In de serie ‘andere veiligheid’ ben ik na kennisveiligheid en psychologische veiligheid aangekomen bij internetveiligheid. Wat vinden we als veiligheidskundigen daar nu eens van?
Lichtelijk uit de heup schietend: een zooitje.
Misschien heeft dat ook wel te maken met de ontstaansgeschiedenis ervan. Internet is begonnen als ARPAnet, een project van de Amerikaanse Defensie. In 1969 werd de eerste koppeling gelegd tussen computers in Los Angeles en San Francisco. Door LOG IN te typen moest de ene computer op afstand de besturing van de andere kunnen overnemen.
Patch
Maar na twee letters liep het systeem vast door een fout in een programma. Toen die hersteld was, kwam de verbinding zoals gepland tot stand. Alsnog een prachtig resultaat natuurlijk en niet voor niets door Taleb een Black Swan genoemd. Wat achter die uitvinding vandaan is gekomen had niemand kunnen voorspellen.
Alleen die patch, hè.
Zonder die patch had het toen niet gewerkt en nu nog steeds niet. Het aantal patches is inmiddels zo groot geworden dat je organisatie de hele dag plat zou liggen als je ze allemaal keurig zou installeren. Dat doet dus helemaal niemand en dan is het niet gek als je wel eens tegen zo’n Log4J probleem aanloopt.
Accepteer het dus maar gewoon: uw netwerk is een vergiet, net als het mijne en die van de KNVB.
Gelukkig zijn er te weinig criminelen om alle ongepatchte gaten te misbruiken, anders zou de ene helft van internetgebruikers continu de andere helft zitten te hacken. Wat tot de conclusie leidt dat het allemaal niet zo heel veel uitmaakt. We rommelen gewoon lekker door, zo goed en zo kwaad als het kan en meestal doet bijna alles het dan wel.
Human Error
Grappig genoeg vinden de meeste inbraken plaats omdat mensen op een verkeerde link hebben geklikt, een val gezet door een cyberboef. Die ook liever lui dan moe is en wacht tot zijn slachtoffers in de val lopen, in plaats van er achteraan te jagen.
“Da’s human error”, roepen alle experts dan, “we moeten mensen leren om dat niet te doen. Geef ze een cursus cybersecurity awareness.”
Maar ja, internet is gemaakt om op dingetjes te klikken, dus doe je dat als voorgeprogrammeerd fte’tje. Wij als veiligheidskundigen weten dan dat je de techniek en de organisatie moet verbeteren als je de internetveiligheid wil vergroten.
Don’t fix the user, fix the system.
Hetwelk sowieso niet zal meevallen, want zoals ik al zei, zonder dat er verkeerd wordt geklikt zijn er al te veel patches om de boel preventief op orde te hebben.
Waardoor er nog maar één echte strategie overblijft: recovery.
Opruimen. De VS hebben er een heel land mee gemaakt, dus waarom zouden wij dat ook niet kunnen met internetveiligheid?
Ik typte het op, keek er even naar en vroeg me toen af: zit die strategie eigenlijk wel in onze toolbox? Of doen veiligheidskundigen niet aan recovery?
Nadat ik dit blog (als column in de NVVK-info) had gepubliceerd bedacht ik mij dat ik het ook eens aan Chat GTP zou kunnen vragen. Hoe ziet het dat voor zich, een recovery strategie voor internetveiligheid?
Na een paar rondjes oppervlakkigheden van GTP te hebben ondergaan kwam het hiermee; over backups als recovery strategie:
Chat GTP
- Offsite back-uplocatie: Zorg ervoor dat uw back-ups worden opgeslagen op een externe locatie, gescheiden van de primaire systemen. Dit kan bijvoorbeeld een externe server, cloudopslag of een speciale back-upinfrastructuur zijn. Door de back-ups op een andere locatie te bewaren, minimaliseert u het risico dat ze worden aangetast tijdens een beveiligingsincident.
- Realtime of frequente back-ups: Overweeg om gebruik te maken van realtime of frequente back-upoplossingen, zodat wijzigingen in bestanden onmiddellijk of regelmatig worden opgenomen in de back-ups. Dit minimaliseert het gegevensverlies bij een incident, omdat recente versies van bestanden beschikbaar zijn voor herstel.
- Versleuteling van back-ups: Om de vertrouwelijkheid van uw gegevens te waarborgen, is het belangrijk om back-ups te versleutelen. Zorg ervoor dat de gegevens zowel in transit als in rust worden versleuteld, zodat ze niet toegankelijk zijn voor ongeautoriseerde personen, zelfs als de back-upmedia in verkeerde handen vallen.
- Test het herstelproces: Regelmatig testen van het herstelproces is essentieel om er zeker van te zijn dat de back-ups correct en snel kunnen worden hersteld in geval van een beveiligingsincident. Voer regelmatig hersteltests uit om te controleren of de back-upbestanden integriteit behouden en dat het herstelproces soepel verloopt.
- Geautomatiseerd back-upbeheer: Overweeg het gebruik van geautomatiseerde back-upoplossingen en beheertools. Deze kunnen zorgen voor consistente en betrouwbare back-ups, het monitoren van de back-upstatus, het genereren van rapporten en waarschuwingen bij problemen. Automatisering minimaliseert menselijke fouten en verhoogt de betrouwbaarheid van uw back-upproces.
- Veiligheidsmaatregelen voor back-upsystemen: Bescherm uw back-upsystemen tegen ongeautoriseerde toegang en manipulatie. Implementeer sterke authenticatiemechanismen, zoals wachtwoorden of multifactorauthenticatie, om ervoor te zorgen dat alleen geautoriseerde personen toegang hebben tot de back-ups. Beperk ook de toegangsrechten tot back-upopslag om ongeautoriseerde wijzigingen te voorkomen.
- Monitoring en waarschuwingen: Implementeer monitoringoplossingen om de status van uw back-upomgeving te bewaken. Hiermee kunt u problemen, zoals mislukte back-ups of corrupte back-upbestanden, snel identificeren en aanpakken. Stel waarschuwingen in, zodat u direct op de hoogte wordt gebracht van eventuele problemen met uw back-ups.
Make it so
Tsja…een beetje een stappenplan van een junior consultant internetveiligheid. Veel verder komt GTP niet en dat is niet de eerste keer dat me opvalt dat AI niet veel meer doet dan een PDCA cyclusje opdreunen. Ik begrijp dan ook niet zo goed waar al die zorgen over AI vandaan komen.
Maar misschien stel ik gewoon de verkeerde vragen. Of ligt de lat tegenwoordig wat lager?
Toch nog maar even zelf blijven nadenken over internetveiligheid dus. Want users fixen, dat is risicomanagement op kans. Dat verlies je vroeg of laat altijd. Manage dus het effect; in de robuustheid (of antifragiliteit, zo je wilt) van je systeem.
Een aangepaste versie van dit blog verscheen ook in de NVVK-info. Ik schreef al eerder over cyberveiligheid. Zie o.a. het blog human factors op het internet.