Security is een keuze
Elke aankoop van een hardware-product is een beslissing die beveiliging aangaat. Maar niet iedereen is daarvan doordrongen, zo meent Boris Balacheff (foto). Hij is HP Fellow and Chief Technologist for Security Research and Innovation bij HP. “Wij maken het hart van onze producten zo veilig mogelijk; met beveiliging die mensen willen gebruiken.”
Balacheff is een van de sprekers tijdens het HP SecurITy Festival in de Metaal Kathedraal te Utrecht half november. “HP heeft vier onderzoekscentra wereldwijd. In Bristol hebben we het team dat beveiliging onderzoekt”, legt hij uit. Nog een zwaargewicht van de computerfabrikant ontmoet Dutch IT Channel in de Metaal Kathedraal: de Canadees Michael Calce, ook wel bekend als MafiaBoy.
Calce doet zijn levensverhaal. Hoe hij als kind in 1990 van zijn vader een PC cadeau kreeg; hoe hem de lust bekroop eigenhandig te leren dit apparaat te beheersen en hoe hij in 1993 zijn drang, via internet, uitbreidde naar elke andere denkbare computer in de wereld. Calce was in februari 2000 verantwoordelijk voor een reeks Denial-of-serviceaanvallen op commerciële websites waaronder Yahoo!, Amazon.com, Dell, E-Trade, eBay en CNN. Op het moment van de aanvallen was mafiaboy 15 jaar. Hij kreeg ze allemaal plat en gloeide van trots. Uiteindelijk kregen de Amerikaanse en Canadese overheden hem na een ware klopjacht te pakken. Tegenwoordig is hij president van het pen-testing (penetration testing) bedrijf Optimal Secure én voorzitter van de HP Security Advisory Board.
Financieel gewin
Was het MafiaBoy te doen om de eer en glorie, het huidige hackersgilde is het te doen om financieel gewin. “Tachtig procent hackt vanwege het geld. Daarom is iedereen het doelwit. Zelfs iemand die gewoon thuis zijn PC en printer gebruikt. Ook hij of zij valt af te persen. Daarbij komt dat de hackers tegenwoordig een hele gereedschapskist vol exploits en zelfs social engineering kits ter beschikking hebben”, schetst Calce de risico’s.
“En meest verontrustend is misschien wel dat staten tegenwoordig andere staten of bedrijven hacken. Vanwege politiek gewin om gewoon om bedrijfsgeheimen te stelen.”
Vooral door de ontwikkeling en toepassing van Internet of Things, waarbij talloze apparaten via internet met elkaar zijn verbonden, nemen de risico’s alleen maar toe. Daarom is het belangrijk dat de apparaten zelf optimaal tegen slechtwillenden zijn beveiligd. Daarom ook trad hij toe tot de adviesgroep van HP. Hij zegt geïmponeerd te zijn door het budget en de focus die de computerfabrikant heeft voor het tegengaan van cyber risico’s. HP is volgens hem een van de weinige hardwarefabrikanten die cybersecurity proactief benadert.
“Niet voor niets voorziet HP zijn PC’s, laptops, printers, servers, noem maar op, van een speciale chip die het inbrekers vrijwel onmogelijk maakt om via het besturingssysteem of BIOS toegang te krijgen tot het product. Maar we moeten alert blijven; de internationale hackersgemeenschap probeert ons altijd een stap voor te zijn; de geldelijke belangen zijn enorm”, aldus Calce.
Vernietigender
Het resultaat van digitale aanvallen, zo voert Balacheff aan, is steeds vernietigender. Hij komt met de voorbeelden van Stuxnet, Bad Rabbit en KillDisk om aan te geven hoe destructief het cybergeweld wereldwijd uitpakt.
En het is zo makkelijk om via bijvoorbeeld een printer het netwerk binnen te dringen; een probleem dat alleen maar verergert met de toename van IoT-apparatuur, stelt hij. “Natuurlijk is de menselijke factor een belangrijke component waar het fout kan gaan, maar dat ontslaat de computerindustrie niet van de plicht”, zo benadrukt hij, “om apparatuur te maken waar beveiliging ingebakken is. Daar maakt HP zich sterk voor met software als Sure Start, Sure Recover, Sure Run en Sure Click; en met speciale beveiligingschip in de kern van elk apparaat.
“We leven in een wereld waarin je ervan kunt uitgaan dat je wordt aangevallen. Daar moet je jouw netwerken op inrichten, maar vergeet niet dat de endpoints de eerste verdedigingslinie vormen; dus ook daaraan werken wij.”
Hij vertelt dat HP een ‘hardware hart’ heeft en de verplichting voelt om producten af te leveren die inherent veilig zijn. “Toch is veiligheid een toegevoegde waarde die klanten steeds meer op waarde schatten, wij bewandelen het juiste pad.”
Zelfhelend
HP maakt apparatuur dat ‘zelfhelend’ is en rust het uit met processoren en software die dat mogelijk maken. “We maken het besturingssysteem zodanig dat iedereen terug kan naar de oorspronkelijke versie zodra iets mis gaat. Ook in dit virtualisatie-tijdperk. Sandboxing speelt daarbij de hoofdrol; afschermen wat uitermate belangrijk en kwetsbaar is.”
Daarmee lijkt HP te willen aangeven dat de gebruiker zijn devices moet beschermen en daar waar nodig de organisatie zelf veilige netwerken moet inrichten en beschermde randapparatuur moet aanbieden. En natuurlijk een gedegen beveiligingsstrategie moet ontwikkelen.
Door: Teus Molenaar