Compliant ≠ Secure

Compliant ≠ Secure

De afgelopen 25 jaar heb ik het securitybewustzijn bij bedrijven echt wel zien veranderen en er is bij de meeste bedrijven ook echt wel aandacht voor cybersecurity, maar het is lang niet altijd even effectief. Het kan heel efficiënt lijken om te zorgen dat je precies binnen de lijntjes van compliance zit of dat je net genoeg doet om voor een audit te slagen, maar ben je daarmee als bedrijf veilig? Doe je echt voldoende aan cyberweerbaarheid?

 

Een van mijn eerste grote detacheringsopdrachten, en ja, dat speelt in de vorige eeuw, was bij Unisource (het bestaat niet meer, denk dat ik het nu wel kan vertellen). Ik kwam terecht bij een kleine beheerclub die de infrastructuur, werkplekken, Novell Fileserver en Sun Unix machines beheerde voor de afdeling die monitoring en beheer deed voor de WAN netwerken van Unisource (X25, ATM, Frame-Relay) waar veel grote klanten op aangesloten waren. Een van mijn collega’s, laten we hem Hans noemen, was toen al behoorlijk securitybewust. De monitoring en het beheer van al die klantaansluitingen gebeurde centraal en dus was het eigenlijk zo dat al die klanten via het beheernetwerk aan elkaar geknoopt waren. Beheer van alle Cisco’s ging nog gewoon met Telnet en natuurlijk waren de wachtwoorden op alle devices gelijk. Hans riep toen al dat dat allemaal niet zo’n goed idee was en pleitte voor het installeren van Firewalls en gebruik van Tacacs als authenticatie en autorisatieprotocol. Dat kostte geld, was lastig, er moest dan anders gewerkt worden, nee, was geen businesscase voor, er was geen beleid en we werden ook niet geaudit totdat………

Op een dag was er paniek in de tent, een van de klanten, een grote internationale bank, had naar het netwerkverkeer gekeken en wat telnetpakketten onderschept. Met die gegevens konden ze inloggen op de Cisco’s die door Unisource beheerd werden en daarvandaan doorhoppen naar het beheernetwerk en vanaf dat beheernetwerk naar de netwerken van de andere klanten. Als die bank dat kon, dan konden de andere klanten dat ook en dus bij het netwerk van de bank komen. Paniek, ellende, bank op hoge poten naar den Haag en zware gesprekken in de VIP-room. Resultaat: Firewalls, filters, authenticatie, autorisatie en accounting (AAA) ingericht en ook encryptie op de WAN-verbindingen van deze bank.

Dit was 25 jaar geleden en nog steeds zien we voorbeelden van het hoppen van systeem naar systeem, van pc naar pc, hergebruik van wachtwoorden (localadmin accounts die tijdens de installatie van nieuwe systemen altijd gelijk zijn) en zien we data die niet beveiligd en niet encrypt is.

Ik zie veel aandacht voor compliance en governance bij bedrijven, de wetten en richtlijnen zijn niet van lucht en er wordt gedreigd (en soms zelfs geslagen) met audit instanties, intern of extern. Op zich natuurlijk goed, er is beleid, je weet waaraan je moet voldoen en je wordt gecontroleerd, alle bolletjes op groen en door naar het volgende jaar, naar de volgende audit.

Wat gaat er dan niet goed? Als je naar het plaatje kijkt dan zie je het eigenlijk al, Compliant betekent dat je voldoet aan een minimum set van eisen waardoor je als bedrijf bijvoorbeeld niet nalatig bent, maar het betekent niet per definitie dat je dan ook veilig bent! Het minimale beveiligingsniveau dat vanuit Risk Management acceptabel is ligt vaak hoger dan het minimum niveau dat vanuit Compliance noodzakelijk is en het kan heel goed zijn dat niet alles gedekt wordt (vallen bijvoorbeeld allerlei smart building devices, met een ip-adres er wel onder, of medische apparatuur met een (internet)verbinding?).

Compliant ≠ Secure, kijk eens “bottom-up” naar de beveiliging van je (Cloud)infrastructuur, naar alle punten waar data in- en uit je (Cloud)infrastructuur gaat, naar alle punten waar data langs komt of opgeslagen wordt, en er is nog genoeg te verbeteren. Advies van Taco: Breng de basis, je Cyberhygiëne op orde en ga van daaruit verder.

Stay Secure

Taco Hettema

CTO Cyber7

[contact-form-7 404 "Niet gevonden"]