Actieve verdediging beste wapen tegen cyberaanvallen

23 november 2015 Consultancy.nl

Het aantal cyberaanvallen neemt toe, en de schade die deze kunnen aanrichten wordt steeds groter. Voor de cybersecurity van bedrijven wordt voor de komende jaren een moeizame strijd voorspeld. Volgens recent onderzoek van EY is het aannemen van een actieve houding op het gebied van cyber-beveiliging steeds crucialer aan het worden.

De opkomst van het digitale domein biedt bedrijven en overheden anno 2015 een stroom aan innovatie-, groei- en overige kansen. Volgens een recent onderzoek van McKinsey & Company kan bijvoorbeeld Internet of Things (IoT) technologie tegen 2025 een waarde van $11,1 biljoen toevoegen aan de wereldeconomie. Een ander onderdeel van de digitale golf, Industry 4.0, zou volgens branchegenoot Strategy& alleen in de komende vijf jaar al zo’n €550 miljard aan waarde aan de Europese maakindustrie kunnen toevoegen. De voordelen van digital zijn groot en kunnen volgens deskundigen de komende tijd grote waarde ontketenen in een scala aan sectoren, vakgebieden en regio’s.

Respondents of GISS 2015

Digital heeft echter ook een belangrijke keerzijde. De digitalisering van het bedrijfsleven en de samenleving biedt tegelijkertijd ook een grote potentie voor criminelen of anderen die misbruik willen maken van het digitale landschap. Het aantal digitale aanvallen, beter bekend als ‘cybercrime’, is de laatste tijd aanzienlijk gegroeid, hoewel de exacte schaal van cybercrime een belangrijk discussiepunt blijft. Iedere keer dat er een rapport wordt uitgebracht over de kosten die cybercrime met zich meebrengt, wordt dit vanuit de veiligheidsindustrie met veel kritiek ontvangen. Volgens het laatste onderzoek van computerbeveiliger McAfee waren de totale verliezen door cybercrime vorig jaar zo’n £266 miljard (~€375 miljard), met daarnaast een minder conservatieve schatting van £342 miljard (ruim €480 miljard) – goed voor tussen de 0,5% en 0,8% van het wereldwijde BBP.

Het grootste deel van de cybercrimelasten komt voor rekening van bedrijven. Deze kosten variëren van het oplossen en afhandelen van cybercrime, wanneer hackers bijvoorbeeld met succes door de beveiliging van een organisatie zijn doorgebroken, tot het nemen van preventieve acties om diefstal van intellectueel eigendom en spionage te voorkomen. Dergelijke acties omvatten bijvoorbeeld de toepassing van risk management, veiligheidsprincipes en software en technologie die uitgerust zijn om digitale indringers te weren.

Source of attack

Om inzichtelijk te maken hoe het cybercrime landschap zich ontwikkelt in de private sector, en om bedrijven te helpen digitale criminaliteit te bestrijden, doet EY jaarlijks diepteonderzoek naar het fenomeen. In de meest recente editie van de zogenaamde ‘Global Information Security Survey’, die voor de achttiende keer is gehouden, werden meer dan 1.750 respondenten uit 25 verschillende sectoren in meer dan 60 landen ondervraagd.

Het onderzoek toont aan dat werknemers niet langer de meest aanneembare bron van een aanval zijn. 59% van de respondenten gelooft dat criminele groeperingen de belangrijkste bedreiging vormen, een stijging van 6% ten opzichte van vorig jaar. Volgens de onderzoekers geeft deze stijging de professionalisering weer die e-criminelen momenteel ondergaan. Werknemers zijn ten opzichte van vorig jaar gedaald naar de tweede plek, gevolgd door hacktivists en eenlingen in het hacker-landschap. 

Top cyber threats

Het aandeel bedrijven dat zich kwetsbaar voelt voor aanvallen die veroorzaakt worden door onbewuste werknemers (44%) en verouderde systemen (34%) is gedaald ten opzichte van vorig jaar toen respectievelijk  57% en 52% van de bedrijven zich hier zorgen over maakte. Anno 2015 voelen ze zich echter meer bedreigd door phishing (44% ten opzichte van 39% vorig jaar) en malware (43%; 34% in 2014).

Om cybercrime tegen te gaan hebben bedrijven een groot aantal beveiligingsmaatregelen opgezet, waarvan preventie van gegevensverlies voor de komende 12 maanden als belangrijkste prioriteit wordt gezien. Het zekerstellen van het soepel verlopen van de bedrijfsvoering na een cyberaanval staat op de tweede plek op de prioriteitenlijst, gedaald vanaf de hoogste plek in 2013, gevolgd voor identiteits- en toegangsmanagement en veiligheidsbewustzijn en training. Opvallend is dat het veiligstellen van intellectueel eigendom – voor veel bedrijven het hart van lange termijn waardeproposities – en forensics het laagst scoren op de lijst van meer dan twintig door bedrijven aangemerkte prioriteiten.   

Information security priority areas

Voor de komende periode waarschuwen de onderzoekers dat het gevecht tegen cybercrime alleen maar intensiever zal worden. Weinig onderdelen van onze levens blijven onaangeraakt door de digitale revolutie, en die trend versnelt nog steeds. Bovendien is de cybercrime markt zelf in hoog tempo veranderingen aan het doormaken of, anders gezegd, volwassen aan het worden. De cyberaanvallen veranderen steeds van tactiek, zijn alsmaar volhardender, en maken vaker gebruik van uitgebreidere capaciteiten. Als gevolg hiervan vinden e-indringers steeds nieuwere en betere manieren om misbruik te maken van verbonden apparaten en nieuwe mobiele technologieën.

“Er moet een opleving plaatsvinden in de manieren waarop met de steeds slimmere cyberbedreigingen wordt omgegaan. Bedrijven moeten de potentiële risico’s van cyberdoorbraken niet onderschatten of over het hoofd zien. Daarentegen zouden zij een scherpe focus op cybersecurity moeten ontwikkelen en de benodigde investeringen maken”, zegt Ken Allan, die aan het hoofd staat van EY’s Global Cybersecurity dienstenaanbod.

Het lijkt erop dat organisaties de noodzaak om hun verdediging te versterken hebben omarmd – slechts 12% van de respondenten gelooft momenteel dat hun IT-veiligheid nu voldoet aan de behoeften van de organisatie. Financieel gezien vertaalt zich dit naar 69% van de respondenten die aangeven dat de IT-beveiligingsbudgetten tot zo’n 50% verhoogd zouden moeten worden, om aan te sluiten bij de risicotolerantieniveaus van het management.

Cybersecurity maturity

Als bedrijven de bedreigingen van cybercrime op een succesvolle manier willen bestrijden, moeten zij volgens de onderzoekers niet alleen meer geld spenderen, maar ook met een tweezijdige benadering strategisch te werk gaan. Ten eerste moeten ze de basis op orde hebben, die bestaat uit een volwassen organisatie van acht belangrijke bouwstenen.

De methodologie die het accountants- en advieskantoor heeft ontwikkeld, genaamd ‘Activate, Adapt & Anticipate’ (de ‘drie A’s), is gebaseerd op onderzoek en honderden projecten, en werd opgesteld op basis van best practices over de hele lengte van strategie tot uitvoering. In de methodologie wordt rekening gehouden met verschillende vakgebieden als technologie en IT-beveiliging, evenals niet-technische elementen als risk, legal, processen en mensen.

Door de drie stappen naar cybersecurity-volwassenheid te volgen, kan de cyber-beveiliging van bedrijven “significant worden verhoogd”, aldus Paul van Kessel, Global Risk Leader bij EY. Aan het einde van het doorvoeren van de maatregelen wordt niet alleen de verdediging versterkt, maar neemt ook de aantrekkelijkheid van de organisatie als doelwit af.

Cybersecurity radar map

Een analyse van de onderzoeksresultaten toont echter ook aan dat bedrijven nog een lange weg te gaan hebben voordat de volwassenheid van hun IT-veiligheid hoog genoeg is. Gevraagd naar welke onderdelen van de cybersecurity maatregelen “erg volwassen” zijn, scoort geen enkel onderdeel hoger dan 11% (percentage van de respondenten). Om inzicht te krijgen in de daadwerkelijke prestatie vs. de benodigde prestaties en organisaties weer op het juiste pad te krijgen, stelt Van Kessel voor om een ‘cybersecurity radar map’ op te stellen. Deze tool identificeert verschillen in prestatieniveaus en helpt bij het bepalen van de juiste routekaarten en actieplannen.

De tweede pijler focust zich op het aannemen van wat Van Kessel een ‘actieve verdediging’ houding noemt. “Cybersecurity is in de kern een defensieve capaciteit, maar organisaties moeten niet wachten tot zij het slachtoffer worden”, stelt hij. Hij voegt toe: “Het is cruciaal dat organisaties cybersecurity zien als een manier om het vertrouwen van consumenten op te bouwen en te behouden.”

Paul van Kessel and Ken Allan – EY

Voor het instellen van een actieve verdediging is het opzetten van een Security Operations Centre (SOC) vereist, en moet gebruik worden gemaakt van Cyber Threat Intelligence. Het SOC dient als een controlecentrum dat de hele organisatie ondersteunt bij cybersecurity gerelateerde zaken. Het SOC is verder verantwoordelijk voor het creëren van een algemeen bewustzijn van de kritieke cyberrisico’s voor het bedrijf en kennis over wat de hackers zouden willen stelen. Dat gebeurt door het oprichten van een ‘targeted defense’, door middelen, mensen en bedrijfsonderdelen te prioriteren en zwakke plekken te verstevigen.

Het SOC beoordeeld daarnaast de bedreigingen die op een organisatie afkomen, vanuit een verzameling specifieke factoren zoals ‘operating environment’, ‘critical assets’ en ‘business strategy’. Door Cyber Threat Intelligence aan te wenden kunnen organisaties potentiële aanvallers opsporen, de bedreiging beoordelen en analyseren, en deze vervolgens neutraliseren voordat er schade kan worden aangebracht aan belangrijke assets. “Actieve Verdediging is geen vervanging voor traditionele veiligheidsactiviteiten – het organiseert en verbetert ze alleen”, concludeert Allan.

Nieuws

Meer nieuws over