De georganiseerde misdaad zit achter de meeste data-lekken, dat beweert Verizon in het jaarrapport. Het ‘ Data Breach Investigations Report’ bestaat uit gegevens van zowel Verizon als de Amerikaanse Secret Service en omvat 141 zaken, waarbij meer dan 143 miljoen gegevens werden buitgemaakt. De georganiseerde misdaad was voor 85% van de gestolen gegevens verantwoordelijk. Bij 38% van de incidenten werden gestolen inloggegevens gebruikt en 86% van de slachtoffers had bewijs van de aanval in hun logbestanden. Verder blijkt dat servers het favoriete doelwit van de aanvallers zijn, aangezien 98% van alle gestolen data hier van afkomstig is (bron).
We ontkennen nog te vaak dat bedrijfsspionage (waar we dit wel onder kunnen rekenen) plaatsvindt. Bij de aanvallers denken we nog steeds aan jonge jongens die voor de lol proberen je netwerk plat te leggen. Natuurlijk is dit een risico, maar deze zijn met goede beveiligingsmaatregelen gemakkelijker tegen te houden dan de georganiseerde misdaad. Zij kunnen beschikken over hele datacenters om een aanval te plegen en bezitten in veel gevallen (technische) kennis waar wij niet over beschikken.
Het management van veel organisaties zit nog in de ontkenningsfase: ‘dit gebeurt ons niet’, ‘wat valt er bij ons nu te halen?’, ‘het zal allemaal wel meevallen’ en alle andere smoesjes die we wel kennen. Ik kom zelf steeds meer tot de conclusie dat dit komt omdat veel managers willen proberen om de techniek te begrijpen (correct me if I’m wrong), wat vervolgens niet lukt waardoor een veel gehoorde smoes is: ‘ik heb geen verstand van de techniek, dat moet IT maar oplossen’.
Geloof me, als manager hoef je ook helemaal geen verstand van de techniek te hebben, dat moet inderdaad IT maar voor je oplossen. Waar je wel verstand van en inzicht in zou moeten hebben is de risico’s die je loopt met de bedrijfsprocessen. Als je die risico’s inzichtelijk hebt weet je ook welke je af moet dekken en waar je maatregelen tegen kunt nemen. Dat je vervolgens niet weet welke maatregelen dat zijn is een minder groot probleem, daar heb je de specialisten voor. Het management bepaald de functionele behoefte en IT voert dat op een technische wijze uit (maar vergeet niet dat de techniek alleen je niet zal helpen, je zult juist ook procedurele en organisatorische maatregelen moeten nemen).
Ook vanuit het vakgebied willen we graag dat informatiebeveiliging iets exotisch is, vooral veel mist optrekken zodat we lekker onze gang kunnen gaan. Beveiliging is juist helemaal niet exotisch maar is gewoon een kwaliteitsaspect dat hoort bij het bedrijven van een organisatie. Bij kwaliteit hebben alle managers wel een beeld, maar wees eerlijk: weet je exact hoe die kwaliteit technisch tot stand komt? Welke machines je daarvoor inzet en hoe je die machines afstelt? Nee, toch? Beveiliging kun en moet je op eenzelfde manier oppakken. Het management bepaalt de parameters en de organisatie geeft daar binnen de gestelde kaders invulling aan.
Niets nieuws onder de zon, toch?