Peter Firstbrook, Gartner: ‘Identiteitsbeheer, configuratiemanagement nieuwe trends in cybersecurity’
Identiteit en configuratie: twee termen die veelvuldig vallen in het gesprek met Gartners VP analist Peter Firstbrook. Goed identiteits- en configuratiemanagement zullen de komende jaren namelijk cruciaal zijn om cybersecurity en -weerbaarheid op peil te houden. Hoewel Firstbrooks focus ligt op endpoind security, is cyberveiligheid tegenwoordig een breed begrip. Zo ziet de Gartner-analist de inzet van technologie vooral als een vangrails. In eerste en tweede instantie zijn het de mensen en processen in een organisatie die een organisatie cyberveilig moeten houden. Wanneer het toch mis gaat, is technologie de derde – onmisbare - defensielinie.
In feite is endpoint security tegenwoordig vooral internet security, stelt Firstbrook: daar waar een device online gaat. En traditionele endpoint security alleen is hier momenteel niet langer voldoende. Organisaties worstelen in toenemende mate met zaken zoals IAM (identity & access management) – steeds meer cyberaanvallen gebruiken gestolen of gephishte gebruikersnamen en wachtwoorden. Maar ook het up to date houden van de configuratie van toepassingen en devices is steeds meer een vereiste, om te voorkomen dat cybercriminelen via verouderde versies van een toepassing of OS binnenkomen. Dit vergt een andere security-aanpak van de CIO of CISO, stelt Firstbrook.
“Daar komt een tweede ontwikkeling bij. 25 procent van alle bestedingen aan technologie gaan tegenwoordig buiten IT om. En 65 procent van de business leiders wil dat dit percentage groeit. Dat betekent dat security-beslissers, nu nog veelal actief in IT-afdelingen, hier niet meer bij betrokken zijn.” Beide ontwikkelingen hebben veel implicaties voor de veiligheid van organisaties en hoe security anders georganiseerd moet worden.
Raamwerk maken
Firstbrook gebruikt hiervoor de analogie van de CFO (chief financial officer) en de CIO. De CFO is niet verantwoordelijk voor elke financiële beslissing in een organisatie. CFO’s maken een raamwerk, bepalen de standaarden en regels, bedrijfsrichtlijnen, account principes. Line of business managers krijgen hun eigen verantwoordelijkheid voor hun P&L (profit & loss). Ze hebben hun eigen doelen. Ze kunnen niet te veel besteden of slecht presteren, want dan worden ze uiteindelijk ontslagen.
“Ik denk dat de CIO of de CISO in de toekomst een vergelijkbare aanpak moeten hanteren. Zij zetten standaarden, bepalen richtlijnen, geven managers hun eigen verantwoordelijkheid in de uitvoering. En als die managers die veiligheid niet op orde houden, kunnen ze een andere baan zoeken. CIO’s en CISO’s moeten dus minder poortwachters worden en meer informatieverspreiders. Net zoals alle P&L’s gebundeld worden in een bedrijfs P&L die dan bij de RvB of RvC terecht komt, moet de security-eindbeslisser alle security- ‘P&L’s bundelen. Ik zie dat de komende tien jaar echt opkomen.”
Geen technologische rol meer
Deze ontwikkeling is ook logisch, omdat de rol van een security-beslisser steeds minder een technologische is. “Omdat security vaak onder IT valt, is het daarmee nog niet een IT-ding. Het gaat om veel meer zaken. Het gaat om de mensen in je organisatie, om de processen, om bedrijfsrisico’s. Wat gebeurt er als een fabriek zes uur plat ligt, mogelijk door een hack? Dat is een bedrijfsrisico, geen IT-risico. Dus we moeten er vanaf om security als een technologie-ding te zien, want het heeft veel bredere impact.”
Security, meent Firstbrook, is dan ook de verantwoordelijkheid van iedereen in een organisatie. Dat moet eigenlijk al integraal in het onderwijs worden meegenomen. Awareness pas in een organisatie gaan kweken bij werknemers, is eigenlijk te laat. MBA-opleidingen besteden veel aandacht aan accounting-principes en financieel beleid, maar niet aan onderwerpen zoals security en technologie. En hetzelfde geldt voor de meeste middelbare en hogere opleidingen. Basiskennis van security en van hoe cybercriminelen werken om je vertrouwen te winnen en misbruiken, is belangrijk om over te dragen. Niet security als vak, maar breed bewustzijn kweken.
Security by design
“Het is iets dat ook past bij de toename van security als design. Je hoeft als gemiddelde gebruiker niet meer te weten hoe security werkt, maar je moet wel weten hoe je zo cyberveilig mogelijk bent. Een goed voorbeeld is iOS. Gebruikers moeten alleen de configuratie op orde houden en geüpdatet en ze zijn in de basis beschermd. Het is niet perfect, maar het beschermt grotendeels tegen alles behalve aanvallen van statelijke actoren.”
Hetzelfde gebeurt bij platforms zoals Azure, AWS, bij partijen zoals Salesforce, Servicenow, steeds meer SaaS-aanbod: security is al ingebouwd. CIO’s en CISO’s zullen dus steeds meer de partij zijn die aangeeft hoe deze technologie zo veilig mogelijk inzetbaar is, in plaats van dat ze er hun eigen security-laag op leggen. Firstbrook: “Er zal meer sprake zijn van een algemene security-discipline die toekomstige leiders ingeprent krijgen, zoals er nu al financieel beleid is: je mag je niet laten omkopen, je mag geen cadeaus aannemen en je mag niet je kinderen inhuren.”
Mensen, processen, technologie
Technologie staat in de visie van Firstbrook ook niet meer voorop. IT-beslissers denken nog vaak dat het aankopen van technologie voldoende is, maar het werkt alleen in combinatie met mensen (awareness en training) en processen (security-discipline, goed uitgevoerd identity & access management). En ja, de mens kan de zwakste schakel zijn, maar is dat lang niet altijd.
Peter Firstbrook, Gartner: "We moeten security-discipline bij iedereen internaliseren."
“Om een voorbeeld te geven: bij MGM wisten hackers bij een helpdesk aan gebruikersnamen en wachtwoorden te komen door zich als een gebruiker voor te doen waarvan ze het profiel via social engineering hadden samengesteld. Daar faalden de mensen en de processen. Aan de andere kant heb je het voorbeeld van de SolarWinds-hack enkele jaren geleden. Die trof veel bedrijven, waaronder security-aanbieder FireEye. Zij wisten de aanvaller niet te achterhalen via technologie, maar omdat een hacker een tweede multifactor-telefoonnummer aanvroeg. De helpdesk belde toen de echte gebruiker wiens profiel gebruikt werd, en die maakte duidelijk dat hij niks had aangevraagd. Het was hier dus de security-discipline, het proces, dat werkte, niet de security.”
Desondanks gaat het vaak mis bij mensen en/of processen. Social engineers zijn goed in het winnen en misbruiken van vertrouwen. Firstbrook: “Technologie helpt hier niet. Dat betekent dat we die security-discipline bij iedereen moeten internaliseren. Natuurlijk heb je wel een technische of procesmatige vangrail nodig om mensen te helpen geen fouten te maken. Zodat iemand misschien één gebruikersnaam en wachtwoord kan verkrijgen bij de helpdesk voor MGM, maar dat daarna alarmbellen afgaan die voorkomen dat deze aanpak opnieuw gebruikt wordt.”
Configuratie up to date houden
Firstbrook verwacht niet dat nieuwe technologie zoals generative AI cybercriminelen een belangrijk voordeel gaat geven. Ook cybersecurity-aanbieders kunnen AI inzetten voor nieuwe toepassingen. “De grootste uitdaging is om up to date te blijven. Je moet altijd de nieuwste versie, de nieuwste configuratie hebben. Loop je een paar versies achter, dan is de kans vrij groot dat je gehackt wordt. Ook als je iOS gebruikt. Gelukkig maken technologie-leveranciers het updaten naar een nieuwste versie, of een nieuwe patch, steeds eenvoudiger. Vaak gebeurt het al automatisch.
En je moet niet denken als organisatie dat je veilig bent wanneer je een cloud-omgeving gebruikt, stelt Firstbrook tot slot. “Zeker, aanbieders zoals AWS, Azure, Google, beveiligen hun cloud-omgeving. Maar wanneer jouw configuratie verouderd is, of niet helemaal up to date, dan ben je ook in die cloud nog onveilig. Technologie wordt steeds veiliger, maar je kunt het dus onveilig gebruiken.”