Laatste nieuws
 
 
  Achtergrondartikelen  
 

Iedereen weet inmiddels dat cybersecurity belangrijk is. Je leest of hoort er bijna elke dag over in het nieuws. De kwetsbaarheid van regeringen, cyberterrorisme of grote bedrijven die door criminelen worden bestolen van miljoenen klantgegevens, is aan de orde van de dag. Maar je hoort er eigenlijk pas over als er iets mis is gegaan.

Lange tijd was fysieke beveiliging een puur analoge aangelegenheid. De mensen die verantwoordelijk waren voor fysieke beveiliging hoefden zich dus geen zorgen te maken over netwerkbeveiliging, terwijl de IT-afdeling zich niet bezig hoefde te houden met onnodige blootstelling van camera’s. Natuurlijk kunnen ook analoge systemen gehackt worden (denk aan een babyfoon of een garageafstandsbediening), maar nu beveiligingssystemen op netwerkbasis de nieuwe norm zijn met alle voordelen van dien, moeten beide partijen zich realiseren dat de situatie nu heel anders ligt.

Fysieke beveiliging versus cybersecurity
Fysieke beveiligingsteams en IT-afdelingen hebben op het eerste gezicht nogal verschillende visies en prioriteiten en begrijpen elkaar soms niet echt. Fysieke beveiliging komt van Mars en de IT-afdeling komt van Venus. Vaak is het gewoon een kwestie van taal of jargon en begrijpt de ene partij niet waar de andere het over heeft. In veel gevallen kan het echter ook lijken op een grensconflict: het fysieke beveiligingsteam beschouwt cybersecurity niet als onderdeel van zijn werk en de IT-afdeling is zich misschien niet eens bewust van de mogelijke kwetsbaarheid van verschillende apparaten die geen duidelijke gebruikers of eigenaars lijken te hebben.

Na een gesprek dat ik onlangs met een klant had over cybersecurity, bleef een opmerking bij me hangen: "We zijn niet het Pentagon!" Die instelling hoor ik vaker bij klanten. Velen geven aan dat ze blij zijn dat wij leveranciers over deze dingen nadenken, zodat ze dat zelf niet hoeven te doen. En als ze niet zijn aangevallen, of in elk geval niet weten dat ze zijn aangevallen, dan hoor je hen er verder niet over. Cybersecurity is immers iets voor  de IT-afdeling. Zij zijn verantwoordelijk voor een veilig gebouw. Als ik daarentegen met de IT-afdeling praat, blijkt dat ze niet altijd op de hoogte zijn van de potentiële blootstelling van onbeveiligde netwerkcamera’s.

Gelukkig zien we dat de verantwoordelijken voor IT en fysieke beveiliging elkaar steeds beter weten te vinden. De vraag is echter: Hoe zorgen wij er met elkaar voor dat de manager fysieke beveiliging ook IT-beveiliging serieus gaat nemen? En hoe zorgen we dat het IT-beveiligingsteam kan praten met de collega’s van fysieke beveiliging in een taal die ze begrijpen? Eigenlijk is dat niet zo ingewikkeld. Je kunt het beste de terminologie gebruiken waar ze allebei vertrouwd mee zijn:



Nu zijn niet alle organisaties en bedrijven hetzelfde. Bij sommige organisaties is de communicatie tussen de twee afdelingen bovendien goed, en is men zich bewust van de dreigingen die ze gezamenlijk moeten aanpakken. Ik heb ontdekt dat je organisaties grofweg in drie categorieën kunt indelen, afhankelijk van de mate waarin ze begrijpen welke dreigingen er zijn.

  1. Bovenaan staan bedrijven waarvan het merk, de activiteiten of de geloofwaardigheid draait rond vertrouwen en veiligheid – bijvoorbeeld banken. Gemiddeld genomen staat veiligheid hoog op hun prioriteitenlijstje (zowel fysiek als digitaal) en maakt ze deel uit van hun bedrijfscultuur. Ze zijn vaak wat afwachtend als het gaat om het aanschaffen van nieuwe technologie. Dat doen ze pas als ze zeker weten dat hun veiligheid niet in het geding komt. Dit geldt vooral voor nieuwe apparatuur die op hun netwerk wordt aangesloten, zoals camera’s, controlesystemen aan toegangspunten enz. Hun IT-afdelingen zullen vermoedelijk pas toestaan dat er nieuwe apparatuur op het netwerk wordt aangesloten als duidelijk is waar deze vandaan komt en als deze naar behoren getest en geïnstalleerd is.
  2. Dan heb je bedrijven die wel weten dat ze kwetsbaar kunnen zijn voor cyberaanvallen, maar niet de specifieke kennis in huis hebben om hun risico’s goed te analyseren en te reduceren. Deze bedrijven staan wel open voor advies, ook al heeft dit geen prioriteit. Dit zijn de bedrijven die waarschijnlijk het grootste risico lopen: hun netwerken zijn zo complex, dat het beheer ervan een fulltime baan is. Ze beschikken echter niet over voldoende middelen om elk apparaat dat wordt aangesloten goed te controleren.
  3. Als laatste zijn er de meestal kleinere bedrijven, die heel weinig verstand hebben van cybersecurity en al helemaal niet weten dat je apparaten als camera’s goed moet beveiligen voor je ze op een netwerk aansluit. Ze hebben zelden een fulltime IT-manager, laat staan iemand die alleen verantwoordelijk is voor de fysieke beveiliging. Voor deze bedrijven is een zeer eenvoudige, geautomatiseerde installatie ideaal, waarbij één oplossing voor de gehele beveiliging zorgt.

Mirai botnetaanval
Uiteindelijk moet het wel zo zijn dat de IT-afdeling en de afdeling fysieke beveiliging het belangrijk genoeg vinden om samen te werken, en dat ze de bal niet bij de ander blijven leggen totdat er een aanval plaatsvindt. Maar hoe doe je dat? Helaas heeft deze situatie zich onlangs al een paar keer voorgedaan. Nog maar een paar maanden geleden toonde de Mirai botnetaanval aan hoe kwetsbaar IoT-apparatuur kan zijn en hoe deze apparatuur potentieel tot zeer aantrekkelijke doelwitten voor hackers maken. In de loop van enkele maanden infecteerden cybercriminelen miljoenen apparaten, waaronder netwerkcamera’s, digitale videorecorders, routers enz. In september 2016 vond een enorme DDoS-aanval (Distributed Denial of Service) plaats op de website van een prominente veiligheidsjournalist, KrebsOnSecurity.com. Een maand later vond de grootste DDoS-aanval in de geschiedenis plaats op Dyn.com, één van de belangrijkste onderdelen van het Amerikaanse internet. Diensten als Netflix, Spotify en Amazon zijn er afhankelijk van.

Wachtwoorden wijzigen
Nou zou je kunnen zeggen dat het even niet kunnen bekijken van de nieuwste aflevering van ‘Orange is the New Black’ geen enorme bedreiging is voor de westerse beschaving. En dat klopt ook. Het toont echter wel aan wat er kan gebeuren met fysieke beveiligingsapparaten die niet goed beschermd zijn. De meeste geïnfecteerde apparaten hadden gemakkelijk te raden wachtwoorden die nog nooit gewijzigd waren. Of nog erger: wachtwoorden die helemaal NIET gewijzigd konden worden. Of het waren apparaten met ingebouwde ‘achterdeuren’ waardoor de fabrikant tijdens de ontwikkelingsfase de bugs er eenvoudig uit kon halen en die nooit gesloten waren voor de productiefase. In december 2016 bleken ruim tachtig camera’s van een grote fabrikant achterdeuraccounts te bevatten. Een maand later schreef de Washington Post dat de politie van Washington DC drie dagen lang geen video-opnamen had kunnen maken met hun beveiligingscamera’s omdat 70% van hun opslagapparatuur gehackt was.

We kunnen er vanuit gaan dat dit niet de laatste keer zal zijn. Op dit moment is het Internet of Things een relatief gemakkelijk doelwit, vooral omdat er heel weinig mensen bij betrokken zijn en dus bijna niemand merkt dat er een aanval wordt voorbereid totdat het te laat is.  Om ervoor te zorgen dat de put niet pas gedempt wordt nadat het kalf verdronken is, is het van groot belang dat de mensen die over de fysieke en digitale assets van een onderneming gaan, met elkaar in gesprek gaan. Wat kunnen ze van elkaar leren en wat moet er gebeuren om veilig te kunnen blijven ondernemen in deze nieuwe, gedigitaliseerde wereld?

Edwin Roobol,
regiodirecteur
Midden Europa, Axis Communications

Plaats op:
Datum: 5 mei 2017
Categorie: Blog
Bron: Axis Communications B.V.
Gerelateerde artikelen  
17-09-2019 Nieuws Nederlandse mkb-bedrijven lopen risico door onbeveiligde printers
27-02-2018 Nieuws Bijna driekwart Nederlanders treft geen IoT-veiligheidsmaatregelen
18-10-2018 Nieuws Merendeel bedrijven moeite met identificeren en beschermen apparatuur
05-10-2017 Nieuws Een nieuwe benadering van cybersecurity
02-10-2018 Achtergrondartikelen Nederlanders zetten eigen digitale veiligheid op een laag pitje
 
 

- partners -

 
 
 
 
 
� 2007 - 2020 Vakwereld. All rights reserved Pagina geladen in 0,39 seconden.