Nieuws & blogs

26 nov 2015

Security-updates voor de mens


"De digitale transformatie van bedrijven heeft grote gevolgen voor de manier waarop er met security wordt omgegaan. Door digitaler te werken en allerlei nieuwe kanalen te openen om klanten en partners beter van dienst te kunnen zijn, nemen de beveiligingsrisico’s toe. Cybersecurity is echter een uiterst complex vakgebied, en kan alleen slagen als zowel menselijke kennis als de gebruikte software regelmatige updates krijgen."

 

Door Matthijs Ros. Matthijs Ros (34) is hoofd cybersecurity binnen Capgemini Nederland. Hij is gespecialiseerd in de domeinen cybersecurity, intelligence en risk management. Bron: www.computable.nl

 

Categorie: Archief
Ingezonden door: Martijn

 

"Updates zijn key bij security. Het klinkt als een open deur, maar de term reikt wat mij betreft veel verder dan enkel het updaten van een antiviruspakket of firewall. Security-updates zijn tegenwoordig noodzakelijk voor in feite elk apparaat dat met het internet verbonden is, inclusief auto’s. Maar laten we vooral niet de menselijke component in security vergeten. Mensen zijn nog steeds de zwakste plek in menig security-landschap. Hun kennis over security en de risico’s die ermee gepaard gaan moet ook regelmatig ververst worden. Updates zijn dus uiterst belangrijk, maar helaas zijn er een aantal complicaties bij het daadwerkelijk doorvoeren van die updates.

Gehackte auto's

 

Laatst mocht ik bij BNR commentaar leveren op de Chrysler-hack, waar veel  over te doen was in de media. Dit beveiligingslek werd aangetoond door een paar hackers in samenwerking met een journalist van Wired. Het mooie van dit soort zaken is dat het uiterst herkenbaar is. Iedereen kent wel iemand met zo'n auto. Het is heel tastbaar, en je kunt je inbeelden hoe het zou zijn als je remmen ineens niet meer werken als je met 120 op de ring rijdt. Fiat Chrysler reageerde met het beschikbaar stellen van een security-update, die door gebruikers via een usb-stick geïnstalleerd moest worden. En daar zit direct het probleem. Er zit namelijk een groot gat tussen bewustzijn over een beveiligingsprobleem en dit omzetten naar gedrag. De consument moet namelijk zelf een update installeren en heeft daar geen zin in, of weet niet hoe hij dit moet doen. Software van een auto updaten is immers nog geen common practice. Bovendien zou een slimme hacker ook een update met malware in de brievenbus kunnen gooien, of zich zelfs kunnen voordoen als een monteur die als service van de garage de update komt installeren. Niet voor niets riep Fiat Chrysler 1,4 miljoen auto’s terug naar de garage om de update alsnog door te voeren.

Bewustwordingscampagnes

Binnen organisaties zie ik hetzelfde probleem. Updates doorvoeren is mensenwerk, en hoe goed je een digitale organisatie ook hebt beveiligd, alle inspanningen zullen falen als de rol van de mens niet serieus wordt genomen. De mens is van nature lui. Hoe vaak stellen we een update niet uit? Ook zal men altijd proberen om authenticatiesystemen en inlogschermen te omzeilen wanneer deze onze kostbare productieve tijd roven. Het grote probleem is dat de meeste mensen de complexiteit van security niet begrijpen en de gevolgen niet overzien als er iets misgaat. Bewustwordingscampagnes zijn het aangewezen middel om hier iets aan te verbeteren. Naar mijn mening gaan die echter inhoudelijk lang niet altijd ver genoeg en bovendien worden ze niet regelmatig herhaald.  Herhaling is essentieel om personeel echt bij te brengen hoe makkelijk het is om slachtoffer te worden van iets als een man-in-the-middle-aanval of kwaadaardige wifi-hotspots.

Security moet tastbaar worden

De menselijke kant van security vereist net als de technische variant ook regelmatige updates. Een beveiligingscursus of een bewustwordingscampagne moet elk half jaar of jaar herhaald worden om mensen scherp te houden. Maar je moet het ook controleren, bijvoorbeeld door een interne phishing-campagne in het leven te roepen. Dan ontdek je pas hoe ontzettend effectief dit soort mails zijn om de digitale beveiliging van organisaties te omzeilen. De grootste security-kwetsbaarheid is nog steeds de mens en cyberaanvallen zijn daarom steeds vaker op hen gericht. Door deze technieken te laten zien, wordt security tastbaar voor het personeel. Net als de Chrysler-hack voor meer aandacht voor de beveiliging van auto’s heeft gezorgd, moeten security-risico’s binnen bedrijven ook een gezicht krijgen. Maar de technieken van hackers veranderen continu, dus ook de risico’s. Updaten dus, zowel digitaal als analoog."

 Security update voor de mens

 

ICTaurus neemt security uiterst serieus. Onze medewerkers worden getraind op dit vlak. Daarnaast hebben we de ICTaurus Security Baseline ontwikkeld. Meer weten? Neem contact op met Brigitte, Jan of Martijn.

 

 sales@ictaurus.nl of  033-4508130 (optie 3)