10 minute read
tijdens WannaCry Meer datalekken dan ooit tevoren
Thales Data Threat Report 2018:
Meer datalekken dan ooit tevoren
Advertisement
Thales publiceerde onlangs de resultaten van het Data Threat Report 2018, dat is opgesteld in samenwerking met onderzoeksbureau 451 Research. Daaruit blijkt dat inmiddels al bijna driekwart van de Nederlandse bedrijven te maken heeft gehad met een of meerdere datalekken. Als gevolg hiervan is de angst voor datalekken in Nederland groter dan elders in de wereld.
Uit het Data Threat Report 2018 komt duidelijk naar voren dat overal ter wereld organisaties een digitale transformatie doormaken, waarin data een cruciale rol speelt. Inmiddels maakt 94% van alle ondervraagde organisaties wereldwijd gebruik van gevoelige gegevens die verwerkt worden in de cloud, big data- en IoTtoepassingen, containers, blockchain of mobiele oplossingen.
Recordtempo
De digitale transformatie zorgt voor efficiency en schaalvergroting, maar maakt ook nieuwe businessmodellen mogelijk die groei en winst opleveren. Vrijwel alle kenmerkende nieuwe toepassingen van de digitale informatietechnologie worden in recordtempo omarmd: • 42% van de organisaties gebruikt inmiddels meer dan 50 SaaS-applicaties • 57% werkt met minimaal drie verschillende IaaSleveranciers • 53% werkt in drie of meer PaaS-omgevingen • 99% maakt reeds gebruik van big data • 94% is bezig met IoT-technologie • 91% bereidt zich voor op of maakt gebruik van mobiele betalingen
Acceptatie
De acceptatie van deze nieuwe oplossingen gaat zo snel dat tegelijkertijd meer kwetsbaarheden en grotere risico’s ontstaan die vragen om nieuwe oplossingen voor databeveiliging. De grootte en de impact van de nieuwe dreiging komt duidelijk naar
voren uit een sterk groeiend aantal datalekken en kwetsbaarheden:
• In 2018 gaf 67% van alle respondenten aan dat ze te maken hebben gehad met een datalek, waarvan 36% in het afgelopen jaar. In 2017 meldde nog 26% een datalek in het voorgaande jaar. • In Nederland ligt het percentage organisaties dat ooit een datalek zegt te hebben gehad zelfs hoger (74%).
Daar staat tegenover dat ‘slechts’ 27% van de Nederlandse respondenten in het afgelopen jaar een datalek heeft gemeld. Dat is ook binnen Europa lager dan het gemiddelde (32%). • Opvallend genoeg voelt 47% van alle
Nederlandse respondenten zich ‘zeer’ of ‘extreem’ kwetsbaar voor datadreigingen. Dat is hoger dan het internationale gemiddelde van 44% en hoger dan het Europese gemiddelde van 41%.
Nauwelijks aangepast
Hoewel technologie veel heeft veranderd voor organisaties, blijken beveiligingsstrategieën nauwelijks aangepast aan de nieuwe realiteit: investeringen in databeveiliging liggen niet in lijn met wat algemeen gezien wordt als de beste manier om data te beveiligen.
• 77% van de respondenten noemt de beveiliging van data-in-ruste de meest effectieve maatregel om datalekken te voorkomen (direct na netwerkbeveiliging en de beveiliging van data-in-beweging met elk 75%). • Desondanks besteedt 57% van de respondenten het grootste deel van hun beveiligingsbudget aan de beveiliging van endpoints en mobiele toepassingen, gevolgd door de beveiliging van analyse en correlatie oplossingen (50%). • Dit maakt duidelijk dat er ruimte zit tussen perceptie en realiteit: beveiligingsoplossingen die gericht zijn op data-in-ruste staan bij respondenten met 40% onderaan de prioriteitenlijst met IT security uitgaven.
Budgetten groeien
Goed nieuws is dat overal ter wereld de budgetten voor cybersecurity aan het stijgen zijn. In Nederland verwacht 39% van de respondenten een iets hoger budget en 29% zelfs een aanzienlijk hoger budget.
Daar staat tegenover dat de respondenten tegelijkertijd ook serieuze obstakels zien die het moeilijk maken cybersecurity maatregelen doorgevoerd en geaccepteerd te krijgen:
• Complexiteit - hoewel moderne cybersecurity-platformen en -diensten steeds eenvoudiger en gebruiksvriendelijker worden, vreest 45% van de respondenten (41% in
Nederland) dat cybersecurity het gebruik van IT ingewikkelder maakt. • Prestaties - hoewel de meeste oplossingen tegenwoordig hardwareondersteuning hebben die de impact op de prestaties van applicaties minimaliseert, ziet 35% mogelijk prestatieverlies nog als bezwaar. • Noodzaak - hoewel het aantal datalekken groeit en de AVGvereisten steeds meer druk leggen op organisaties om hun cybersecurity te verbeteren, twijfelt 34% van de respondenten nog steeds aan de noodzaak van cybersecurity maatregelen.
Positief gestemd
Nederlanders zijn redelijk positief over de effectiviteit van compliancy: 55% denkt dat voldoen aan wet- en regelgeving ‘zeer’ of ‘extreem’ effectief is om datalekken te voorkomen. Daarmee zijn Nederlanders overigens wel wat kritischer dan hun Europese collega’s (60%) of het internationale gemiddelde (64%).
Om de trend van datalekken te keren en op een veilige manier gebruik te maken van nieuwe technologieën en innovaties, doet het rapport een aantal aanbevelingen. Maak bijvoorbeeld gebruik van security analytics en multi-factor authenticatie om onveilig datagebruik zo snel mogelijk te identificeren. Pas verder encryptie en toegangscontrole toe als primaire beveiliging van data en overweeg een ‘encrypt alles’-strategie. Kies een platform voor databeveiliging dat geschikt is voor meerdere toepassingen, om zo zowel complexiteit als kosten terug te dringen.
VAN DE REDACTIE
D3NH4CK: de 5lessons learned van Nederlandse securityexperts
Onlangs vond in Den Haag de tweede editie van D3NH4CK plaats, het kennisevenement van DearBytes waar experts uit de securitywereld hun inzichten delen. Wij waren erbij en delen de 5 belangrijkste lessen.
1. Internet of Things: ga uit van datalekken
Het Internet of Things (IoT) was een ‘hot topic’ tijdens D3NH4CK, en niet zozeer vanwege de spannende toepassingen die verbonden apparaten mogelijk maken. Mattijs van Ommeren, Principal Security Consultant bij Nixu Corporation, en Wesley Neelen, ethical hacker bij DearBytes, hadden een complete sessie gewijd aan de gevaren.
Van Ommeren ontdekte in 2008 een enorm lek in een populaire consumenten-NAS. Via de kwetsbaarheid kon hij niet alleen bij de data van andere eigenaren van de betreffende NAS, maar ook code uitvoeren op hun apparaten. Het aanvalsoppervlak was enorm, want het model werd onder diverse merknamen wereldwijd verkocht.
Inmiddels is de situatie volgens Van Ommeren nauwelijks verbeterd. Een recente proef met een gangbare IP-camera deed het ergste vermoeden. Het apparaat lekte onder andere het unieke identificatienummer op het netwerk, wat eenvoudig toegang verschafte tot de onversleutelde videostream. Ook het wifiwachtwoord bleek te achterhalen via het netwerkverkeer dat het apparaat genereert.
Neelen trof recentelijk een ernstig lek aan in kindersmartwatches waardoor hij eenvoudig de locatie van kinderen kon achterhalen. Hij haalde met de ontdekking de landelijke media en vroeg mede via die weg aandacht voor het probleem.
Volgens Van Ommeren en Neelen zijn het geen op zichzelf staande incidenten, maar is de onveiligheid van het IoT een structureel probleem. Een belangrijke oorzaak is de manier waarop de apparaten tot stand komen. De leveranciersketen is lang en ingewikkeld, met onder andere verschillende producenten voor bijvoorbeeld het besturingssysteem, de SoC en de software. In al die schakels kunnen zwakheden ontstaan. Daarbij zijn een snelle time-to-market, krappe winstmarges en gebruiksvriendelijkheid de belangrijkste focuspunten, en dat gaat ten koste van de aandacht voor veiligheid.
De belangrijkste lesson learned: het Internet of Things biedt kansen, maar ga er vanuit dat de data die je ermee verwerkt op straat belanden. Is dat risico onacceptabel, dan kun je het IoT beter links laten liggen.
2. Focus ligt nog altijd op brandjes blussen
Met welke beschermende maatregelen sla je een cyberaanval af? En hoe beperk je het risico op een datalek? In de praktijk maken de directies van Nederlandse bedrijven vaak verkeerde keuzes. Te vaak ligt de nadruk op technische ad-hoc oplossingen waarmee de board brandjes blust. Dit was een belangrijke conclusie die klonk tijdens ‘the Boardroomgame’.
De deelnemers aan dit spel vormden samen de directie van fietsenfabriek Antilopen. In meerdere rondes moesten ze met het beschikbare budget beveiligingsmaatregelen aanschaffen. Aan het einde van iedere ronde kregen de deelnemers te horen aan welke dreigingen het bedrijf daadwerkelijk bloot had gestaan. Waren de juiste maatregelen getroffen om die dreigingen te mitigeren? Dan had dit een positief effect op het resultaat van de onderneming.
Volgens de deelnemers aan the Boardroomgame bootste het spel de werkelijkheid goed na. “Wij investeerden bijvoorbeeld pas in de derde ronde in een beveiligingsbeleid en in incidentresponse, terwijl je daar eigenlijk mee hoort te beginnen”, aldus Sander van Blitterswijk, een van de deelnemers aan het spel. “Maar ook in de praktijk zie je dat beleid en incident-response ondergeschoven kindjes zijn.”
“Een ad-hocbenadering van beveiliging op boardroomniveau zien we helaas ook in de praktijk”, bevestigt Nandenie Moenielal, senior securityconsultant bij DearBytes. “Security wordt vaak gezien als een puur technische aangelegenheid. Maar beleid, processen en mensen zijn minstens zo belangrijk. Technische maatregelen alleen zijn niet voldoende om de business te beschermen.”
3. Responsible-disclosurebeleid: onmisbaar in de strijd tegen cybercriminaliteit
Hoe spoor je kwetsbaarheden in je IT-systemen op voordat er misbruik van wordt gemaakt? Volgens ZerocopterCEO Edwin van Andel zijn er genoeg ethical hackers die aangetroffen kwetsbaarheden graag melden zonder dat ze daarmee kwade bedoelingen hebben of er überhaupt iets voor terug hoeven zien. De angst om wegens computervredebreuk te worden aangeklaagd, houdt ze echter tegen.
De oplossing: stel een responsibledisclosurebeleid op. Hierin kan de organisatie aangeven op welke manier een gevonden lek ‘netjes’ gemeld kan worden. Bijvoorbeeld door het lek niet met de rest van de wereld te delen voor het is opgelost, en door aangetroffen data en systemen verder met rust te laten. In ruil voor het houden aan die gedragscode belooft de organisatie geen stappen te ondernemen tegen de ontdekker van het lek.
Dat een responsible-disclosurebeleid werkt, is inmiddels ruimschoots bewezen. Het NCSC heeft richtlijnen voor het opstellen van zo’n beleid, en er is zelfs een ISO-normering voor beschikbaar.
4. De sleutel van effectieve threat intelligence is een Cyber
Fusion Cell
“Hadden de slachtoffers van WannaCry vorig jaar de ernstige consequenties van niet tijdig patchen op voorhand geweten,
dan hadden ze andere keuzes gemaakt”, aldus een confronterende Matthijs van der Wel van PwC. Volgens hem kan threat intelligence (TI) die inzichten bieden. Het probleem is dat TI enorm veelomvattend is. Het is kennis van de vijand, maar ook van de eigen systemen, van de positie en ontwikkelingen in de markt. Zelfs het politieke speelveld kan van invloed zijn op de risico’s die een organisatie loopt.
Die kennis zit vaak gevangen in silo’s. In de hoofden van mensen, in logs van securityoplossingen en in databanken vol ongestructureerde data. Hij pleit dan ook voor een soort ‘Cyber Fusion Cell’, een plek waar alle informatie samenkomt en die heterogene teams verbindt. Een Cyber Fusion Cell combineert verschillende informatiebronnen en correleert deze informatie, al dan niet met behulp van kunstmatige intelligentie. Alle betrokken teams krijgen vanuit deze cel de juiste ‘actionable’ informatie op
het juiste moment. Op die manier kunnen organisaties hun verzamelde kennis en inzichten optimaal benutten in de strijd tegen cyberdreigingen.
5. Gebouwautomatiseringssystemen zijn het volgende doelwit
Tijdens de openingssessie van D3NH4CK vestigde Suzanne Rijnbergen, portfoliomanager Security bij KPN, de aandacht op het gevaar van gebouwautomatiseringssystemen. Dergelijke systemen hebben steeds vaker een koppeling met het internet. Dat biedt hackers bijvoorbeeld mogelijkheden de koeling in datacenters uit te schakelen, het licht in kantoorgebouwen te bedienen of gevoelige data te stelen.
Met voorbeelden maakte Rijnbergen duidelijk dat deze risico’s niet alleen in theorie bestaan. Bekend is de hack bij de Amerikaanse winkelketen Target. De aanvallers drongen binnen via het bedrijf dat de airco onderhield en remote toegang had tot de systemen. Het gevolg was dat de creditcard- en NAW-gegevens van ruim 40 miljoen klanten op straat lagen.
Het netwerkgebaseerde Intrusion Detection Systeem BrAIN, een ontwikkeling van KPN en SecurityMatters, moet aanvallen op systemen voor gebouwautomatisering en -beheer detecteren en afslaan. Aan de hand van blacklists en whitelists controleert BrAIN of het gemonitorde BACnet-verkeer ‘goed’ of ‘fout’ is. BACnet is een datacommunicatieprotocol voor gebouwautomatiseringssystemen. Ook signaleert BrAIN eventuele misconfiguraties en manipulatie van systemen.
www.scos.cloud Secure Managed File Transfer
Hosted in West Europe – Middenmeer/The Netherlands. Ipswitch MOVEit Cloud is a SaaS version of MOVEit Transfer
Ipswitch MOVEit Cloud delivers the company’s industry-leading Managed File Transfer (MFT) system with all the benefits of cloud computing, including: • reliability • elasticity • and rapid deployment
In an era of high-visibility security violations, scos.cloud leads the industry in security and integrity.
scos.cloud protects your most valuable asset – your data – by incorporating essential security measures for cloud services.
Hosted at a world-class data center facility (ISO/IEC 27001 ) compliant that is engineered to incorporate multiple levels of security and redundancy for optimal • reliability • availability • business continuity and it’s all managed by MOVEit experts.
Start your Cloud MFTaaS now with one of our MFT experts.
