Van Lektober naar Sectober: de maand van cyber security
Oktober is weer European Cyber Security Month. Security staat daarmee weer volop in de belangstelling en het met security onlosmakelijke vakgebied privacy ook (zie bijvoorbeeld de privacyweken van de NPO). Ook dit jaar zijn er weer persoonsgegevens van miljoenen mensen gestolen (LinkedIn, Weebly), maar zijn er ook tal van goede ontwikkelingen te bespeuren. Zo zijn er de opkomende chattools die de data van gebruikers beter beschermen en de privacyverordening die is aangenomen en meer aandacht geeft aan security. Mede door deze berichtgeving heeft iedereen wel een beeld bij wat security is en welke mechanismen voor beveiliging beschikbaar zijn. Van een slot op de deur tot next generation firewalls en virusscanners. Hieronder enkele elementen van security die minder vaak centraal staan.
Security is dynamisch
Soms lijkt security vooral een statisch gegeven te zijn, zoals blijkt wanneer het zoveelste bedrijf weer gehacked is vanwege sterk verouderde beveiliging. Het kan ook worden veroorzaakt door bijvoorbeeld een beveiligingsbeleid dat niet wordt aangepast, onvoldoende budget, het uitbesteden van security (als is het maar om iemand anders ervoor verantwoordelijk te maken) of momentopnamen van kwetsbaarheidsanalyses of penetratietests gebruiken als weergave voor de algehele beveiliging van de organisatie voor de komende jaren. De afgelopen jaren is er echter een enorme verschuiving te zien in o.a. het gebruikt van de cloud, bring-your-own-device beleid en opkomende malware dreigingen zoals ransomware. Het is daarom essentieel dat security continu in het vizier wordt gehouden en wordt bijgewerkt.
Security is zowel een wiskundig gegeven als een gevoel
Security is een wiskundig gegeven, omdat elke risico te berekenen is: zoals de kans op een (digitale) inbraak of de kans op identiteitsfraude. Als er maar genoeg data voorhanden is dan is te berekenen hoe waarschijnlijk het is dat deze gebeurtenissen kunnen plaatsvinden. Verzekeringsmaatschappijen zijn hier continu mee bezig (met name door het toenemende gebruik van Internet of Things apparaten en wearables die een schat aan informatie kunnen opleveren). Security is daarnaast ook een gevoel. We kunnen ons veilig voelen zonder dat we, statistisch gezien, daadwerkelijk veilig zijn en andersom. Beide onderdelen zijn met elkaar verbonden.
Security is een trade-off
Absolute beveiliging bestaat niet. Meer beveiliging betekent altijd dat op een ander gebied wordt ingeboet, zoals bijvoorbeeld op financieel gebied of op het gebied van tijd en inspanning, burgerlijke vrijheden of gebruikersgemak. Treinen zo veilig mogelijk maken door elke passagier te fouilleren? Of computers zoveel mogelijk offline laten staan en plaatsen in een zwaarbeveiligde ruimte, om de kans op een hack te minimaliseren? Dit zijn praktisch onwerkbare situaties. En zelfs in deze gevallen blijft de zwakste schakel, de mens, altijd aanwezig: de medewerker van de trein kan iemand (on)bewust niet goed fouilleren of een IT’er kan iemand (on)bewust toegang verlenen tot de zwaarbeveiligde omgeving.
Risico-analyses bevatten valkuilen
Naarmate de kans op het voordoen van een risico hoger is en de gevolgen ervan ingrijpender zijn zullen er hogere beveiligingsmaatregelen moeten worden genomen. Er zijn echter vele valkuilen als het aankomt op het inschatten van risico’s door de mens. In ‘Risk: A Practical Guide for Deciding What’s Really Safe and What’s Really Dangerous in the World Around You’ wordt bijvoorbeeld omschreven dat mensen meer bang zijn voor nieuwe risico’s dan voor risico’s die al langer bestaan. Ook zijn ze minder bang voor risico’s als er bepaalde voordelen in het spel zijn en minder bang voor risico’s die zelf gekozen zijn in plaats van opgelegde risico’s. In al deze gevallen kan een risico dus worden onder- of overschat, wat kan leiden tot (deels) verkeerde beveiligingsmaatregelen.
Security is dus veranderlijk, is te berekenen, roept bepaalde emoties op en werkt altijd als communicerende vaten met andere eenheden en/of principes. Daarnaast moet men ook waakzaam blijven bij analyses van risico’s (en het daarop afstemmen van beveiligingsmaatregelen), omdat risico-inschattingen wel eens gebaseerd kunnen zijn op verkeerde overtuigingen. Om een goede naam in de markt (en in de media) te krijgen en te behouden en reputatieschade te voorkomen, is het al met al raadzaam om deze aspecten van security in het achterhoofd te houden de volgende keer dat het beveiligingsbeleid op de agenda staat.