Think security is expensive..? Try having an incident!

– Door Steven Dondorp

In het dagelijks leven stuur ik met veel plezier mijn bedrijf Northwave. We werken hard aan het veiliger maken van organisaties in de benelux. Als ik vrije tijd heb, klim ik graag in de cockpit van een sportvliegtuig. Ik ben dol op vliegen. Op de ruimte om me heen en om de technologie die het mogelijk maakt even “los te komen”.

De luchtvaart kent een gevleugelde uitspraak: ‘If you think safety is expensive, try having an accident.’ Die notie houdt iedereen op natuurlijke wijze scherp op veiligheid en security. Niet alleen de vliegtuigbouwers of de luchtvaartmaatschappijen zelf, maar ook verkeersleiding, de infrastructuur en de processen en organisaties daarom heen.

Zo anders kan het zijn in andere branches. Information security is dikwijls helemaal geen onderwerp. Het wordt lastig gevonden en mag niets kosten. Het lijkt een omgekeerde argumentatie voor dezelfde uitdagingen te gelden. Of is het een volwassenheidskwestie? De luchtvaart bestaat ruim 100 jaar. Daarmee vergeleken staat de information Security nog in de kinderschoenen. Wat kunnen wij opsteken van de luchtvaartbranche? Laten we eens inzoomen op een paar in het oog springende zaken.

Security by design

De kosten van het produceren van een vliegtuig bestaan maar voor een klein deel uit het materiaal voor het vliegtuig zelf. Het grootste deel van het budget is gereserveerd om de onderdelen en uiteindelijk ook het vliegtuig zelf gecertificeerd te krijgen als “vliegveilig”. De industrie klaagt daar zeker over, laat dat helder blijven. Toch kan niemand zich er voorstellen dat je nauwelijks in safety en security zou investeren. Of op het idee te komen dat “achteraf beveiligingen” een optie zou zijn.

Wat is hier de aanpak? Om zoveel mogelijk op de kleintjes te letten, vraagt men zich vooraf af: ‘Waar moeten we minimaal aan voldoen om veilig dit nieuwe model te gaan maken? Wat is de businesscase en zet ik wel de meest geoptimaliseerde tools in?’ De hele keten wordt integraal bewaakt door die filosofie centraal te stellen. Een vliegtuig krijgt anders uiteindelijk een veel te hoog prijskaartje en de bouwer is out of business.

Integraal beveiligen met juiste en beheersbare technische middelen

Dit geldt niet alleen voor de techniek, maar vooral ook voor managementsystemen, luchtvaartprocessen en alle organisaties die in de luchtvaartindustrie actief zijn. De hele integrale keten moet kloppen, ook buiten het vliegtuig. Het heeft geen zin om het vliegtuig alleen technische veilig in te zetten. Als de luchtverkeersleiding onveilig handelt, de taxibanen ook maar een mogelijk misverstand kunnen opleveren, of een cargo-organisatie een ongemelde actie pleegt, zijn de gevolgen catastrofaal.

Cyberintelligence en monitoring: wat gebeurt er werkelijk?

Een ander uitgangspunt van safety in de luchtvaartindustrie betreft het ver vooruit kijken. Piloten scannen om de zoveel tijd de lucht in segmenten. Ze melden zich al mijlenver van te voren aan. Dit moeten ze oefenen hun carrière lang. Luchtverkeersleiding heeft protocollen hoe iets aan te melden. Dit zijn afspraken hoe men omgaat met situaties en voorkomt stress. Zo bepalen zij welke terminologie men het beste gebruikt en welke technische middelen men wil inzetten. Ze monitoren werkelijke situaties en correleren informatie. Er worden alleen beslissingen gemaakt met de totale context. Je moet toch eerst weten wat er op je af komt, alvorens je weet wat je technisch nodig hebt, of hoe je gaat handelen? Anders kies je gevaarlijke, omslachtige of veel te dure oplossingen.

Procedures kort houden maar wel doen

En wat ook altijd erg opmerkelijk is in een vliegtuig, betreft de daadwerkelijk getoonde veiligheidsprocedures. U kent ze wel, de bevallige dames die hun toneelstukje doen vlak na opstijgen van het vliegtuig. Elke keer weer. En elke piloot heeft de verplichting, alvorens hij in een kist stapt, de noodprocedures en checklist te doorlopen voor dat specifieke toestel. Wat moet ik doen op dit type kist als er brand uitbreekt (en let wel, dat gebeurt vrijwel nooit). Dan moet je op dat moment niet hoeven zoeken naar dat A-4 tje, welke knop je moet indrukken, of wie je moet oproepen. Er is een vooraf helder incident response proces voor als het fout gaat.

Periodiek trainen van mensen voor weerbaarheid

Piloten, luchtverkeersleiders en mensen die in de operatie werken worden met vaste intervallen getraind. Ook al hebben ze netjes al hun vlieguren gemaakt, elke twee jaar moeten zij een oefening doen met een instructeur. De piloot laat dan in een trainingsvlucht zien dat hij bochten kan maken die normaal gesproken alleen in bijzondere gevallen gevlogen worden. Nog belangrijker is dat zij laten zien of ze dat ene incident kunnen handelen met een veilige noodlanding. Iedereen begrijpt dat je zo goed bent als je actuele status in de praktijk op elk moment. En die kan je alleen weten met regelmatige terugkerende training.

Helder beleid en verantwoordelijkheid ook bij de operatie zelf

Theorie, handboeken en flightmanuals zijn er ‘slechts’ ter voorbereiding. Met dien verstande dat het in de luchtvaartindustrie weldegelijk verplicht is ze te hebben. Het helpt namelijk bij voorbereid vooruitkijken. Maar vooral training en anticiperen is waar het echt om gaat. Op basis van ware omstandigheden zet je de juiste middelen in. En het gaat bovenal om een daadwerkelijk goede uitvoering bij elke operatie. Voordat piloten gaan vliegen, voordat een nieuw vliegtuig wordt ontworpen, wordt er een flightplan opgemaakt en een certificeringsschema van veiligheidsvoorschriften en marges. Hierdoor ontstaat verantwoordelijk gedrag juist bij de operatie en piloten zelf. Zij moeten het tenslotte doen in de praktijk. Kan ik nog uitwijken of niet? En ook oplossen in een echte situatie als er eens een incident is…

Het overkomt iedereen vroeg of laat

Daarom zijn er nauwelijks incidenten in de luchtvaart. Vliegtuigen storten zelden neer. Jouw autorit naar Schiphol is miljoenen keren gevaarlijker dan je vlucht. Van de miljoenen vluchtbewegingen per jaar gaat het slechts een paar keer mis. Er wordt wel gezegd dat alleen een lift veiliger is dan een vliegtuig. In haar bijna 70 jarig bestaan heeft Malaysian Airlines in vele honderdduizenden vluchten totaal 7 incidenten gekend. 5 crashes waarbij doden vielen en twee noodlandingen met schade aan een toestel. Twee van die crashes vonden onlangs en binnen een periode van ruim vier maanden plaats. Het bedrijf ging door deze twee incidenten praktisch failliet en werd genationaliseerd. De kans dat een bedrijf in de periode van 12 maanden wordt getroffen door een cyberincident ligt rond de 20%.

Kies voor integrale aanpak van informatiebeveiliging

We hoeven niet meteen net zulke hoge volwassenheidsniveaus na te streven als in de luchtvaart. Wel is Informatiebeveiliging een verantwoordelijkheid geworden van het hoogste management. We kunnen leren van de luchtvaart en een stuk bewuster met deze bedrijfsrisico’s omgaan. Mijn advies: stelt u zich eens als management de volgende vragen:

Hoogste management

  1. Neem ik verantwoordelijkheid voor de privacy van mijn klanten en de gevoelige informatie van mijn bedrijf?
  2. Zet ik jaarlijks bewust een handtekening onder de formalisatie van een securitybeleid?
  3. Werken we volgens Security by Design? (Want achteraf is te duur…)
  4. Krijg ik als hoogste management van mijn mensen periodiek (bijvoorbeeld per kwartaal) een report (van enkele zinnen!) met de grootste cyberrisico’s en veranderingen en aandachtspunten voor mijn business?
  5. Weet ik wat wij NIET doen op security gebied?
  6. Weet ik in de praktijk wat er van mij als CEO verwacht wordt bij een incident? Welke aansprakelijkheid heb ik mogelijk en wie gaan me dan per direct ondersteunen?

Operationeel management

  1. Ik heb een firewall en andere gateway-security maatregelen. Maar kan ik ook echt zien welke narigheid op mij afkomt? Of welke systeemwachtwoorden daadwerkelijk misbruikt worden?
  2. Weet ik op basis van ware gebeurtenissen welke technische maatregelen ik moet nemen? Kan ik keuzes maken op basis van feiten en daadwerkelijke gebeurtenissen?
  3. Zijn mijn maatregelen, procedures en complexiteiten beheersbaar? Of lukt het me niet om alle logs door te nemen? Wie kan dit voor mij maandelijks samenvatten?

Allen

  1. Ben ik weerbaar tegen cyberaanvallen?
  2. Heb ik een Incident Response plan?
  3. Werken mijn investeringen adequaat?
  4. Hoe effectief is mijn security in de praktijk?

Verbeteren

Je zult ongetwijfeld bij enkele vragen wel kansen op verbeteringen zien. Dit komt vaak omdat organisaties zich vanuit gewoonte beschermen tegen theoretische gebeurtenissen en zich theoretisch inrichten. Daarbij vertrouwen zij vooral op technologie en verdwijnt het in de operatie. Ergens in een technische uithoek. ‘Theoretisch kan dit fout gaan, dus ik zet deze technische tool daartegen over’. Technologie is goed, maar deze aanpak is te duur geworden.

Het probleem is te omvangrijk geworden. De bedrijfscontinuïteit staat bij privacy incidenten en hacks bij elke organisatie tegenwoordig op het spel. De beweging die de markt nu maakt is te leren om vooruit te zien. Niet af te vragen wat er allemaal kan gebeuren, maar je keuzes baseren op wat er echt gebeurt. Op basis daarvan kan je investeren en trainen op een adequate manier. Op basis van realiteit kan je meebewegen met de veranderende omgeving en bij nieuwe bedrijfsactiviteiten die je uitrolt. Dit vraagt managed security diensten om een organisatie heen. Dit betreffen geen firewalls alleen, maar juist een monitoring schil en actuele, heldere cyberintelligence rapportages die dit voor u in kaart brengen.

Op die manier kan je een slimme security operations opzetten met alleen die zaken die je echt nodig hebt. Dat drukt de kosten, want het klassieke systeem wordt steeds meer onhaalbaar met aldoor meer nieuwe, steeds omvangrijkere en vooral snellere cybercriminaliteit. En als het dan alsnog wel een keertje fout gaat, hebben organisaties al vaste afspraken gemaakt met een gespecialiseerd bedrijf. Die staat hen bij in het geval van een cyberaanval, een malware uitbraak of bijvoorbeeld digitale fraude incidenten. Proactief, of met 1 telefoontje. Geen tijd te verliezen voor een offerte.

Mijn oproep is ten slotte wel: Doe vooral ook een echte oefening en richt monitoring als ogen in voor je organisatie. Geen theorie alleen. Oefen wat bij je echt gebeurt en hoe doet je het dan in de praktijk? Hoe effectief zijn dan je securitymaatregelen en hoeveel lek je dan in de praktijk voor je het kan stoppen? En welke boete zou dat opleveren in het echt? Wees niet bang voor het resultaat voor jezelf of organisatie, maar juist blij met het inzicht. Op een positieve manier. Gelukkig kan je dit periodiek oefenen van te voren, zodat je nog maatregelen kan nemen. Maar wel op basis van realiteit graag.

“If you think Security is expensive, try having an incident.”

Steven Dondorp is oprichter en CEO van Northwave.