Management

Security
Hacker

Vertrouwen in eigen beveiliging vaak nergens op gestoeld

De vele incidenten zijn al een aanwijzing, maar onderzoek van Gemalto toont het ook aan.

14 juli 2017

De vele incidenten zijn al een aanwijzing, maar onderzoek van Gemalto toont het ook aan.

Het is natuurlijk te gek voor woorden dat incidenten op het vlak van beveiliging nu al jaren voor een stroom kopij zorgen. Het is al nauwelijks leuk meer om over te schrijven. Maar het probleem blijft, omdat onkunde en zelfoverschatting in het bedrijfsleven kennelijk niet uit te roeien zijn.

Het is nog steeds doodnormaal om in aan internet gekoppelde systemen gebruik te maken van technologie die 15 tot 30 jaar oud is. Technologie die ontworpen is voor een wereld waarin het internet zoals we dat nu kennen zich nog niet eens aftekende. Deze week werden bijvoorbeeld weer twee lekken publiek gemaakt in Microsofts NT Lan Manager, waarvan de eerste versie in 1993 gelanceerd werd. De techniek is natuurlijk inmiddels sterk verouderd. Microsoft introduceerde al in 2000 een beter alternatief in de vorm van Kerberos. Het Amerikaans-Israelische Preempt deed vorig jaar oktober al een waarschuwing uitgaan voor de onveiligheid van NT Lan Manager. Maar NT Lan Manager leeft vrolijk door: Microsoft en klanten houden elkaar in een dodelijke omarming waardoor Microsoft de technologie niet uit durft te faseren en klanten er daarom de noodzaak niet van inzien om kosten te maken.

De NonPetya-aanval die wereldwijd zo veel schade aanrichtte is een ander voorbeeld. Een belangrijk element in het succes van de aanval was de aanwezigheid van versie 1 van het SMB-protocol. Inmiddels 30 jaar oud - dus van voor het internettijdperk! - maar niet uit te roeien. Ook pleidooien van Microsoft zelf hebben dat niet kunnen veranderen. Microsoft staakt de ondersteuning van SMBv1 nu wel in de herfst-update van Windows 10, maar dat heeft geen effect op de bestaande installaties, natuurlijk.

Zelfoverschatting

Recent onderzoek van Gemalto laat zien dat het probleem verankerd zit in onwetendheid en zelfoverschatting. Bedrijven denken ten onrechte dat hun beveiliging op orde is, constateert Gemalto, en laten daardoor na de maatregelen te nemen die nodig zijn.

Is jouw bedrijf wel toegerust voor het onveilige internet anno 2017? Doe mee aan de enquête De staat van IT-beveiliging in Nederland

Gemalto baseert die constatering op het bovenmatige vertrouwen in de kwaliteit van de beveiliging van de buitenring. 94 procent van de ondervraagden in een onderzoek onder 1050 IT-beslissers - waaronder 50 uit de Benelux - gelooft dat hun 'perimeter security' voldoende effectief is om ongeautoriseerde gebruikers buiten hun netwerk te houden. Driekwart heeft de laatste jaren ook extra geïnvesteerd in de bijbehorende technieken als firewalls, Intrusion Detection and Prevention Systems, antivirussoftware, content filtering en anomaliedetectie. De gedachte dat dat voldoende is om je data veilig te houden, is echter een misvatting, stelt Gemalto.

Dat blijkt ook uit het percentage van de ondervraagden dat stellig durft te beweren dat buitenstaanders hun netwerk niet opkomen: 32 procent. Het vertrouwen in de buitenring strookt ook niet met het percentage bedrijven dat toegeeft slachtoffer te zijn geworden van een digitale inbraak. 28 procent zag zijn veilige buitenring de afgelopen maanden gepenetreerd.

Bij dat soort incidenten zitten veel bedrijven meteen met een probleem: 42 procent durft niet te garanderen dat alle gevoelige gegevens veilig zijn voor een ongeautoriseerde gast op het netwerk, en 55 procent weet niet van alle gevoelige informatie waar die is opgeslagen. Toch heeft 89 procent er vertrouwen in dat de gegevens veilig zijn als een binnendringer het netwerk weet te bereiken. Daar staat tegenover dat 7 procent zijn eigen organisatie niet met zijn persoonlijke gegevens zou vertrouwen.

Dergelijke merkwaardige, soms tegenstrijdig lijkende gegevens komen vaker voor in het onderzoek. Encryptie wordt bijvoorbeeld op lang niet op alle data die daarvoor in aanmerking komen toegepast. Terwijl dat - goed toegepast - voor hackers een behoorlijke sta in de weg is. Betaalgegevens en klantgegevens scoren nog het best, met tweederde van de ondervraagde organisaties die daar versleuteling op toepast. Bij intellectueel eigendom is dat bijvoorbeeld 45 procent. Die relatief lage percentages zijn goed nieuws voor hackers. Dat blijkt óók uit de cijfers. Bij de inbraken die 28 procent het afgelopen jaar te verduren kreeg, werden in 92 procent van de gevallen onvercijferde data buitgemaakt.

Alles moet draaien rond bescherming van de data

Dat alles onderstreept dat te veel bedrijven te weinig maatregelen nemen om datgene te beschermen waar het hackers om te doen is, waarschuwt Gemalto. En dat zijn de data. Bedrijven die zich onvoldoende richten op het beschermen van de data en blijven vertrouwen op hun 'kasteelmuur', zullen daar in de toekomst ongetwijfeld de wrange vruchten van plukken, waarschuwt het beveiligingsbedrijf.

Het rapport van Gemalto is hier op te vragen, na opgave van enige gegevens over de werkkring.

Lees meer over Management OP AG Intelligence
Reactie toevoegen