Beheer

Security
Beveiliging

AG Connect onderzoekt staat van beveiliging

Dreigt voor jouw organisatie een APM/Merck/TNT-ervaring?

© Pixabay CC0 Public Domain,  typographyimages
5 juli 2017

Dreigt voor jouw organisatie een APM/Merck/TNT-ervaring?

De NonPetya-aanval - ook wel PetyaWrap genoemd - drukt maar weer eens met de neus op de feiten. IT maakt kwetsbaar, vooral als je je IT niet goed onderhoudt. Verschillende aan de overheid gelieerde organisaties roepen op om de beveiligingsinspanningen te intensiveren. AG Connect is benieuwd wat de IT-professionals van dergelijke adviezen vinden.

Haventerminal APM is een week nadat het slachtoffer werd van de NonPetya-ransomware nog bezig de systemen weer volledig operationeel te krijgen. Pakketbezorger TNT is druk bezig om de door de NonPetya-besmetting veroorzaakte achterstanden in te lopen, en denkt nog wel tot het weekend met vertragingen bij  de bezorging te kampen. Merck probeert langzaamaan de workarounds rond de besmette systemen te vervangen door 'the real thing', maar weet nog niet precies wanneer het daarmee klaar is. Wat dat allemaal gekost heeft, is nog niet duidelijk. Maar dat de schade aanmerkelijk zal zijn, dat laat zich raden.

 

Wat vind jij, moet er meer geld naar IT-beveiliging? Geef hier je mening.

 

Het onbegrijpelijke in de wederwaardigheden van APM, TNT, Merck en andere slachtoffers in de Westerse landen is, dat ze wisten of hadden moeten weten dat ze kwetsbaar waren. NonPetya gebruikt lekken in Windows die Microsoft al gepatcht had ... en die nota bene een maand geleden ook al voor problemen zorgden bij de WannaCry-uitbraak, waarvan je toch niet kan aannemen dat die de betrokken bij APM en TNT ontgaan is. Natuurlijk, dat updaten is een crime. Maar als je weet dat men actief probeert een zwakke plek in jouw beveiligingsmuur te misbruiken ...

Weinig gevoel van urgentie

Die 'het zal mijn tijd wel duren'-houding ten aanzien van IT-beveiliging lijkt karakteristiek voor zakelijke gebruikers van IT. De Amerikaanse Online Trust Alliance concludeerde dat 52 procent van 1000 websites van grote Amerikaanse organisaties een wenselijk niveau van beveiliging heeft. Wenselijk betekent dat ze aan 80 procent van de criteria van de alliantie voldoen. Negatieve uitschieter vormden de banken. Nederlandse banken zouden waarschijnlijk de test ook lang niet allemaal halen, al was het maar omdat het merendeel nog steeds weigert om DNSSEC in te voeren.

Adviesorganen overheid bezorgd

Aan de overheid gelieerde instanties maken zich ook zorgen. De Cyber Security Raad pleitte eind vorig jaar in het rapport Nederland Digitaal Droge Voeten voor een reservering voor IT-beveiliging van 10 % van het IT-budget. En begin dit jaar werd onder andere door het Forum Standaardisatie de Veilige E-mail Coalitie opgericht, om zakelijke gebruikers over te halen om de al jaren beschikbare beveiligingstechnieken voor e-mail nu eindelijk eens te implementeren. Een korte test liet zien dat de Nederlandse aanbieders van internet en e-mail alvast niet aan die adviezen voldeden.

Echt grote incidenten schaars

Aan de andere kant: WannaCry en PetyWrap waren wel spectaculair, maar het aantal slachtoffers was, zeker in Nederland, bescheiden. Als de staat van IT-beveiliging echt zo bedroevend was, hadden we daar dan niet al veel meer van moeten merken? Al dat rumoer rond lekken in IT-systemen, is dat niet vooral bedoeld om mensen en bedrijven angst aan te jagen zodat ze meer geld gaan uitgeven aan een specifiek deel van de aanbieders van ICT-hulpmiddelen? En het beveiligingsbudget ophogen naar 10 procent van het IT-budget betekent natuurlijk wel, dat je minder geldt overhoudt voor dingen waar de bedrijfsonderdelen blij van worden. Misschien is het goedkoper om het risico maar te lopen en te dweilen als de kraan springt, in plaats van die dure investeringen in IT-security te doen.

Wat vinden de IT-professionals?

De redactie van AG Connect is benieuwd wat IT-professionals hiervan vinden. We nodigen jullie daarom uit deel te nemen aan het onderzoek naar de staat van de beveiliging van IT in Nederland. De vragenlijst vind je hier.

De resultaten van het onderzoek worden over enkele weken gepubliceerd op AGConnect.nl.

Lees meer over
Lees meer over Beheer OP AG Intelligence
3
Reacties
Erwin 06 juli 2017 12:45

@EBIEMANS, de laagdrempeligheid ligt niet aan het OS, maar aan de beveiliging daarvan. Systeembeheerders zijn over het algemeen altijd 'ROOT' of 'ADMIN' op een systeem als men het beheert, en bij 95% van de bedrijven is de gebruiker ook 'Local Administrator' van de PC. Met gevolg dat een binnenkomend kwaadaardig stukje software weinig moeite hoeft te doen het systeem in handen te krijgen.
Patchen, Least Privilege en zaken als Local Firewalls kunnen al veel ellende voorkomen. Natuurlijk is er ook de mogelijkheid om uitsluitend goedgekeurde binaries toe te staan op je systeem, echter een stukje malware dat zichzelf 'CMD.EXE' noemt zal dan gewoon starten.

Anoniem
Erwin 06 juli 2017 12:42

Vandaag de uitnodigingsmail ontvangen. Ik vind alleen de vraagstelling wat raar:

Onderzoek: besteedt jouw organisatie genoeg aan IT-beveiliging?

De vraag is denk ik niet of er genoeg geld aan besteedt wordt, maar of de security policies strict genoeg zijn, en of Security een hogere prioriteit krijgt dan angsten dat applicaties niet meer goed werken.

Zoals gezegd, had een groot deel van de impact van Petya voorkomen kunnen worden door te patchen, maar om waarschijnlijk redenen van continuiteit (een patch kan ook wel eens een verstoring in de applicatie veroorzaken) zijn de systemen (nog) niet gepatched. Met andere woorden, bedrijfcontinuiteit staat hoger op de prioriteitenlijst dan security. En dan kan het zijn dat zoiets gebeurt.

Anoniem
ebiemans 05 juli 2017 13:13

De oorzaak van de kwetsbaarheden van computersystemen ligt bij de laagdrempeligheid van het besturingssysteem (Windows/Linux/IOS/Android) om eenvoudig software te kunnen installeren en/of te starten. Voorkomen is in deze situatie altijd beter dan genezen. Door met een geautoriseerde en geteste applicatie portfolio te werken en alleen deze applicaties toe te staan kan veel leed bespaard worden en is vele malen effectiever dan te vertrouwen op detectie door antivirus/antimalware software.

Anoniem
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.