In deze bijdrage beschrijft Fred Streefland (*) hoe de Zero Trust aanpak een bijdrage kan leveren in het voorkomen van het soort security incidenten waar gemeenten, universiteiten en de GGD mee te maken hebben.
Introductie
In de afgelopen maanden hebben wij verschillende security incidenten gezien bij verschillende overheidsinstanties zoals de Gemeente Lochem, Hof van Twente, Universiteit Maastricht en de GGD. Het lijkt wel alsof er een toename is van het aantal incidenten en/of dat de impact van incidenten toeneemt.
Natuurlijk wordt de wereld steeds afhankelijker van IT-systemen. De complexiteit van organisaties neemt toe vanwege het toepassen van cloud computing, de toename van de IoT-devices, de invoering van 5G en het gebruik van kunstmatige intelligentie. Maar dat hoeft niet te betekenen dat de cybersecurity een steeds groter ‘gat’ moet overbruggen en de strijd lijkt te verliezen. Althans, dat moeten wij als cybersecurity professionals niet accepteren.
‘Silver Bullet’
De titel van dit artikel is natuurlijk uitnodigend en ik kan deze vraag helaas niet d.m.v. een ‘silver bullet’ beantwoorden. Ik ga wel een poging doen om te beschrijven hoe een organisatie de kans dat een cyber incident plaatsvindt (en de impact daarvan), aanzienlijk kan verkleinen. Als cybersecurity professional heb ik de afgelopen jaren moeten constateren dat de ‘ouderwetse manier’ van cybersecurity niet meer werkt.
De verschillende cyberoplossingen van meerdere fabrikanten zoals firewalls, endpoint producten, cloudsecurity oplossingen, SIEMs, etc. werken in de basis niet geïntegreerd met elkaar en zijn destijds ontwikkeld voor een specifiek doel. Niet om deel uit te maken van een groter beveiligingsgeheel.
Vanwege deze silo’s is automatisering ook een uitdaging, terwijl de ‘bad guys’ wel geautomatiseerd samenwerken. Helaas hebben wij gezien dat investeren in nog meer verschillende security oplossingen (‘point products’) geen enkele garantie geeft voor het voorkomen van succesvolle ransomware aanvallen. Het Deense Maersk en het Noorse Hydro zijn hier helaas voorbeelden van.
Zero Trust
Wat kunnen organisaties dan wel doen om hun security te verbeteren en security incidenten te voorkomen ? Allereerst is het belangrijk dat het management beseft dat cybersecurity een serieus commitment vereist met de daarbij benodigde investeringen. Een van de belangrijkste investeringen is het aanstellen van een daadkrachtige CISO (eventueel met een team), die de volledige ruimte, en medewerking krijgt om een Zero Trust aanpak op te zetten en uit te voeren. En die Zero Trust aanpak is essentieel.
Zero Trust betekent dat je uitgaat van een complete ‘untrusted environment’, binnen en buiten de organisatie. Daarnaast gaat Zero Trust uit van het principe van ‘least privilege’. Dat voorkomt dat honderden medewerkers van de GGD onbeperkt toegang hebben tot de medische gegevens van miljoenen Nederlanders. Het is van groot belang dat een organisatie duidelijke regels opstelt wie welke toegang krijgt en tot welke data. Een ander principe is dat alles moet worden gemonitord. Alles moet zichtbaar zijn zodat afwijkingen zeer snel worden ontdekt en actie kan worden genomen. Er mogen geen ‘blind spots’ bestaan. Jjuist via die ‘blind spots’ kan er ransomware de organisatie binnenkomen, zoals bij de gemeenten en universiteit heeft plaatsgevonden.
Een ander principe van Zero Trust is de netwerksegmentatie van de IT-omgeving. Dit principe is zo essentieel dat het vaak wordt vertaald als ‘Zero Trust’. Dit is niet correct, want Zero Trust is meer dan alleen netwerksegmentatie. Maar, als wij dan toch naar netwerksegmentatie kijken. Idealiter zou ieder netwerk, dus ook het thuisnetwerk, moeten worden gesegmenteerd door o.a. het implementeren van next-generation firewalls, multi-factor authenticatie, (externe) back-ups en andere middelen. Uiteindelijk zorgt het geheel van de principes ‘least privilege’, ‘full visibility & monitoring’ en ‘network segmentation’ dat Zero Trust werkt en goed uitvoerbaar is in iedere organisatie.
Samenwerking en informatiedeling
Tenslotte is het belangrijk dat de overheidsorganisaties meer moeten leren van ‘lessons learned’ uit het verleden en ook onderling meer moeten samenwerken en informatie moeten uitwisselen. Dit betreft zowel tussen overheidsinstanties onderling alsook tussen overheid en bedrijfsleven. Helaas constateer ik nog steeds dat overheidsinstellingen vaak zelf ‘het wiel willen uitvinden’ op het gebied van cybersecurity. Dit terwijl regelmatig de gezochte oplossingen al jaren succesvol functioneren in het bedrijfsleven, zowel binnen Nederland als daarbuiten.
Verder ben ik van mening dat de overheid nog veel te vaak het bedrijfsleven ziet als ‘commerciële wolven’ die alleen maar geïnteresseerd zijn in de business, hetgeen een verkeerde weergave is van de werkelijkheid. Echt samenwerken en op een transparante manier informatie delen zijn essentiële zaken die bijdragen aan het voorkomen van security incidenten.
Conclusie
Helaas is het mijn verwachting dat security incidenten bij overheidsinstanties in de komende periode niet afnemen. Echter, als security professionals mogen wij niet lijdzaam toekijken en het maar laten gebeuren. Wij hebben nu de mogelijkheid om dit te veranderen. Dit vereist echter wel:
- Bewustwording en investeringen;
- Zero Trust aanpak;
- Samenwerking en het delen van informatie
Alleen dan hebben wij kans van slagen en kunnen de ransomware aanvallen bij de gemeenten/universiteiten en de datalekken bij de GGD mogelijk worden voorkomen. In ieder geval zal de kans op dergelijke incidenten en de impact van deze incidenten significant afnemen.
En dat is uiteindelijk waar wij, security professionals, het voor doen!
(*) Fred Streefland is Director Cybersecurity (CSO/DPO) bij Hikvision.