Original Dutch article: http://my.socialtoaster.com/splash/cjbRT/ written by Annelies Heuvelmans

Ook dit jaar sprak Security Management weer met een aantal cybersecurity-experts over de bedreigingen waar we in 2020 rekening mee moeten houden en welke innovaties het tij gaan keren. Een sleutelrol is daarbij weggelegd voor de medewerker. Als deze het belang van goede beveiliging niet inziet, dan valt zelfs het beste securitybeleid als een kaartenhuis in elkaar.

Malware wordt massaal verstuurd

“De afgelopen jaren hebben cybercriminelen de wereld van operationele techniek (OT) ontdekt”, vertelt Bastiaan Bakker, directeur Business Development bij Motiv. Zo laat het Operational Security Trends Report van Fortinet zien dat maar liefst 77 procent van alle OT-managers de afgelopen 12 maanden te maken kreeg met malware.

Beschermen van vitale infrastructuren

Bakker legt uit: “Eén van de redenen hiervoor is de verregaande professionalisering van het criminele circuit. Cybercriminelen vormen steeds vaker een team van specialisten, die handig gebruik maken van kwetsbaarheden binnen bedrijven. Daarnaast zijn overheidsgestuurde hackgroepen actief die aanvals- en schadetechnieken uitvoeren binnen OT. We zien dan ook dat de vraag naar specialistische beveiliging van operationele techniek sterk toeneemt. Gezien de hoge mate van afhankelijkheid van operationele systemen, die bijvoorbeeld onze stroom- en drinkwatervoorziening regelen, speelt de beveiliging hiervan een cruciale rol. De omgevingen verschillen echter significant van klassieke IT-omgevingen. OT-omgevingen zijn vaak minder makkelijk te vervangen door veelal legacy en de hoge complexiteit van het domein.

Bewustwording van het personeel is een belangrijk onderdeel.

Bastiaan Bakker, Director of Business Development at Motive

Een eerste stap is dan ook het in kaart brengen van je OT-omgeving. Waar zie je koppelingen ontstaan tussen je IT- en OT-omgeving? En wie heeft waar toegang tot? Het beheer, evenals de autorisatie, moet goed en volwassen worden neergezet. Bewustwording van het personeel is hier een belangrijk onderdeel van. Je kunt je omgeving met de beste security-oplossingen uitrusten, maar als je personeel onvoldoende op de hoogte is van de cruciale rol die zij spelen als poortwachters van het bedrijf, heeft deze investering weinig nut.”

Gamification

Mats Ros, managing security en privacy consultant bij IT-dienstverlener ilionx, kan zich in deze uitspraak vinden. “Buiten het technisch afdwingen van goede security komen we in de IT-wereld altijd terug op één punt: de mens is de zwakste schakel. Mensen maken immers fouten. Natuurlijk zijn er al genoeg oplossingen en tooling om mensen te instrueren en naar een hoger bewustzijnsniveau te tillen, maar het daadwerkelijk meenemen van je medewerkers is lastiger. Wat ik merk, is dat slechts vijftig procent van de medewerkers echt aan de slag gaat met deze tooling. Dat is natuurlijk veel te laag. De andere helft ziet er het belang niet van in en zijn zodoende veel sneller vatbaar voor bijvoorbeeld een phishing mail.

Door gamification in te zetten wordt het draagvlak groter en de tooling leuker.

Mats Ros, Managing security and privacy consultant at IT Service Provider Ilionx

Door gamification in te zetten – een spelcomponent die medewerkers uitdaagt zich te meten met hun collega’s op een scoreboard – wordt het draagvlak groter en de tooling leuker. Zo ontwikkelden wij voor onze eigen ISO 27001 certificering een oplossing die precies hiervoor zorgt.

De SaaS-oplossing, inclusief puntentelling, kijkt onder andere naar hoeveel vragen je hebt beantwoord en hoe vaak je het goede antwoord geeft. Medewerkers kunnen hun resultaten vergelijken met collega’s, maar dit kan ook uitgeschakeld worden. Achievements en certificaten maken dit nog leuker. Iemand die ’s nachts een quiz succesvol voltooid, verdient bijvoorbeeld de achievement ‘nachtuil’. Zo krik je op een speelse manier het draagvlak flink omhoog én maak je je medewerkers bewust van de broodnodige bijdrage die zij leveren aan het veilig houden van de organisatie.”

Een wereld zonder wachtwoorden

Dirk Geeraerts, regional director for cloud protection and licensing activity bij Thales ziet een toekomst zonder wachtwoorden voor zich: “De tijd dat het gebruik van wachtwoorden alleen voldoende bescherming biedt, ligt ver achter ons. 70 procent van de werknemers hergebruikt wachtwoorden van werk en persoonlijke accounts. Niet verwonderlijk dat 81 procent van de hack gerelateerde datalekken begint bij de identiteit van een gebruiker, zoals een zwak of gestolen wachtwoord. In 2020 wordt een wereld zonder wachtwoorden steeds meer realiteit.”

Oplossing voor wachtwoorduitdaging

Geeraerts vervolgt: “Multi-factor authenticatie was tot nu toe de meest voor de hand liggende oplossing om de wachtwoorduitdaging aan te gaan. Er wordt toegang verleend aan een gebruiker op basis van zijn identiteit, iets wat hij bezit en iets wat hij weet. Alhoewel deze methode veiliger is dan het traditionele wachtwoord, is het minder gebruiksvriendelijk vanwege de tijdrovende handelingen. Access Management-oplossingen met wachtwoordloze beveiliging bieden hierin een uitkomst.

Er is nooit sprake van een one size fits all oplossing.

Dirk Geeraerts, regional director for cloud protection and licensing activity at Thales

PKI of een eenmalig wachtwoord via token of device wordt ingezet om gebruikers toegang te verlenen, in combinatie met biometrische gegevens of een PIN. Dit biedt een oplossing voor de kwetsbaarheid van traditionele wachtwoorden. Daarnaast kunnen organisaties hierdoor het inloggemak en de gebruiksvriendelijkheid vergroten. Wat echter niet vergeten mag worden: ook bij deze vorm van authenticatie is er nooit sprake van one size fits all. Het is altijd belangrijk om de authenticatiemethode af te stemmen op de beveiligingsbehoeften om het hoogste niveau van beveiliging te garanderen.”

Managed security services die organisaties ontzorgen

Organisaties zien weliswaar de noodzaak en hebben financiële ruimte om te investeren in security, maar het ontbreekt hen aan de mensen om security-oplossingen te laten renderen. “We zien dan ook een toename in de vraag naar managed security services, waarmee organisaties geheel ontzorgd worden. Deze trend zal zich in de komende jaren versterken. Tevens zien we de opkomst van de automatisering van security. Eenvoudige incidenten kunnen geautomatiseerd behandeld worden zodat engineers zich op de complexe incidenten kunnen richten. Zo wordt tevens het tekort aan security engineers opgevangen”, aldus Twan van Ravestein, Cyber Security Expert bij Telindus.

In 2020 zullen steeds meer organisaties het zero trust principe omarmen en het netwerk beschouwen zonder perimeter.

Twan van Ravestein, Cyber Security Expert at Telindus

Wie of wat kan je nog vertrouwen?

“Automatisering gebeurt langs verschillende assen in 2020. Met artificial intelligence en machine learning oplossingen kun je de analyse van het netwerkverkeer zo inrichten dat afwijkingen en vreemd gedrag, binnen de business context van de klant, snel gedetecteerd kunnen worden.

Vervolgens ben je in staat automatisch de juiste maatregelen te treffen om bijvoorbeeld lekken te herstellen. Systemen voor User Behaviour Analytics (UBA) en Security Orchestration, Automation and Response (SOAR) worden op deze manier steeds geavanceerder. Ten slotte zullen in 2020 steeds meer organisaties het zero trust principe omarmen en het netwerk beschouwen zonder perimeter. Je kunt, zeker in het cloud-tijdperk, niet meer spreken in termen van het veilige interne netwerk en de onveilige buitenwereld. Dit besef zal tot vele boardrooms doordringen”, besluit Van Ravestein.