De mens is de zwakste schakel in de keten van cybersecurity, hoor je vaak. Daar stoort Roel van Rijsewijk van Thales zich danig aan. Dit legt namelijk de verantwoordelijkheid op dit vlak niet bij de mensen die erover gaan, maar bij de eindgebruikers. Dat moet en kan anders.
Als het gaat om cybersecurity, speelt awareness bij de eindgebruikers een belangrijke rol tegenwoordig. Als eindgebruikers nu eens goed zouden snappen wat er allemaal gevaarlijk is, dan ben je als organisatie minder kwetsbaar voor hacks en andere cyberdreigingen. Van Rijsewijk wordt overduidelijk opstandig van een dergelijke insteek. “Awareness wordt vaak gebruikt als excuus in mijn vakgebied”, geeft hij aan. Daarmee schuif je de schuld van ondermaatse security af op je eindgebruikers, terwijl organisaties beter naar zichzelf kunnen kijken.
Slechte gesprekken
In de basis zijn de meeste gesprekken binnen organisaties rondom cybersecurity “slechte gesprekken”, geeft Van Rijsewijk aan. Hiermee doelt hij op de manier waarop een en ander intern wordt ‘verkocht’. “Het gaat mis op het gebied van reverse psychology,” stelt hij. Een security officer blaast het probleem vaak onnodig op, waarna de andere kant gaat bagatelliseren. Als gevolg daarvan doet de security officer er nog een schepje bovenop. Het resultaat hiervan is een zeer slechte dialoog tussen beide onderdelen van de organisatie.
Een dergelijke slechte dialoog zal uiteindelijk ook nooit gewenste resultaat – een veiliger omgeving – opleveren. Het ophogen van securitymaatregelen vanuit de security officer, vaak een gevolg van een dergelijke dynamiek, werkt verder ook contraproductief. Een restrictief security-beleid zorgt uiteindelijk altijd voor olifantenpaadjes, is Van Rijsewijk van mening. Een omgeving 100 procent dichtzetten is naast onmogelijk, ook gewoon onwenselijk. Het zorgt alleen maar voor meer frictie en ongewenst eigen initiatief van medewerkers.
Awareness wordt er zoals al aangegeven vaak bij getrokken als het gaat om het weerbaarder maken van organisaties. Het probleem ligt echter niet bij de medewerkers, stelt van Rijsewijk. Dat ligt bij de slechte gesprekken. Het is zeker niet zo dat awareness niet zou helpen, maar het mag nooit het speerpunt zijn. Je moet als organisatie zelf betere gesprekken gaan voeren rondom cybersecurity. Ga je vol door op puur de awareness-route, dan slaat dat op den duur om in paranoia en durft niemand iets meer. Daarnaast levert het vaak ook niet het gewenste resultaat op, maar dat is een andere discussie.
Er kan meer dan we denken
Als awareness omslaat in paranoia en je als organisatie een securitybeleid voert dat extreem restrictief is, maak je op meerdere vlakken een fout. Allereerst verlies je dan de eindgebruikers uit het oog en de impact die een dergelijk beleid op hen heeft. Het resultaat hiervan zijn de al eerder aangehaalde olifantenpaadjes. Daarnaast blokkeer je als organisatie ook zaken die helemaal niet geblokkeerd hoeven te worden.
Als voorbeeld van dat laatste verwijst Van Rijsewijk naar de gevolgen van de coronacrisis. Veel bedrijven zijn gedwongen om remote access mogelijk te maken. Hij had zelf een probleem in een SOC van Thales. Dat moet voldoen aan strenge richtlijnen en mocht dus niet van buitenaf toegankelijk zijn. Tijdens de coronaperiode mochten er vaak geen mensen in het SOC aanwezig. Toch draaide alles daar nog wel. Toen kon het opeens toch wel. Zonder dat dit ten koste is gegaan van de security van het SOC.
Een belangrijke component van een succesvolle strategie waarbij je cybersecurity niet het probleem maakt van eindgebruikers, ligt in het denken vanuit die eindgebruiker. “Je moet je afvragen waarom mensen een eenvoudig wachtwoord gebruiken”, in de woorden van Van Rijsewijk. Dat moet je vertrekpunt zijn. Het hoeft allemaal niet extreem moeilijk te zijn voor eindgebruikers om ook veilig te kunnen zijn. Als voorbeeld haalt hij Paypal aan. Dat werkt extreem eenvoudig, met een gebruikersnaam en een wachtwoord. Dit is niet waterdicht, maar dat maakt Paypal niet het probleem van de eindgebruiker. Het bedrijf heeft eigen technologie ontwikkeld en een team dat continu speurt naar verdachte transacties en die ook aanpakt. Paypal neemt hier dus zelf de verantwoordelijkheid.
Verschuif focus naar detectie en respons, maar wel met opvolging
Onder de streep moet je als organisatie voor je eindgebruikers minimale security willen, is Van Rijsewijk van mening. Het gevolg hiervan is uiteraard dat je meer focus op detectie en respons (EDR) moet hebben. Je zet de organisatie als geheel toch wat meer (bewust) open dan je doet als je alles dichttimmert of probeert dicht te timmeren. Deze verschuiving naar detectie en respons is ook een duidelijke stap weg van awareness. Dat is in principe een preventieve maatregel. Je wilt hier immers mee voorkomen dat mensen in de val lopen.
Toch is awareness ook in de benadering van Van Rijsewijk niet afwezig, constateren we. Hij stelt namelijk dat de focus op detectie en respons wel op een verantwoorde manier moet gebeuren. Dat wil zeggen, je moet als organisatie ook oefenen op het adequaat reageren op detecties (bij voorkeur middels Red Teaming). Als je oefent, gaan mensen zonder twijfel leren van hun fouten, dus komt er wel degelijk meer awareness. De basis van de verantwoordelijkheid ligt echter niet meer bij de eindgebruiker, wat bij preventieve awareness wel het geval lijkt te zijn. Detectie en respons werkt zo grofweg hetzelfde als het menselijke immuunsysteem, stelt Van Rijsewijk. Je detecteert iets, schakelt het uit en herstelt naar een hoger niveau.
Op zich is het leggen van de nadruk op detectie en respons niet nieuw natuurlijk. Dat gebeurt al vele jaren inmiddels. De nadruk op het daadwerkelijk oefenen ervan horen we minder vaak. Uiteraard moet je wel de mensen hebben om adequaat om te gaan met de output van je EDR. Een probleem daarvan is vaak dat je zoveel meldingen krijgt dat je het overzicht verliest en er veel te lang over doet. Minder meldingen en dan vooral zo weinig mogelijk false positives lijkt ons in ieder geval ook niet onbelangrijk. Daar zijn EDR-oplossingen over het algemeen niet altijd even goed in. We hadden hier recent nog een interessant gesprek over met Deep Instinct, die hun Deep Learning-platform graag gekoppeld zien aan EDR, om juist dit te bereiken. Ook dat platform legt de verantwoordelijkheid overduidelijk niet bij de eindgebruiker overigens.
Rol voor industrie en organisaties
De hierboven geschetste benadering klinkt sympathiek. In theorie zijn we het ook wel eens met het standpunt dat je eindgebruikers binnen organisaties niet de schuld in de schoenen moet schuiven door ze via de awareness-route voor een groot gedeelte verantwoordelijk te maken voor het voorkomen van hacks en andere aanvallen. De security-industrie als geheel zou ook bij zichzelf te rade moeten gaan, in plaats van claimen dat ze hun zaakjes op orde hebben, geeft Van Rijsewijk aan. Als je het gedrag van gebruikers wilt beïnvloeden, kan dat ook prima via andere middelen dan bijvoorbeeld awarenesstrainingen. Denk bijvoorbeeld aan het groene balkje bij het aanmaken van wachtwoorden, om aan te geven dat een wachtwoord sterk genoeg is.
De verantwoordelijkheid ligt uiteraard niet alleen maar bij de security-industrie. Daarom moet je ook als organisatie de nodige stappen zetten om je security posture te verbeteren. Als medewerker van Thales, dat onder andere securitydiensten aanbiedt, zal het je niet verbazen dat Van Rijsewijk adviseert om als organisatie meer en beter te investeren in security. Toch zit er meer achter dan een salesverhaal, verzekert hij ons. In zijn rol als Director Cyber Defense blijft hij in gesprekken zoals wij die met hem hebben in ieder geval altijd bewust weg van een dergelijk verhaal. Ook als hij wel salesgesprekken heeft, blijft hij weg van FUD (Fear, Uncertainty, and Doubt) om maar iets te kunnen verkopen, verduidelijkt hij.
Of je nu wel of niet gelooft dat Van Rijsewijk hier niet voor eigen parochie preekt, hij heeft wel een interessant standpunt wat ons betreft. Security officers moeten af van de wat hij een “negatieve opdracht” noemt die ze doorgaans krijgen. ‘Als het maar niet fout gaat’, is hierbij het leidende principe. Dat resulteert onherroepelijk in zeer restrictief beleid. Van Rijsewijk vergelijkt de boodschap van een security officer met die van een tandarts, die een wortelkanaalbehandeling uit gaat voeren bij je. Het moet gebeuren, maar het is niet iets waar je heel blij van wordt.
Word risicozoekend in plaats van risicomijdend
Onder de streep is het volgens Van Rijsewijk van belang dat je als security officer wat meer risicozoekend wordt, in plaats van altijd maar risicomijdend. Niet de negatieve business case proberen te maken voor het geval er iets misgaat, maar juist de positieve. Met andere woorden, je moet wijzen op de voordelen die investeren in security biedt voor je organisatie als geheel. Ga je uit van de risicomijdende insteek, dan kun je eigenlijk sowieso niet spreken over investeren, omdat je daar uiteindelijk ook niet echt iets voor terugkrijgt, in de vorm van een ROI. Natuurlijk, je kunt zeggen dat je door een goede bescherming tegen ransomware geen losgeld hoeft te betalen, maar dat is niet echt een ROI zoals we dat kennen uit ‘normale’ investeringen.
Het eerder aangehaalde voorbeeld van Paypal zou je kunnen zien als een positieve en risicozoekende manier om security te bedrijven. Dat bedrijf investeert in de speciale teams die verdachte transacties en dergelijke moeten opsporen. Hierdoor werkt het platform relatief eenvoudig. Dat moet dan een positief effect hebben op de gebruikservaring en dus tot meer tevreden gebruikers leiden. Een dergelijke benadering zou je als organisatie ook moeten kiezen voor je medewerkers. De afgelopen anderhalf hebben in ieder geval aangetoond dat er veel meer mogelijk is dan we voor die tijd dachten, bijvoorbeeld op het gebied van werken en dus toegang op afstand.
Om de omslag van risicomijdend naar risicozoekend te kunnen maken, is het traditionele profiel van de security officer niet meer echt van deze tijd, geeft Van Rijsewijk aan. Van oudsher waren het vooral omgeschoolde IT auditors en vergelijkbare risicomijdende rollen die het tot security officer schopten. Dat is nu aan het veranderen, geeft hij aan. De hacker is nu een profiel aan het worden voor deze functie, of in ieder geval jonge, dynamische mensen die denken als een hacker. Die kunnen veel gerichter en dus minder restrictief te werk gaan.
Tot slot: Awareness is geen onzin
Uit het bovenstaande zou je kunnen opmaken dat awareness in de breedste zin van het woord onzin is volgens Van Rijsewijk. Als stelling is dit natuurlijk een interessant begin voor een gesprek, maar in de praktijk is awareness natuurlijk wel degelijk belangrijk. Zo moet er awareness zijn in de boardroom dat er zaken anders moeten. Dat is er volgens Van Rijsewijk ook wel, alleen nog maar zelden als het gaat om de positieve business case. Daar moeten nog stappen gezet worden dus.
Ook eindgebruikers zijn niet volledig gevrijwaard van enige nadruk op awareness. Deze awareness is echter van een andere orde dan het afschuiven van de verantwoordelijkheid, ‘omdat de mens nu eenmaal de zwakste schakel is’. Als je investeert in EDR en je gaat (eventueel via Red Teaming) oefenen hoe het in de praktijk werkt, dan creëer je uiteraard ook awareness, maar dan wel een stuk constructiever dan wanneer je mensen trainingen laat doen om maar wat vinkjes te zetten.
Uiteindelijk is de boodschap die Van Rijsewijk over wil brengen vooral dat je fundamenteel anders naar cybersecurity moet kijken dan voorheen. Dat begint met een strategische overstap van risicomijdend naar risicozoekend en dus ook meer investeren in security. Om dat goed te kunnen verkopen intern, zal je als security officer – of wat daar voor doorgaat binnen je organisatie – een positieve business case moeten maken. Alleen dan is het ook verantwoord om grotere securitybudgetten vrij te maken. De voordelen voor organisaties die het op deze manier doen zijn op termijn behoorlijk te noemen. Medewerkers zullen er blijer mee zijn, wat leidt tot minder olifantenpaadjes en dus uiteindelijk ook een beter beveiligde organisatie. Dit terwijl zij niet bij voorbaat gezien worden als de kop van Jut.
Gaat er dan helemaal nooit meer iets fout als je een risicozoekende benadering kiest in je securitystrategie? 100 procent wordt het nooit, maar je houdt als organisatie (en als industrie) wel veel meer de regie dan wanneer je de verantwoordelijkheid onder het motto van awareness bij de eindgebruikers neerlegt.