Er verschijnen met de regelmaat van de klok uitgebreide onderzoeken naar de stand van zaken op securitygebied. Ook Cisco doet dat. Het zal niemand verbazen dat de gesignaleerde trends en issues veel overeenkomsten vertonen. De opkomst van ransomware bijvoorbeeld. Van tijd tot tijd zie ik resultaten die me toch verrassen. Of die ik zelfs schokkend vind.
Onlangs verscheen ons jaarlijkse Cybersecurity Report. Dit brengt onder meer in kaart wat de belangrijkste securityuitdagingen zijn en de mogelijkheden van securityteams om zich te verdedigen. We krijgen steeds meer inzicht in de werkelijke schade van geslaagde aanvallen, in termen van omzetverlies, klanten die weglopen en het verdampen van zakelijke kansen. Tja, dat is geen verrassing als je bedenkt dat bij meer dan de helft van de bedrijven die met een securitydoorbraak te maken kregen, deze in de openbaarheid is gekomen.
Wel verrassend is dat het afgelopen jaar klassieke aanvalsmethoden weer helemaal terug zijn van weggeweest. Spam is op het recordniveau van 2010. Ook ouderwetse adware doet het weer prima. Dan iets wat ik best weet maar toch ook nu weer met gemengde gevoelens lees. 9 van de 10 organisaties zeggen hun security te verbeteren, maar pas nadat ze met succes waren aangevallen. Dus éérst moet de omzet omlaag, moeten klanten weglopen of moet je business verpest worden. De tijd dat security wordt gezien als business enabler is kennelijk nog ver weg. Ik begrijp het wel: geld uitgeven wil een bedrijf alleen maar als er niet aan te ontkomen valt.
Echt schokkend vind ik dat slechts 56% van alle security-meldingen (zo’n 5000 per dag, geeft bijna de helft van de respondenten aan) worden onderzocht. Vervolgens blijkt dat van de legitieme meldingen minder dan de helft wordt aangepakt. Hoe kan dit? Om te beginnen is er in veel gevallen geen budget, wat waarschijnlijk samenhangt met het hierboven geschetste verschijnsel. Andere reden die worden genoemd zijn compatibiliteitsproblemen en gebrek aan experts. Daar komt nog een enorme complexiteit bij: 55% gebruikt ten minste zes verschillende leveranciers. 65% werkt met meer dan zes security-producten, 6% zelfs meer dan 50 producten! Geen wonder dat het zo lang kan duren voordat een aanval ontdekt wordt.
Security als prioriteit
Gezien het voorgaande liggen twee aanbevelingen voor de hand. Zorg dat security een zakelijke prioriteit is en zorg voor een werkelijk geïntegreerde benadering van de verdediging om de tijd tot ontdekking te verkorten en aanvallen te stoppen. Met een goed geïntegreerde security hebben we overigens de gemiddelde ‘time to detection’ ruim weten te halveren: van 14 naar 6 uur. Maar wat betekent die ‘zakelijke prioriteit’? Laten we reëel zijn: voor veel bedrijven moet er eerst iets flink misgaan voor er voor security meer geld komt. Maar het wordt ook makkelijker als er eerst goed gekeken wordt naar wat er goed beveiligd moet worden (en wat niet) en wat dat mag kosten. Voor oude fiets koop je geen slot van 150 euro. Voor een nieuwe fiets van € 2000 ligt dat anders. Zoek dus naar de juiste verhouding: welke kosten zijn nog acceptabel, gezien het risico. En als je dat weet, is het nergens voor nodig dat het kalf eerst moet verdrinken.
Michel Schaalje, Technisch Manager, Cisco
