorwaarden op in de SLA, zodat Barack je ook vertelt waar de vertrouwelijke informatie blijft.

Bij Microsoft Office 365, Google Docs en hun soortgenoten heb je de voorwaarden maar te slikken. Bij de ‘provider op de hoek’ krijg je professionele beveiliging niet geregeld. Maar met de Barack-SLA in je achterzak heb je prima voorwaarden om veilig de boel in de cloud te stallen.

Ben ik te kritisch? We hadden het toch jaren geleden over Echelon? Daar hoor je nu toch niemand meer over? Zal met dat PRISM-verhaal wel net zo gaan.

Ach, wat dan nog als Barack alles van mij weet? Geven we de Chinezen toch de opdracht om hun militaire geheimen te jatten. Mooi zo’n internationale ruzie over het heimelijk inkijken van elkaars dagboek.

De JSF staat sinds kort weer ter discussie in Den Haag. Met die Fyra-misser kunnen we misschien AnsaldoBreda vragen een goedkope straaljager in elkaar te schroeven. De ontwerpen kunnen ze bij de lokale afhaalchinees krijgen.

Succes bij de onderhandelingen met de Cloud Service Provider waar je het meest kritieke systeem gaat stallen. Plaats vooral de privacygevoelige data in de cloud. De Barack-SLA dekt je wel!