The elephant in the room : Waarom zijn er zoveel securityproblemen ?

versie 0.1 – 15 maart 2021 – Jan Guldentops ( j@ba.be )

Dit weekend konden we bijvoorbeeld in dit artikel in het laatste nieuws lezen dat meer dan 1000 bedrijven, gemeentes en ziekenhuizen account gevaar lopen van hackers.

Dit artikel en de modus operandi ervan is typisch voor wat er allemaal mis is hoe wij informatieveiligheid aanpakken en vooral hoe de media er verslag van uitbrengt. Het is een giftig recept dat eigenlijk heel simpel is :

• Schreeuw moord en brand als een echte getuige van Jehova ( het einde is nabij !) over een nieuw probleem ( zoals er elke dag tientallen uitkomen), liefst met veel Fear, uncertainty & doubt en doe alsof dit het einde van de wereld is. Ja dit is een probleem, ja zorg dat je exchange servers up-to-date zijn maar het is niet zo dat deze bug uniek is, er zijn er dagelijks nieuwe die ontdekt en gepubliceerd worden.

• FUD is nog altijd een geweldige verkoopstrategie: als je mensen bang genoeg maakt kan je ze alle toiletpapier in de supermarkt laten omkopen of dit nu zin heeft of niet. En ook bij dit soort crisissen zal je altijd wel iemand vinden die er zijn winkel mee wil promoten, liefst met een oversimplistische oplossing gesteund door snelle statistiekjes op basis van een shodan-query of de gegevens van een honeypot. Genereer angst en mensen kopen en aanvaarden alles.

De druk wordt opgebouwd, mensen fixen één probleem, geven geld uit aan de oplossing voor dat ene probleem en hopen dan dat ze maanden gerust zijn.

Alleen is dit een illusie, snake oil en wordt meestal the elephant in the room, de echte waarheid altijd verzwegen. De waarheid dat security iets is waar je permanent mee bezig moet zijn, dat je permanent aangevallen wordt, permanent updates moet doen op een structurele manier ( niet alleen als Het Laatste Nieuws het zegt), zelf je security moet controleren en beheren en er permanent mee bezig zijn. Net zoals je crediteurenbeheer doet van al je openstaande facturen, je werknemers op vaste basis naar de bedrijfsmedische preventiedienst stuurt, je de veiligheid op de werkvloer permanent wil aanpakken of de overall kwaliteit in je organisatie wil verbeteren.

Informatieveiligheid en alles wat daar rond hangt moet een permanent proces zijn dat grotendeels gevolgd en voor een belangrijk stuk gedragen moet worden door de interne medewerkers van de organisatie. Het is moeilijk, hard gestructureerd werk waar veel aspecten en kanten aan zijn. Daarom was ik zelf zo blij toen VLAIO verbetertrajecten informatieveiligheid ging subsidiëren.

En neen, niet alleen omdat wij met BA, één van de 9 geselecteerde partijen zijn maar vooral dat zij een geheel verbetertraject subsidiëren : niet alleen de audit of het magische doosje dat de oplossing voor één of andere veiligheidsprobleem is maar het hele verbeterproces met een check van de problemen, een inventaris, risico-analyse, plan van aanpak en een gestructureerde aanpak van alle issues.

Wil je als organisatie hiermee zelf aan de slag ? Neem contact met ons op +32 16 29 80 45, info@ba.be of neem een kijkje op https://www.ba.be/cybersecurity-verbetertraject/

Je kan ook altijd een online bezoekje brengen aan Infosecurity 2021 ( Schrijf je in via: https://www.ba.be/is21 ) waar je de créme de la créme van de Belgische security-industrie kan ontmoeten en een hoop interessante mensen hun visie brengen in het seminarprogramma.