De human firewall als blinde vlek

7 november 2016 11:26

De ICT-infrastructuur is geëvolueerd van een hulpmiddel tot het hart van de bedrijfsvoering. Alles wordt gedigitaliseerd, van een eenvoudige belastingaangifte tot de besturingsprogramma’s van de meest complexe machines. Alles wordt ook verbonden met het internet. Dat maakt bedrijven kwetsbaarder dan ooit voor datalekken en storingen.

ICT-dienstverleners plaatsen security daarom hoog op de agenda, maar zelfs de meest geavanceerde beveiligingsketting is maar zo sterk als de zwakste menselijke schakel. De grootste datalekken worden vaak (onbedoeld) veroorzaakt door eigen medewerkers. Security ligt bij de meeste bedrijven op een weegschaal, zegt Rick Reijans, senior ICT-consultant bij Javelin in Eindhoven. “Aan de ene kant ligt gebruikersgemak, aan de andere kant veiligheid. Die twee moeten met elkaar in evenwicht zijn. Performance mag niet ten koste gaan van security, maar in de beleving van de gebruiker ook niet andersom. Natuurlijk doen IT-bedrijven alles om een zo veilig mogelijke omgeving te creëren, maar doordat er steeds meer van in-house naar de cloud wordt verplaatst, vertroebelt soms het zicht op de eindverantwoordelijkheid daarvan. Als bedrijf ben je echter juridisch altijd zelf verantwoordelijk voor wat je in de cloud plaatst. Wij hebben een adviserende taak en proberen de klant zoveel mogelijk te ontzorgen.”

Omweg zoeken

Ook Martijn Nielen, senior sales engineer Benelux en certified ethical hacker bij WatchGuard in Den Haag, vindt die balans van essentieel belang. “Want anders gaan werknemers een omweg zoeken om minder ‘last’ te hebben van die verminderde performance. De mens is zonder meer de zwakste schakel als het op veiligheid aankomt. Dat probleem speelt minder bij grotere bedrijven, want bij driehonderd werkplekken is er natuurlijk een interne ICT-controle die er op let dat de regels gerespecteerd worden. Het speelt ook minder bij overheids- en semioverheidsinstellingen, omdat die simpelweg geen andere keuze hebben dan er streng op toe te zien dat er geen datalekken ontstaan. Maar in het kleinere mkb is er nu eenmaal minder kennis aanwezig en is er vaak ook geen aparte medewerker die zich volledig op de ICT kan toeleggen. Daar is de kans op menselijke fouten helaas groter.” Rob Willemen, directeur van 1KEY ICT Solutions in Den Bosch, beaamt dit: “In het mkb is de human firewall de blinde vlek.”

Ransomware

Het wereldwijde web omspant tegenwoordig niet alleen alle landen, maar ook nagenoeg alle burgers en bedrijven. Alleen de pinguïns op Antartica en de kerncentrales komen nooit online. Daarom konden de ethische hackers van Hackers Anonymous geheime bankrekeningen van Islamitische Staat leeghalen, zijn fiscale fraudeurs zelfs in het verre Panama niet meer veilig voor het oog van de Belastingdienst, maar konden ook kwaadwillende Chinese hackers de social security gegevens van miljoenen Amerikanen stelen. “Door het internet of things wordt alles in toenemende mate met elkaar verbonden”, aldus Frank de Ruyter, van De Ruyter ICT Beheer & Internetdiensten BV in Breda. “Je laptop en je telefoon zijn online, maar ook je televisie, je horloge en zelfs je bedrijfsauto. Een arts of advocaat kan ontdekken dat zijn auto niet meer van het slot gaat of start en vervolgens een bericht krijgen dat hij of zij het slachtoffer is geworden van ransomware. Na betaling van een losgeldbedrag kan er alsnog worden doorgereden naar die zieke patiënt of belangrijke klant. “Rob Willemen kent het verschijnsel uit eigen ervaring. “Wij kregen een bericht dat we vanaf een bepaald uur een aanval konden verwachten en ons hele systeem zouden zien worden platgelegd, tenzij we één bitcoin betaalden. Na afloop van het ultimatum zou de som oplopen tot 200 bitcoin. In het bericht werd gezegd dat ons systeem gedetailleerd was bestudeerd. De toon ervan was niet alleen dreigend maar ook overtuigend, alleen, wij wisten dat ons systeem perfect beveiligd was tegen die aanval, of tegen welke andere ook. Uiteraard lieten we het ultimatum verlopen en uiteraard gebeurde er vervolgens niets. We hebben het dreigement echter wel kunnen gebruiken om onze klanten nog beter bewust te maken van de gevaren die hen bedreigen bij onvoldoende investeringen in of aandacht voor security.”

Netwerkonderhoud

Er zijn gevaren van buitenaf, maar ook van binnenuit. Door een ontoereikend bewustzijn van de risico’s kunnen datalekken ontstaan. “Dat kan op heel eenvoudige manieren”, zegt Rob Willemen. “Ik heb gehoord dat een gast bij een bedrijf met één schakeling zijn eigen omgeving creëerde op het Wi-Fi-netwerk. Dan is het bedrijfsnetwerk van alle kanten beveiligd en op één plek staat het wagenwijd open, zonder dat deze bezoeker dat bedoelde en zonder dat het direct op viel. Zo’n opening ontstaat omdat iemand zich niet aan de gedragsregels houdt en omdat de naleving ervan niet gecontroleerd wordt.”Precies daarom is het van belang dat de infrastructuur geregeld wordt nagelopen, ook als die gecertificeerd is. “De risico’s voor het bedrijf wanneer iemand een draadje gaat bijtrekken zijn groter dan ze lijken”, zegt Jos Mezenberg, van Mezenberg Techniek in Gemert.

“Iemand die zijn laptop even inplugt kan een trojan bij zich hebben, zonder dat hij het weet uiteraard. Dat extra draadje wordt niet zelden door iemand getrokken die wel verstand heeft van ICT maar de gevaren die ermee zijn verbonden onderschat. Dat geldt helaas ook voor de interne ICT-afdeling. En juist omdat het meestal een hele tijd goed gaat verslapt de aandacht voor de risico’s. Tot er iets gebeurt. Daarom pleit ik voor een geregeld netwerkonderhoud. Eens per jaar de boel laten nalopen, ook op dit soort lekken, door degene die het heeft aangelegd. Dat is een paar uur werk en dus geen hoge kostenpost, maar de ellende die je ermee bespaart kan wél heel duur uitvallen voor je bedrijf. De bekabeling vormt de aorta van je systeem. Die moet gezond en intact zijn. Je zou ook niet willen dat er van alles in die van je lichaam geprikt werd.”

De kracht van het toeziend oog

Nonchalance kan grote gevolgen hebben. Goede bedoelingen alleen zijn onvoldoende omdat werknemers zonder toeziend oog na verloop van tijd hun waakzaamheid laten zakken en achtelozer met gedragsregels omgaan. “Het maakt een groot verschil of medewerkers zich realiseren dat hun internetgedragingen kunnen worden gemonitord of niet”, zegt Rick Reijans. “Dat staat dan nog los van de vraag of die monitoring ook daadwerkelijk plaatsvindt.” Martijn Nielen geeft een treffend voorbeeld. “Er is onderzoek gedaan aan de hand van twee koffiemachines in twee aparte koffiehoeken. Voor de koffie werd een vrijwillige bijdrage gevraagd. Bij het ene apparaat werd een foto van een bos bloemen geplaatst, bij het andere een foto van een menselijk oog. Bij het tweede apparaat was het geldbakje aanzienlijk gevulder dan bij het eerste.”

Naar een nulmeting

Maar ook als de ICT-infrastructuur optimaal beveiligd is voor misbruik van buitenaf en de gedragscodes voor het personeel helder zijn en goed worden nageleefd, is er nog een derde soort risico: een spaghetti van bekabeling en software waarover niemand nog een goed overzicht heeft. Vaak is dit historisch gegroeid: het ene laagje en de ene aansluiting over de andere. “Interne systeembeheerders zijn niet de ideale personen om dit objectief in kaart te brengen en eventuele zwakke plekken erin aan te duiden”, meent Frank de Ruyter, “Dat is toch een beetje of je een slager vraagt zijn eigen vlees te gaan keuren. Maar het is wel belangrijk dat zo’n nulmeting plaatsvindt en dat het bedrijf aan de hand van een dergelijk document bepaalt hoe het de infrastructuur kan optimaliseren en mogelijke beveiligingslekken dichten. Wij raden zo’n nulmeting daarom altijd aan en we voeren er ook veel uit. We gaan dan systematisch na hoe het met elk aspect gesteld is, met de hardware en de software, maar ook met onder meer de hoeveelheid back-ups die worden gemaakt en de redundancy van de internetverbinding, want één verbinding is vaak niet voldoende om de bedrijfscontinuïteit te waarborgen.”

Niet langer ad hoc

Een dergelijke nulmeting is ook geliefd bij de consultants van Javelin, zegt Rick Reijans. “De ICT-infrastructuur eens en voor altijd degelijk onder handen kunnen nemen, betekent ook dat je vervolgens niet langer ad hoc dingen repareert of aanpast. Dat verhoogt de kwaliteit en is ook vanuit financieel oogpunt efficiënter.“ Tom Verweijen, directeur van Verweijen ICT in Mill, voegt daar aan toe dat een dergelijk document ook een startpunt dient te zijn voor een goede ICT-documentatie.

“ICT gaat verder dan alleen maar het adviseren, leveren, installeren en beheren van ICT-omgevingen. Wij als dienstverleners moeten ons niet alleen richten op de corebusiness maar ook alle bijkomende zaken die van belang zijn voor het behoud van een veilige ICT-omgeving. De systeemdocumentatie is daarvan een goed voorbeeld. Als deze documenten voor de ICT-omgeving of de infrastructuur goed op orde zijn, kunnen wij snel schakelen in het geval van een calamiteit of simpelweg van een verbouwing. Helaas ontbreekt het daar nogal eens aan in het mkb. Wij hebben dat zelfs in een ziekenhuis meegemaakt in verband met twee operatiekamers. We konden gewoon een tijdlang niet verder omdat we niet wisten waar alle kabels precies liepen en dat eerst moesten uitzoeken.”

Consequente focus

WatchGuard heeft 2016 uitgeroepen tot hét jaar van de bewustwording en roept zijn klanten op meer te investeren in training. Jos Mezenberg is het daarmee eens maar heeft ook een bedenking: “Ik betwijfel of ons soort bedrijven de meest geschikte is om die trainingen te geven. Wij zijn toch in de eerste plaats bezig met het aanleggen en installeren, meer gefocust op de techniek en minder op de mens.” Maar Frank de Ruyter denkt dat een consequente focus op security hoe dan ook een positieve uitwerking op de bewustwording zal hebben. “Illustratief vind ik een enquête die wij hebben gehouden onder 3700 bedrijven, gelijkelijk verdeeld over prospects en klanten. De eerste groep zette flexibiliteit of gebruikersgemak bovenaan in hun top drie, de tweede security. In de vijftien jaar dat ons bedrijf bestaat hebben we dat dan toch al bereikt.”

Slechte voorbeelden

Er blijven elementen die de bewustwording verstoren. “Een investering in een server is zichtbaar, die in een firewall niet”, stelt Frank de Ruyter. “Een ondernemer die € 50.000,- in een eigen serverruimte steekt, kan daarmee pronken alsof het een nieuwe machine of directiewagen is. Met de overgang naar clouddiensten valt dat pronken weg en dus ook een psychologisch motief om in ICT te investeren.” Een ander element is het slechte voorbeeld dat leidinggevenden soms geven. Hillary Clinton en haar privéserver waarop ze e-mails vol staatsgeheimen plaatste is een berucht voorbeeld, maar hetzelfde geldt voor rechters die alle vertrouwelijke mails naar hun privéadres laten versturen, omdat dit zogezegd makkelijker is. En om dichter bij huis te blijven: ook Henk Kamp ontving mails van zijn ministerie op zijn privé Gmailaccount. Als de minister van Economische Zaken al zo’n voorbeeld geeft, hoe moeten ICT-bedrijven dan ‘gewone’ ondernemers en werknemers ervan overtuigen dat vooral niet na te volgen?

Het is een verkapte oproep aan ondernemers en andere leidinggevenden in het mkb om zelf het goede voorbeeld te geven. Security op ICT-vlak is evengoed een zaak van de werkgever als van de receptioniste, want als hij alle vertrouwelijke berichten naar zijn slecht beveiligde telefoon laat doorsturen en het toestel wordt gestolen kan er net zo’n groot probleem ontstaan als wanneer zij per ongeluk een bericht vol persoonsgegevens de wereld instuurt. Tom Verweijen wijst er tenslotte op dat security complexer wordt door de vele software updates. “Deze updates zijn nodig vanwege nieuwe functionaliteiten, het dichten van beveiligingslekken en nieuwe wet- en regel- geving. Helaas komt het dan wel eens voor dat bepaalde functionaliteiten niet meer naar behoren werken. Het zal dus nog wel even duren voordat ICT werkt zoals water uit de kraan komt. “Des te meer reden systemen zorgvuldig te laten onderhouden en gedragscodes minutieus toe te passen. Het verschil tussen een vlekkeloos werkend systeem met een hoog rendement en een algehele standstil met een verlies van kostbare data is soms zo flinterdun als één netwerkkabeltje.

Tekst: Jeroen Kuypers / Fotografie: Saskia van Empel

Interessant artikel? Deel het: