Waakzaamheid is een groot goed als het op ICT-security aankomt. Waakzaam ben je niet alleen door op de uitkijk te staan. Het vereist ook luisteren: luisteren naar de ervaringen van anderen. Daarvoor moeten die anderen wel spreken en vooral durven spreken. Helaas ontbreekt het daar nogal eens aan. Mensen en organisaties deinzen te vaak terug voor het toegeven van fouten, eventuele missers of simpelweg pech.
CEO-fraude
Reputaties, carrières en imago’s lijken overgeleverd aan een onrealistische weergave van een alles-is-goed werkelijkheid. Terwijl we allemaal weten dat dat helemaal niet de werkelijkheid is. Een steeds meer geaccepteerde wijsheid in de securitywereld is dat het geen kwestie is óf je wordt gehackt, maar wanneer je wordt gehackt. Soms gebeurt dat met geavanceerde, doelgerichte malware. Soms met sluwe social engineering. Beide doelgericht en toegepast op jouw organisatie.
Zie bijvoorbeeld het gerichte compromitteren van WiFi-netwerken in luxe hotels waar executives verblijven, met waardevolle bedrijfsgegevens op hun laptops. Of de nu ook in Nederland opgedoken ‘nep-baas fraude’. Europol waarschuwt voor deze nieuwe vorm van oplichting, die ook wel CEO-fraude wordt genoemd. De essentie van deze hack is een goed voorbereid telefoontje van iemand die claimt de hoogste baas te zijn en die met spoed een (fors) geldbedrag wil laten overmaken. De gemiddelde medewerker reageert gedienstig en durft niet verder te vragen, het is immers de CEO.
Informatievergaring is key
Zowel hacking met technisch complexe middelen als hacking met goed onderbouwde social engineering hebben minstens één ding gemeen. Voor beide vormen is het nodig om vooraf uitgebreid informatie te vergaren over het doelwit. Vervolgens komt er nog een hele andere overeenkomst op: voor het voorkómen van beide vormen van fraude is het ook nodig om uitgebreid informatie te vergaren.
Informatievergaring vereist, zoals reeds gezegd, op de uitkijk staan en goed luisteren naar anderen. Daarvoor moeten die anderen informatie dus durven delen. En daarbij moeten we ook durven toegeven dat die anderen soms ‘wijzelf’ zijn, zoals in ons geval afgelopen mei.
Uiteindelijk hebben we daardoor diverse geïnfecteerde bedrijven en overheden kunnen waarschuwen, zodat zij hun systemen konden opschonen en beschermen. Vandaar dat ik hamer op het belang van openheid en het nemen van verantwoordelijkheid.
De ethiek van security
Het gaat om de ethiek van security: wat doet een organisatie als die ontdekt het slachtoffer te zijn geweest van een security breach? Wat doe jij als individu? Meld je het slechts in besloten kring, dus aan je team en de direct leidinggevende? Of ga je hoger – en eventueel ook breder – in de organisatie met je melding, zodat de kennis verder verbreid kan worden? Moeten klanten gewaarschuwd worden? Partnerorganisaties? Of misschien ook wel je concurrenten?
Verantwoordelijkheid heb je namelijk op meerdere niveaus naar meerdere partijen toe. En security maken we samen, op meerdere niveaus en met meerdere partijen.