Is de identiteit van medewerkers, klanten en patiënten veilig achter de staldeur?

Gegevens vliegen de deur uit. Ook die van jouw klanten, patiënten en medewerkers?

Op basis van Pobelka is 750GB data onfutseld aan overheidsinstellingen en het bedrijfsleven. Daar zitten ook inlogcodes, wachtwoorden, persoonlijke informatie en creditcard gegevens bij. Door onduidelijke toewijzing van taken, bevoegdheden en verantwoordelijkheden opereert het Nationale Cyber Security Center in een vacuüm. Als je gegevens ontvreemd zijn, en als dat bekend is, kan of wil het NCSC daar te weinig mee doen.

Vertrouwelijke gegevens zijn binnen de muren van jouw organisatie niet meer veilig. Veel organisaties, vergelijkbaar met die van jou, beveiligen de koppeling aan het internet met een staldeur.

Dat is verre van toereikend, bewijst Pobelka maar weer. Dus gaan die organisaties investeren in betere voordeuren. Feit is echter dat de gegevens op allerlei andere manieren het pand verlaten. Tel het aantal clouddiensten bij jou in de organisatie maar eens op. Vermenigvuldig die met het aantal eigen tablets en smartphones. Maak een inschatting van de bewuste medewerker.

Die rekensom vertelt je dat het risicoprofiel van jouw organisaties enorm is opgeblazen. Daarbij komt de grensvervaging tussen binnen en buiten en de vermenging van werk en privé. Gegevens verlaten het pand op allerlei onbeheersbare wijzen. Erger nog, het pand bestaat niet meer!

Er is een schaduwinfrastructuur ontstaan van werkplekken, systemen, netwerken, clouddiensten, apps en storage waarop de organisatie geen vat meer heeft.

Waar leg jij het zwaartepunt van security in de beschreven situatie? Er zijn echt nog wel betere voordeuren nodig. Kies dan echter wel een oplossing die op basis van eenduidige policies de beveiliging van IT-infrastructuur én endpoints realiseert. Val niet voor de blauwe ogen van de commercianten van ‘Wij-van-WC-eend’. Die zien jouw organisatie alleen maar als toiletpot die zij wel even schoon zullen maken. Risicoanalyse zegt dat je risico niet alleen in de perimeter zit.

OK, dus niet alleen een staldeurupgrade!

De organisatie heeft geen grip op de schaduwinfrastructuur. De medewerkers daarentegen wel. Op grond van de ideeën van het Jericho-forum is enkele jaren geleden al aangegeven dat beveiliging van data en identiteit leidt tot een effectievere beveiliging van vertrouwelijke gegevens. Er ontstaat een nieuwe perimeter, identiteit!

De organisatie moet dan ook op zoek naar een manier om naadloos beveiligde toegang te bieden tot vertrouwelijke zakelijke gegevens in verschillende SAAS-oplossingen, en tot privégegevens van medewerkers in clouddiensten (dropbox, drive, …). Dan komt al vlug Federated Identity Management om de hoek kijken. Maar hoe krijg je als organisatie al die cloud providers op één lijn?

Diverse organisaties hebben natuurlijk al veel tijd gestoken in Identity Access Manegement projecten toen er nog geen schaduwinfrastructuur bestond. Ik kan me voorstellen dat menig directielid de wenkbrauwen fronst bij de budgetaanvraag voor een nieuw IAM-project. Wellicht dat standaarden als SAML en OAuth een rol van betekenis kunnen spelen in de zoektocht naar goed Identity Management. Wel zullen cloud providers mee moeten bewegen. Niet iedere partij is daartoe in staat. Zoek dus de juiste partijen die bereidwillig zijn om ook jouw gegevens veilig te houden.

Een bijkomend aspect van de nieuwe identiteitsperimeter is de context waarbinnen die identiteit van kracht is. Thuis, op een eigen apparaat, is de identiteit van het directielid snel afgezwakt. Moet hij dan alle autorisaties krijgen die op kantoor wel gelden?

Kijk echter niet te holistisch naar identiteit. Neuro Linguistisch Programmeren biedt met logische niveaus van Bateson een mooie kijk op de verschillende niveaus van identiteit. Het start onderaan met omgeving. Of de andere niveaus van toegevoegde waarde zijn voor het vaststellen van toegangsrechten betwijfel ik echter.   

Daar sta je dan. Een half opengezwaaide staldeur, een schaduwinfrastructuur en de wetenschap dat je straks geen pand meer hebt waarbinnen gegevens beveiligd hoeven te worden.

Ga jij die perimeter ‘identiteit’ de prioriteit geven die het verdiend? Of ga je toch voor een staldeurupgrade? Wellicht ga je allebei doen. Ik kan me wel vinden in de laatste.

Mocht jij het totaal niet meer zien zitten als beveiliger dan verwijs ik je naar de Paardenkamp. Kijk uit voor al die staldeuren! 

Is jouw security programma kleurrijk?

Ik heb in mijn rol als security professional geleerd de positieve kant van alles te bekijken. De beroepsgroep staat als ‘drempel’, ‘obstakel’ en ‘prominent dwarsligger’ te boek. ‘Dat is een imago dat ik moet afwerpen’ dacht ik enkele jaren geleden. Op een gegeven moment kreeg ik via via terug dat ik als security manager ‘best wel een aardige gozer’ was.

Daar gaat je imago. Met aardig zijn red je de wereld niet. Maar met dwarsliggen lukt het je ook niet. Het is een gave om geloofwaardig jouw boodschap over te brengen op de rest van de organisatie. Je weet wel, die honderden medewerkers minus die ene (jijzelf).

Vandaag even gegoogled naar afbeeldingen van ‘hacked’. Je ziet het resultaat hieronder.

Dit is maar een snapshot.

Ik schrok er van. De perceptie met betrekking tot ‘hacked’ is doorspekt met zwartgalligheid. Ik heb een aantal ethical hackers als collega, maar die dragen toch geen zwarte kleding. Kan komen doordat ze ook nog wel eens naar klanten moeten. Toch hebben we recent afscheid genomen van een stagiair die echt door en door zwart gekleed was. Mooie vent die een goede opdracht uitgevoerd heeft trouwens! Vrolijk en erg scherp in zijn waarnemingen. Niet het prototype van een depressieve knakker.

Maar als we het internet met zijn allen met zwarte afbeeldingen bevuilen, als we het hebben over ‘hacked’, ga ik me toch echt afvragen of we het bijltje er bij neer hebben gegooid?

Met de nationale initiatieven als het NCSC en commerciële bedrijven die jullie als toiletpot zien en ‘wij van WC-eend’ kwaken, moet er toch echt licht aan het einde van de tunnel te zien zijn. Dat je nog even op zoek bent naar de juiste oplossing of ‘way-to-go’ kan ik me voorstellen.

In voorgaande blogartikelen heb ik al gesproken over het feit dat je met 1-0 achter staat. Je hebt geen budget, kennis, ervaring, tools en mensen om de ratrace met de hackers te beslechten. Feit is dat je met zeer grote waarschijnlijkheid behoort tot de meerderheid van de organisaties die er meer dan enkele maanden over doen om te ontdekken dat ze geïnfecteerd zijn. Daarna ruim je de rommel pas na enkele weken tot maanden op. Google maar even op Verizon Data Breach Investigation Report.

Ga jij morgen lachend naar je werk? Ga jij met alle plezier de iPad van je directeur aansluiten op het bedrijfsnetwerk? Leg jij met een grote grijns die marketeer uit dat dropbox echt risico’s met zich meebrengt? Wijs jij met een stralend gezicht alle informatieeigenaren aan in de organisatie? Ontvang jij met een gerust gevoel de auditor? Sta jij zonder blikken of blozen de externe audit van die ene klant toe? Heb jij er vertrouwen in dat je morgen die nare pop-ups bij de directiesecretaresse de nek omdraait? Vertel jij met een goed humeur dat je directeur een geweldige mededeling op LinkedIn gedaan heeft over de ambitieuze overname?

Respect!

Maar goed, ik ga me hier niet verder begeven op het zwartgallige pad. Liever ben ik realistisch. Of er dan andere teksten uit de pen vloeien weet ik niet. Wel weet ik dat er een aandrang moet zijn om:

•       Het imago van ‘notoire dwarsligger’ af te werpen.
•      De oplossingen te blijven zoeken voor de 1-0 achterstand op hackende Chinezen en Russen.
•      De mannen met geld te blijven bestoken met de rationele werkelijkheid. ‘We zijn al gehacked’. ‘Het kost wat om de rotzooi op te ruimen’. ‘Nee, we zijn zelf niet in staat om deze risico’s het hoofd te bieden’. ‘We moeten op zoek naar expertise en ervaring die we zelf niet hebben’.

Ik wil je vragen morgen een kleurrijke outfit aan te trekken. Laten we in godsnaam die zwartgalligheid afwerpen. Die ‘diep-in-de-put-mentaliteit’moeten we kwijt. Toch moet je ook realistisch blijven. Verizon geeft al meerdere jaren aan dat organisaties maanden nodig hebben om infecties op te merken. Dat alleen biedt al genoeg handvatten om in de put te gaan zitten.

Dus, wat gaan we doen?

Morgen trekken we die leuke blouse uit 1990 aan. Kleurrijk en overdreven. We geven ze niet de kans om te denken dat we de hoop hebben opgegeven. ‘Zij’ zullen er aan moeten geloven. Binnen jouw organisatie is een herboren security professional opgestaan. Die zal ze wel eens vertellen wat hun verantwoordelijkheid is. Big smile en een onovertroffen zelfovertuiging!

Ik zou zeggen: ‘Succes met je kruistocht’! Win de juiste zieltjes voor je verhaal. En laat ze maar zeggen dat je ‘best wel een aardige gozer’ bent.

De eerstvolgende keer dat je ‘hacked’ googlet ziet je scherm er kleurrijk uit!