Informatiebeveiliging is een intrigerend onderdeel van ons verleden, is een cruciaal onderdeel van ons heden en zal een bepalende factor zijn in onze toekomst. Er zijn acties die moeten worden aangepakt op micro-/individueel niveau en uitdagingen die we gezamenlijk moeten aanpakken als een vooruitstrevende industrie.
De economische aspecten van beveiliging zijn duidelijk: “Er is geen financiële stabiliteit zonder cyberbeveiliging”, schrijft Loretta J. Mester, president en CEO van de Federal Reserve Bank of Cleveland. Het is inderdaad aangetoond dat de perceptie van slechte cyberbeveiliging de aandelenkoers en de veelvouden van aandelenkoersen verlaagt, de merkreputatie schaadt, het marktaandeel verlaagt, de verkoop verlaagt, boetes doet oplopen, juridische kosten verhoogt en het moeilijker maakt om kwaliteitsmedewerkers in dienst te nemen. Om een toekomst te hebben, moet je informatiebeveiliging beheersen.
Het pad naar toekomstige beheersing van informatiebeveiliging omvat:
- Erkenning van individuele verantwoordelijkheden/verantwoordelijkheden,
- Individuele infosec-overtuigingen expliciet maken,
- Het beoefenen van goede cyberhygiëne,
- Aandacht besteden aan de software supply chain, en
- Verharding van operationele technologische componenten.
Toeschouwers niet meer
Voor de overgrote meerderheid van het digitale tijdperk tot nu toe was informatiebeveiliging een minder dan goed bezochte kijksport. Werknemers, klanten, leidinggevenden en bestuursleden zaten in wezen op de tribunes terwijl info-tovenaars [security professionals] vocht slechte acteurs in de schaduw.
De armlengte relatie van de mensheid met informatiebeveiliging is voorbij! Vooruit gaan, iedereen wie een apparaat gebruikt is betrokken bij cybersecurity; iedereen wie een apparaat gebruikt, verbetert of verslechtert de cyberbeveiliging; en iedereen heeft een rol en bijbehorende verantwoordelijkheden op het gebied van informatiebeveiliging.
Ik voorspel dat tegen het einde van dit decennium de verantwoordelijkheden voor informatiebeveiliging expliciet zullen worden gespecificeerd voor elk individu ouder dan vijf jaar. Aan het einde van elke dag, elk kwartaal, elk jaar en elke carrière worden leidinggevenden beoordeeld en beloond/gestraft of ze de cyberbeveiliging van hun gemeenschap en werkplek hebben verbeterd of verslechterd.
Het is niet mijn bedoeling, noch mijn effectieve praktijk om “de gebruiker de schuld te geven” voor al onze cyberproblemen. We moeten er echter voor zorgen dat elk individu in de onderneming weet dat ze een rol te spelen hebben in informatiebeveiliging.
Denk, zeg, doe
Je hoeft geen futurist, psycholoog of antropoloog te zijn om te weten dat er vaak een grote discrepantie bestaat tussen wat mensen denken, wat ze zeggen en wat ze doen. In de toekomst zal cybersecurity minder over informatica gaan en meer over gedragswetenschap.
Informatiebeveiliging vraagt om gedragsverandering. Om gedrag te veranderen, moeten we managen wat mensen weten en hoe mensen denken over informatiebeveiliging. Om dit te doen, moeten we begrijpen wat mensen denken over informatiebeveiliging.
Geloof, kennis en gedragsverandering zijn onlosmakelijk met elkaar verbonden. Stap één is om nauwkeurig te beoordelen wat elke medewerker in de onderneming denkt over informatiebeveiliging. Dit kan alleen worden bereikt door middel van hands-on, ‘schoenleer’-interviews die door managers worden uitgevoerd. Pollster Nate Silver bestempelt de output van dergelijke interacties als ’trillingen op de grond’.
Ik voorspel dat de resultaten van dergelijke beoordelingen van persoon tot persoon twee hardnekkige en totaal disfunctionele overtuigingen over informatiebeveiliging aan het licht zullen brengen:
- “Ik ben niet belangrijk en niemand richt zich op mij.”
- “Ik kan ze niet tegenhouden, ook al zou ik dat willen.”
Oefen elementaire cyberhygiëne
Ieder van ons moet goede cyberhygiëne bevorderen en toepassen. Cyberhygiëne omvat, maar is niet beperkt tot, goede wachtwoordpraktijken, robuuste patchprocessen voor kwetsbaarheden, tijdige detectie, preventie en herstel, het aanbrengen van beveiligingen om malware te voorkomen en te blokkeren, en zorgen voor robuuste toegangsprotocollen.
Het volgen van deze best practices zal een grote bijdrage leveren aan het verbeteren van de algehele beveiliging. Volgens het Digital Defense Report 2021 van Microsoft werd bijna 70% van de datalekken veroorzaakt door phishing en kon 98% van de aanvallen worden voorkomen met elementaire beveiligingshygiëne.
Uitdagingen in de sector
Naarmate we individuele verantwoordelijkheden voor goed informatiebeveiligingsgedrag omarmen en daarmee het “laaghangende fruit” voor slechte actoren wegnemen, kunnen we verwachten dat de focus van cyberaanvallen zal verschuiven. Twee aandachtsgebieden zijn operationele technologie en de softwaretoeleveringsketen.
Beveiligingsprofessionals waarschuwen al jaren voor potentieel verwoestende aanvallen op operationele technologie [e.g., plant production lines, manufacturing technology, utilities, elevators, thermostats, lights, and vehicles]. De aanval op Colonial Pipeline was voor velen een wake-up call.
Een andere aanval, deze die eind 2020 komt, zette de beveiliging van de toeleveringsketen van software in de schijnwerpers. De aanval op SolarWinds, leverancier van netwerkmonitoringsoftware, bracht gebruikers van hun Orion-software in gevaar, met name Amerikaanse overheidsinstellingen en -agentschappen.
Moderne softwareontwikkeling wordt vergeleken met taart bakken. Zonder medeweten van veel leidinggevenden worden de componenten van de softwarecake niet allemaal in-house gegenereerd. Slimme hackers hebben ontdekt dat het veel winstgevender is om een softwarecomponent te hacken die bij duizenden bedrijven is geïnstalleerd, dan om de duizend bedrijven zelf te hacken.
De grote zorg van de onmiddellijke toekomst van informatiebeveiliging is dat op grote schaal gebruikte softwarecomponenten mogelijk zijn aangetast. Organisaties herzien hun software “Bill of Materials” zorgvuldig.
