Hoe krijg jij je IT-security in 2021 onder controle?

Driekwart van de IT-verantwoordelijken heeft geen volledig beeld van de eigen weerbaarheid. Een frisse start is de beste oplossing.

Hoe zeker ben jij van de weerbaarheid van je organisatie? Dat is een gewetensvraag, maar ik stel hem bewust. Er speelt nogal het een en ander op het gebied van security: Europa heeft met de AVG de teugels aangetrokken, het Nationaal Cyber Security Centrum trekt aan de bel over toenemende dreigingen en digitale kwetsbaarheid, en nu werken we ook nog massaal thuis, vaak op apparaten en via netwerken waar de IT-afdeling maar weinig zicht op heeft.

In het Solvinity Security Awareness onderzoek 2020 vroegen we deze zomer aan 500 Nederlandse IT-verantwoordelijken of hun organisatie naar hun idee de beveiliging van de IT-omgeving onder controle heeft. 25,9% is daar zeker van. 62,4% “heeft het gevoel van wel” – de rest denkt van niet of heeft simpelweg geen idee.

Dat zijn geen hele fijne getallen. Zeker niet als je beseft dat je organisatie een belangrijke verantwoordelijkheid draagt, zowel wettelijk als moreel, voor alle gevoelige gegevens van klanten, medewerkers en partners in je systemen. Maar ook voor je bedrijfsgeheimen, waarnaar volgens het NCSC driftig gehengeld wordt door ‘statelijke actoren’, is het niet heel prettig als je moet toegeven dat je eigenlijk geen goed beeld hebt van hoe kwetsbaar je nu werkelijk bent.

“Hoe zeker ben jij van de weerbaarheid van je organisatie? Dat is een gewetensvraag, maar ik stel hem bewust.”

Hoe krijg je weer controle?

De grote vraag is dus hoe je ervoor kunt zorgen dat je de boel onder controle krijgt. Wat moet er gebeuren om vol zelfvertrouwen te kunnen zeggen dat je de basisbeveiliging van je organisatie goed op orde hebt?

Om die vraag te beantwoorden is het goed je te realiseren dat security in de IT heel lang een bijgedachte is geweest. Inmiddels is het een cruciaal onderdeel van iedere IT-omgeving – maar het is er eigenlijk later pas ‘bijbedacht’. Vergelijk het met een auto die ontworpen is om zo hard mogelijk vooruit te gaan. Als je daar achteraf remmen in moet bouwen, en gordels, en airbags, en kreukelzones, dan is dat bijzonder lastig. Zeker in een rijdende auto. De kans dat de auto daar mooier of sneller van wordt is vrijwel nihil, waardoor je je klanten ook nog eens heel ongelukkig maakt.

Voor cybersecurity geldt hetzelfde. Hoe eerder je cybersecurity meeneemt in je beleid en ontwerp, hoe beter het is. Security by design, waarbij je cybersecurity vanaf de basis in ieder ontwerp en proces meeneemt, maakt alles zo veel gemakkelijker. Het zorgt ervoor dat je vanaf het begin een goed beeld opbouwt van alle maatregelen en alle kwetsbaarheden die je bewust hebt moeten toestaan, waardoor je altijd weet waar je aan toe bent. Als dat inzicht ontbreekt, kun je nooit met zekerheid zeggen dat je ‘in control’ bent.

Wij geven je drie aandachtsgebieden waarmee je de basisbeveiliging voor jouw organisatie op orde kunt brengen.

“In ons onderzoek geeft maar liefst 80% aan dat niet alle updates en patches altijd worden geïnstalleerd. En als het wel gebeurt, duurt het vaak langer dan nodig.”

1. Direct updaten en patchen

Security by design helpt om processen te vergemakkelijken die cruciaal zijn voor de veiligheid van je organisatie. Een goed en belangrijk voorbeeld zijn de updates en patches, die regelmatig worden uitgebracht om kwetsbaarheden in allerhande hard- en software te verhelpen. In ons onderzoek geeft maar liefst 80% aan dat niet alle updates en patches altijd worden geïnstalleerd. En als het wel gebeurt, duurt het vaak langer dan nodig. Het is belangrijk een goede balans te vinden tussen het testen van patches en de snelheid waarmee patches op productie geïnstalleerd worden. Daarnaast is het zaak om een spoedprocedure op de plank te hebben liggen voor de echt risicovolle kwetsbaarheden. Bij nieuw op te bouwen omgevingen is het zinvol te kijken naar geautomatiseerd testen – wanneer de testen geautomatiseerd zijn, kan de tijd die het kost om een patch op productie te installeren aanzienlijk worden verkort.

Voor het niet tijdig installeren van patches zijn vaak ogenschijnlijk goede redenen– bijvoorbeeld de angst dat een update cruciale bedrijfsprocessen kan verstoren. Maar in de meeste gevallen zijn dat eigenlijk excuses die vermeden hadden kunnen worden door veel eerder over de omgang met updates en patches na te denken. Veel bedrijven zijn geneigd updates en patches voor zich uit te schuiven omdat ze liever geen risico’s willen nemen. Maar de realiteit is dat hoe langer je ermee wacht, hoe ingewikkelder het wordt.

Volgens Watchguard bestaat op dit moment al 70% van alle malware uit ‘zero day attacks’: aanvallen die specifiek gericht zijn op nog niet gepatchte systemen. Dus hoe langer je wacht, hoe groter het risico. Daar komt nog bij dat de kans dat updates problemen veroorzaken simpelweg veel groter wordt als je probeert meerdere updates en patches tegelijk te installeren.

Een standaardprocedure voor het snel en veilig doorvoeren van enkele updates of patches maakt het veel gemakkelijker om de oorzaak van mogelijke problemen te achterhalen en een roll-back uit te voeren als dat nodig mocht zijn. Het zorgt ervoor dat je organisatie veel minder kwetsbaar wordt voor misbruik van bekende kwetsbaarheden, verkleint de kans op grote storingen, en maakt het veel eenvoudiger eventuele problemen aan te wijzen en te verhelpen.

“Alleen al in kaart brengen hoe de huidige infrastructuur in elkaar zit, is ontzettend tijdrovend en daardoor zeer kostbaar.”

2. Testen, reviewen en herinstalleren

Veel mensen vragen ons om een oplossing om hun bestaande IT-infrastructuur beter te beveiligen. Tegelijkertijd willen ze graag flexibeler, sneller en prettiger kunnen werken. Als je je de analogie van de snelle auto weer voor de geest haalt, begrijp je dat dat niet ideaal is. Alleen al in kaart brengen hoe de huidige infrastructuur in elkaar zit, hoe alle afhankelijkheden werken, welke configuraties zijn gekozen en waar welke kwetsbaarheden zijn ontstaan, is ontzettend tijdrovend en daardoor zeer kostbaar. Erger is nog dat je daarna moet proberen een fundamenteel onveilig systeem weerbaar te maken. Iedereen die wel eens een fietsband heeft geplakt weet, dat als een band eenmaal lek is geweest, een nieuwe band eigenlijk altijd de beste oplossing is.

Natuurlijk is het mogelijk achteraf nog veel te doen. Je kunt vulnerability tests en een (kostbare) security audit laten uitvoeren; je kunt de firewall rules en je hardening laten controleren (een enorme klus). In wezen moet je je hele IT-omgeving opnieuw laten bekijken en overal opnieuw een bewuste keuze maken: welke rechten sta je toe, welke poorten zet je open en waarom, welke maatregelen hebben welke gevolgen elders in de keten. Het kán, en voor sommige klanten doen we het ook. Maar in veruit de meeste gevallen is een volledige herinstallatie verreweg de beste keuze.

3. Opschonen en vereenvoudigen

Door de IT-infrastructuur opnieuw op te bouwen, kun je gebruikmaken van best security practices, waardoor je zeker weet dat alle IT direct ge-hardened wordt en alle configuraties zorgvuldig worden gedocumenteerd. Door de infrastructuur van het begin af aan secure op te bouwen ontstaat het inzicht dat essentieel is om een systeem weer onder controle te krijgen. Bovendien is een herinstallatie een uitstekende gelegenheid om de infrastructuur op te schonen en te vereenvoudigen, bijvoorbeeld door afscheid te nemen van verouderde of ongebruikte componenten of door over te stappen op flexibelere en veiligere alternatieven die beter beheersbaar zijn.

Een IT-infrastructuur die ‘secure by design’ wordt opgebouwd is veiliger en veel eenvoudiger te beheren. Het geeft inzicht dat van pas komt bij compliance en bij audits. Het maakt ook je beveiligingsbeleid vele malen eenvoudiger. Iedere organisatie krijgt regelmatig te maken met veranderingen, zoals de installatie van updates en patches, de implementatie van nieuwe oplossingen of het toevoegen van nieuwe gebruikers. Door dat soort aanpassingen onderdeel te maken van een veilige standaardprocedure kunnen ze snel en met een gerust hart worden doorgevoerd. Het is de beste manier om bij ons volgende Security Awareness onderzoek te kunnen antwoorden dat de IT-omgeving weer volledig onder controle is.