16 minute read
COLUMN JELMER
COLUMN | MARY-JO DE LEEUWCOLUMN | JELMER SCHREUDER
xxx Jelmer Schreuder xxx. Public Policy Manager Cybersecurity, NLdigital
Reageren? Reageren? xxxxx Mail naar redactie@channelconnect.nl
Iedereen veiliger met één .txt-bestandje
Bij cyberaanvallen staan bedrijven aan de frontlinie. We zien constant aanvallen komen. Helaas neemt de dreiging de afgelopen jaren alleen maar toe. Tegelijk is er kennis van ethische hackers en security-onderzoekers over mogelijke aanvallen. Hiermee kunnen we die aanvallen afslaan en voorkomen. Helaas vindt deze kennis zijn weg nog te weinig naar de juiste mensen. Maar daarvoor is er nu een standaard die dat probleem verhelpt: security.txt.
Vanuit NLdigital zijn we al jaren kritisch op de overheid. Het NCSC verzamelt daar als nationaal Computer Emergency Response Team veel informatie over kwetsbare systemen. Helaas bleef deze informatie ook daar. We zijn blij dat hier eindelijk verandering in komt. Verschillende organisaties, waaronder het Digital Trust Center (DTC), krijgen deze informatie nu. En zij proberen die vervolgens met betrokken bedrijven te delen. Maar de grote vraag blijft: wie moet de informatie krijgen en hoe bereik je deze personen? Want informatie over een kwetsbaar systeem mag absoluut niet bij een verkeerde persoon terechtkomen.
Hier komt security.txt om de hoek kijken. Dit is een tekstbestandje met contactinformatie dat je plaatst op je webserver. Hierdoor ben je eenvoudig te bereiken. Heel belangrijk is ook dat het bij grote bulkinformatie mogelijk wordt om deze automatisch naar de juiste contactadressen te versturen. Bij gevaarlijke kwetsbaarheden kan iedere seconde tellen om inbraken te voorkomen. Deze snelheid is dus van heel groot belang. Security.txt is niet alleen belangrijk voor organisaties als het DTC. Idealiter gaat een melding rechtstreeks van de ontdekker van een kwetsbaarheid naar de eigenaar van het betre ende systeem. In Nederland kennen we bijvoorbeeld het DIVD (Dutch Institute for Vulnerability Disclosure), een vrijwillig team van security-onderzoekers dat kwetsbaarheden opspoort en de systeembeheerders daarover op de hoogte brengt. Juist voor zo’n groep ethische hackers is het essentieel dat ze hun informatie goed kwijt kunnen.
NLdigital heeft zich dus enthousiast aangesloten bij de oproep van het DTC om deze standaard te omarmen. Het vraagt om actie van iedereen, die we eigenlijk al hadden moeten ondernemen. Iedere organisatie moet te rade gaan wie verantwoordelijk is voor het afhandelen van cybersecurity-issues. Of dat ze deze taak willen uitbesteden aan hun leverancier. Als je dit hebt vastgesteld, moet je ook nadenken hoe je omgaat met eventuele meldingen. Allemaal zaken die je niet in een crisissituatie wil uitzoeken, maar waarvoor je altijd klaar moet zijn.
In de nabije toekomst wordt het snel en adequaat opvolgen van kwetsbaarheidsmeldingen verplicht per wet. Begin daarom vandaag nog en laat een simpel .txt bestandje op je servers plaatsen. De dreiging neemt toe, de wettelijke verplichting komt eraan; je hebt dus geen tijd te verliezen.
Een cyberaanval: je wilt niet dat het je overkomt. En je wilt helemáál niet dat het je overkomt terwijl je het had kunnen voorkomen.
CHANNELCONNECT GROTETAFELGESPREK: SECURITY & PRIVACY 2022 Security: eindgebruikers voelen zich ten onrechte veilig
Vorige maand gingen vijf security-specialisten met elkaar en de redactie van ChannelConnect in gesprek over actuele ontwikkelingen in de markt. Tijdens de discussie, die ruim twee uur duurde, kwam een waaier aan onderwerpen aan de orde, van endpointbeveiliging tot de arbeidsmarkt voor security-specialisten. “Niemand juicht als hij security mag aanscha en.” Tekst: Mels Dees
1
Het beeld van security in de markt
Het gesprek start met de vraag hoe eindklanten aankijken tegen security en de aanbieders ervan – waarmee dan zowel leveranciers als MS(S)P’s worden bedoeld. Die serviceproviders zijn immers doorgaans de directe contacten van de eindklanten. “Het feit dat je een specialist bent en expertise hebt opgebouwd is van belang,” zegt Michael van der Vaart, Chief Experience O cer bij ESET in Nederland. “Expertise is soms nog wel belangrijker dan de specifi eke oplossingen die je levert.”
De anderen aan tafel beamen dit weliswaar, maar toch ‘is security niet meteen een heel sexy onderwerp’, zoals René van Putten, Sales Director Benelux bij Datto, het verwoordt. “Daarom moet je meer zijn dan de loodgieter die komt na een lekkage.” Van Putten bedoelt daarmee, dat je continu bij zowel resellers als eindklanten moet werken aan de cyberweerbaarheid. “En wij, als leveranciers, spelen daar een belangrijke rol in, vooral door continu expertise te delen met de markt.”
André Noordam, Senior Director of System Engineering EMEA bij SentinelOne, ziet wel dat de bewustwording als het gaat om cybersecurity toeneemt bij bedrijven, deels door schade en schande, maar zeker ook doordat incidenten in de media-aandacht krijgen. “Maar niemand staat uiteindelijk te juichen als ze security mogen aanscha en.”
De noodzaak van security is helder
Daar staat dan wel tegenover dat iedereen ondertussen snapt dat het nodig is: een tandartspraktijk die niet in de tandzorgketen zat die onlangs werd aangevallen, is zich nu bewust van de risico’s. Van Putten (Datto) herkent dit. “Maar toch is het grootste probleem vaak dat mensen zich veilig voelen, maar het niet zijn”. Het probleem bij cybersecurity is
immers dat het gevaar onzichtbaar is. Dat zal later in het gesprek nog een aantal keer naar voren komen: je ziet niet dat de deur niet op slot zit. Op een dergelijk moment meldt André Hiddink, Product Manager IT bij Rittal dan ‘dat organisaties in elk geval nog aandacht hebben voor een slot, wat bij de aanschaf van behuizingen voor IT-systemen lang niet altijd het geval is.’ Dit terwijl de kwetsbaarheid op hardwaregebied van een IT-omgeving ook fors is en de gevolgen groot kunnen zijn. “Trek in een 19” behuizing maar eens een willekeurige stekker uit het stopcontact”, luidt de boodschap van Hiddink nog wel eens bij prospects. “Grote kans dat de systemen stilvallen.”
‘Het gaat om mensen’
Terug naar de schijnveiligheid bij de gebruikersorganisaties. Een ander
veilig voelen, maar het niet zijn”
René van Putten (Datto)
aspect dat geadresseerd wordt, is het feit dat gebruikers zich juist door de massale omarming van clouddiensten en SaaS-oplossingen veiliger wanen dan ze zijn. Vincent van der Linden, Director of Sales bij Cloudian, legt hier de vinger op: “Security is niet alleen maar iets technisch, het gaat om mensen. Organisaties waarin zij werken zijn meestal tot stand gekomen in een andere tijd.” Van der Linden legt zijn observatie verder uit, als hij vermoedt dat de IT-manager van vijf jaar geleden heel andere opdrachten had dan vandaag de dag. “Dat begint bij de omgeving waarmee gewerkt wordt. Niet langer puur on-premise, maar hybride, of helemaal in de cloud. En dat kan dan public cloud zijn, of private of juist een combinatie van beide vormen.” Wellicht zou je nu, net vijf jaar later, die man al niet meer aannemen. “Deze manager was waarschijnlijk prima in het onderhouden van de IT-infrastructuur en het uitrollen van projecten, maar is hij ook voldoende toegerust om over actuele security-uitdagingen te praten?”
Ongrijpbare wereld
Hiddink constateert dat te veel sprake is van een ongrijpbare wereld voor eindgebruikers. “Dat geldt niet alleen voor het probleem, de cyberaanval, maar ook voor de oplossing, want dat is onzichtbare software.” Hij vermoedt dat veel organisaties zoekende zijn en zich afvragen waar ze goed aan doen. “Je spreekt dan een dienstverlener, en die expert geeft een advies, maar als klant wil je ook weten of dat wel klopt.”
Het beeld doet denken aan een garage waar iets onduidelijks wordt gezegd over een mankement aan de auto. Veel bestuurders hebben geen idee waar het over gaat. “En er speelt nog iets,” geeft Hiddink aan, “het is klanten helemaal niet duidelijk tot op welk niveau ze moeten beveiligen, en welke investering bij welk niveau aan security past. Dat geldt bij fysieke veiligheid net zo zeer als bij digitale security.”
Security als integraal onderdeel
Veel bedrijven hebben geen kennis van security is een overtuiging die
herkend wordt aan tafel. Het zijn immers geen IT-bedrijven, maar zorginstellingen of melkfabrieken. Er moet vaak eerst een incident plaatsvinden voordat er actie volgt. René van Putten (Datto) reageert: “We roepen allemaal als aanbieders al langer dat security een integraal onderdeel moet zijn bij elke IT-stap die je zet. Nieuwe applicatie of omgeving? Meteen de security meenemen.” Daar, stellen alle deelnemers, ligt de verantwoordelijkheid voor het kanaal. En daarmee is de discussie ook weer terug bij waar Van der Vaart hem begon: het gaat niet direct om oplossingen, het gaan in eerste instantie om het delen van expertise. Expertise dat tot advies moet leiden dat eindklanten weerbaarder maakt.
2
De veranderingen sinds de pandemie
Het snelle omschakelen naar thuiswerken tijdens de coronapandemie was alleen mogelijk door de grote adoptie van cloud en SaaS die we al kenden in Nederland. Maar meer dan ooit ging het endpoint een belangrijke rol spelen bij de security van bedrijfsnetwerken. Op welke devices was de medewerker actief op het netwerk? Hoe veilig was de wifi -verbinding? “Security was ooit heel erg gericht op de endpoints die zich binnen de met fi rewalls beschermde kantooromgeving bevonden,” geeft Michael van der Vaart
André Noordam (SentinelOne)
Deelnemers aan het
Grotetafelgesprek
André Noordam
Senior Director of Sales Engineering EMEA - North bij SentinelOne
André Hiddink
Productmanager IT bij Rittal
René van Putten
Sales Director Benelux bij Datto
Vincent van der Linden
Director Sales Nordics, Benelux, Middle East en France bij Cloudian
Michael van der Vaart
Chief Experience O cer bij ESET in Nederland
(ESET) aan, “dat werd breder en dynamischer. Infrastructuur en cloud kwamen erbij, waardoor we nu weer naar het endpoint kijken, maar deels met andere ogen, en deze belangrijker is dan ooit.”
De cloud brak security open
De andere deelnemers aan het Grotetafelgesprek beamen dat: fi rewalls beschermden de infrastructuur tegen gevaren van buiten, maar nu bevinden zich de ‘terminals’, in de vorm van endpoints, zélf buiten de zichtbare omgeving van de beheerorganisatie. Noordam (SentinelOne) zegt erover: “ Klanten hebben jarenlang geïnvesteerd in de buitenkant van het netwerk, maar cloud brak dat open. De endpoints zijn nu ook buiten de bedrijfsomgeving in gebruik.” Van der Linden (Cloudian) deelt daarbij een observatie: “We hebben te maken met een generatie medewerkers die het helemaal niet interesseert waar welke applicaties of data staan, als het maar werkt.” De werkplek zelf maakt dan nóg minder uit voor die werknemers, weet Van Putten (Datto): “Dat kan net zo goed een public wifi -omgeving zijn bij een fastfoodfi liaal.” Het endpoint is echter van het laatste punt vaak het eerste punt geworden waar een aanval of incident zichtbaar wordt.
Andere aspecten van hybride werken
Dat brengt de discussie op een ander aspect van het hybride werken dat sinds corona dominant is geworden: de beveiliging van de communicatie tussen de endpoints en de applicaties – of die nu in de cloud staan of on-premise. “ Multifactor authenticatie lost al een hele hoop problemen op,” zegt Van Putten stellig. Ook pleiten veel deelnemers voor de ‘ouderwetse’ VPN-verbinding voor de communicatie. Wie dacht dat André Hiddink, bij Rittal actief in de fysieke IT-omgevingen, geen veranderingen ziet sinds het uitbreken van de pandemie heeft het mis. “Mensen moesten afstand houden als ze al naar kantoor kwamen. Het serverhok werd met het verplaatsen van een aantal wanden ineens een plek om te vergaderen, of juist een stiltehok. Dus niet langer een omgeving waar één of twee mensen alleen toegang tot hadden, maar het werd omgedoopt tot een verblijfsruimte. De omgeving verandert maar is het beveiligingsniveau van de IT aangepast op de nieuwe situatie? Helaas zien we dat daar voldoende aandacht aan wordt besteed en dat komt de fysieke security en de bedrijfscontinuïteit niet ten goede.”
Vincent van der Linden (Cloudian)
3
De rol van de IT-dienstverleners
Een autofabrikant adverteert vrijwel nooit met het basismodel van een auto, en hoewel hij wel de ‘vanaf-prijs’ vermeldt koopt in de praktijk haast niemand de meest kale uitvoering. Noordam (SentinelOne): “Als je een auto koopt komt er emotie bij, daar speelt de verkoper op in. Helaas is security voor veel budget verantwoordelijken vooral
een kostenpost.” Toch is de rol van de ‘verkopers’, in de vorm van de IT-dienstverleners, heel groot, zegt Michael van der Vaart van ESET. “Dat begint al bij simpele basishygiëne, die de partner kan aanbieden en monitoren. Wachtwoordbeleid, multifactor-authenticatie, training aan de medewerkers op het gebied van security.”
We moeten samen met de partners dus nog meer werken aan de bewustwording, vult Hiddink (Rittal) aan. “Zou een dienstverlener ook niet vaker moeten melden hoeveel aanvallen de oplossing die hij leverde of de dienst die hij uitvoert in een bepaalde periode tegenhield?” Noordam herkent dit. “Je maakt zo wel zichtbaar waaraan de eindklant zijn geld besteedt.”
Adresseer business-continuïteit
Voor Van Putten (Datto) zou die bewustwording nog verder moeten gaan. “Wij en onze partners zouden bij de eindgebruikersorganisaties niet alleen over het tegenhouden van cybercriminelen moeten praten maar vooral over het belang van business-continuïteit. Maak duidelijk wat de functie is van de pakketten en diensten die je aanbiedt, waar het prijsverschil in zit. Een onderneming wil snel up en running zijn, en de partners kunnen dat leveren. En ja, dat kost geld.”
Vincent van der Linden (Cloudian), vindt dat de partners hun klanten moeten helpen de silo-problematiek te doorbreken. Waar voorheen een duidelijke afhankelijkheid tussen de applicatie, infrastructuur en de data-opslag bestond komen data nu vanuit verschillende bronnen en locaties en worden ze verwerkt door meerdere applicaties.” De business moet daarbij de belangrijkheid van data aangeven en zorgen dat IT het budget krijgt om de continuïteit te waarborgen. Omdat security uiteindelijk de business mogelijk maakt. “Je moet dus het gesprek voeren hoe je op elk niveau en op alle componenten binnen de organisatie security doorvoert. En zorgen dat de voorgestelde oplossing inderdaad problemen snel kan herstellen als het mis is gegaan.”
André Hiddink (Rittal)
Van der Vaart (ESET): “Uiteindelijk ga je toch naar die garage voor de wintercheck of APK. En die garage heeft zich bewezen als specialist. Het is op dezelfde manier aan de MS(S)P om producten en techniek aan te bieden, zelf of samen met de leverancier, waar hij vertrouwen in, en kennis van, heeft.”
4
Arbeidsmarkt in beweging
De deelnemers aan de discussie zien steeds meer ondernemingen die geen security-kennis in huis hebben. En die ook niet in huis wíllen hebben. Nogmaals: het zijn geen IT-bedrijven maar ondernemingen met een andere business.
Michael van der Vaart (ESET) stelt ter discussie of de gemiddelde mkb-klant kan acteren op een 24/7 monitoringsdienstverlening. “Vaak zal het nodig zijn,” zegt Van
Putten (Datto), “Maar waar haal je de mensen vandaan? Dat lukt veel MSP’s al niet.” Zoek daarom samenwerking met de leveranciers, is het devies aan tafel. Van Putten: “Meerdere partijen hier aan tafel bieden managed soc-services aan. De leverancier ziet een incident en waarschuwt de MSP. Die onderneemt vervolgens actie bij de klant.” Hij kan isoleren, de situatie vervolgens onderzoeken en een geschikte work-around creëren, vult André Noordam (SentinelOne) aan. “Dat is de goede verhouding,” weet Michael van der Vaart van ESET. “Wij hebben verstand van security, de MSP kent de dagelijkse business van de klant en weet wat bij een incident voorrang moet krijgen.” Door zo samen te werken maak je het systeem weerbaar, sluit Van Putten (Datto) af.
Noordam (SentinelOne) komt toch nog even terug op de 24/7 monitoring of dienstverlening. “De meeste ransomware aanvallen vinden plaats op vrijdag na 17:00 uur. Zodat aanvallers het eerste weekend ongestoord hopen te blijven. Dan is continue monitoring geen overbodige luxe.”
Feit is echter dat dit voor een mkb-onderneming niet op te zetten is. André Hiddink (Rittal): “dat is niet te doen, daar hebben zelfs multinationals al problemen mee.
En dan vind je iemand met hart voor security, en die stapt dan over naar een security-specialist. Daar is hij of zij onder gelijkgestemden.”
Aannamebeleid soms uitdagend
Naar aanleiding van die uitspraak stipt Vincent van der Linden (Cloudian) een praktisch probleem aan: hoe kan een HR-afdeling beoordelen of iemand de skills heeft om, bijvoorbeeld, als CISO te werken? “Het toetsen of iemand iets weet van Excel of Salesforce is nog wel te organiseren, maar een security o cer is toch wel een echte specialist. Dat maakt het aannamebeleid tot een uitdaging.” Om die veelvoud aan redenen, beleggen partijen hun security- management steeds vaker extern, bij een MSSP, of bij een partner die samenwerkt met de leverancier.
Consolidatiegolf vanwege personeel
Overigens mag niet onderschat worden dat ook bij de securitypartijen zelf het arbeidsmarktprobleem een issue is. Van Putten: “Die consolidatiegolf die we zien heeft een reden. Voorheen gingen ondernemingen op overnamepad om klanten te kopen. Nu om personeel met een bepaalde expertise aan zich te binden.”
Securitypartijen zijn zo een interessante omgeving voor securityspecialisten. “En je kunt volgens een one-to-many model werken, waardoor je met minder mensen meer bedrijven kunt monitoren.”
Houd security persoonlijk
De vraag komt tot slot op, of er niet meer geautomatiseerd moet worden als het gaat om security, bijvoorbeeld door de inzet van CASB.
Daar worden beslist kansen gezien, maar er is ook een aarzeling die Van Putten van Datto verwoordt: “Als een eindgebruiker niet meer ziet wat een partner of leverancier concreet levert zie je dat de waarde van die dienst of dat product in de perceptie van de klant afneemt. Je hebt persoonlijk contact nodig als je diensten wilt verlenen, dat geldt voor de relatie tussen eindgebruiker en partner, maar net zo goed voor de band tussen partner en leverancier.” ◾
Michael van der Vaart (ESET Nederland)
