Hardware veel onveiliger dan software

Eind vorig jaar kwam het onderstaande bericht al voorbij. Maar omdat we deze week bezig zijn met het aanvullen van ons lijstje risico’s, kan deze niet ontbreken.

Hackers zullen zich in 2012 massaal op hardware richten, aangezien fabrikanten zeker tien jaar achterlopen in vergelijking met softwareleveranciers. Dat is een voorspelling van Michael Sutton van beveiligingsbedrijf Zscaler Research (bron).

De moraal is natuurlijk dat we niet de beveiliging van software uit het oog moeten verliezen (want daar is nog genoeg mis mee), nee, we moeten simpelweg de hardware aan ons lijstje toevoegen. Denk aan allerlei apparatuur als printers, routers, servers maar ook kopieerapparaten en koffiemachines mogen wat mij betreft tegen het licht worden gehouden.

Natuurlijk loop je meer risico met netwerkapparatuur waarop bedrijfsinformatie staat en natuurlijk is het nog een ver van mijn bed show dat we aangevallen worden via koffiemachines. Toch zit er aan een koffiemachine een directer risico. We hebben het in het verleden wel eens aangehaald, maar zullen er nog een keer kort op ingaan.

De kans is groot dat onze koffie leverancier op afstand kan kijken wat er met de machine aan de hand is. Op afstand wordt het aantal geschonken bakjes koffie uitgelezen en jouw bedrijf krijgt daarvoor de rekening gepresenteerd. Maar wat als de leverancier de cijfertjes een beetje beïnvloed en naar boven toe afrond? Ben jij in staat om te controleren of de cijfers kloppen? En als de leverancier via het netwerk de machine kan benaderen, kunnen de criminelen dan niet via die netwerkverbinding ons netwerk binnen dringen?

Voor de kopieerapparaten geldt natuurlijk hetzelfde. De leverancier ziet het aantal kopietjes en printjes op afstand en jij betaald per pagina. Maar de kans is ook aanwezig dat de informatie die geprint of gekopieerd is op afstand is uit te lezen. In dergelijke apparaten zit een harde schijf en als het de leverancier of een crimineel lukt om de informatie uit te lezen dan ligt de informatie op straat.

De hardware wordt nu ook aan ons lijstje toegevoegd en de software blijft gewoon op ons lijstje staan. De kans en de impact schatten we. Maar als ons lijstje wordt uitgebreid moeten we ook de prioriteiten gaan stellen. We kunnen niet alle risico’s tegelijk aanpakken en dat is ook helemaal niet nodig. Met de inschatting van de kans en impact (op een 5-puntsschaal) ontstaat ook direct een prioriteitenlijst. De risico’s met de hoogste score pakken we het eerst op.

Logisch, toch? Ja, als je het zo ziet en leest wel. Maar ook hier is de praktijk weer een stuk lastiger. Nog te vaak zien we dat we wel risico’s aan het afdekken zijn maar dat het niet noodzakelijkerwijs de risico’s met de hoogste score zijn. Nee, veelal zijn het de risico’s die we het makkelijkst op kunnen lossen (het zogenaamde low hanging fruit), de meer ingewikkelde risico’s schuiven door omdat we daar meer budget of meer denkkracht voor nodig hebben.

Zonde, want hiermee lopen we weer in dezelfde cirkel als we de afgelopen jaren hebben gedaan. We verzanden (of verzuipen) in beveiligingsmaatregelen en verliezen de risico’s uit het oog. Mag ik je er nog even aan helpen herinneren dat 2012 het jaar is van de ommezwaai? Even afstand nemen en terug naar ons lijstje met risico’s. Die beveiligingsmaatregelen volgen dan vanzelf wel.

Hier werkte de camerabewaking in ieder geval niet preventief

Hadden we het gisteren nog over de preventieve maatregelen die bijdragen aan de verlaging van criminaliteit in een winkel (terwijl er over de hele linie juist wel een toename was). Nu laten we zien dat een camera misschien soms een preventieve werking heeft, maar een camera alleen is ook niet de optimale oplossing.

In de praktijk komen we te vaak tegen dat er blind gestaard wordt op één maatregel, terwijl we andere maatregelen niet nemen of gewoon vergeten. Let in onderstaand filmpje eens op de “kassa” en (het ontbreken van) de locker voor de eigendommen van de medewerkers:

Het camerasysteem was zo slecht nog niet, de persoon is best te herkennen. Helaas liet hij zich er niet door afschrikken. Juist door het ontbreken van de andere maatregelen (een goede kassa en lockers voor het personeel bijvoorbeeld) slaagt deze man er in buit te maken.

Beveiliging gaat alleen werken als we het integraal aanpakken en daarbij moeten we niet alleen naar een elektronische maatregel (als camerabewaking) kijken, nee we moeten ook kijken naar de organisatorische en bouwkundige maatregelen. Als we dat onderkennen moeten we op zoek naar de juiste combinatie maatregelen. Hierbij moeten de maatregelen altijd ondergeschikt zijn aan de risico’s (in dit geval dus de diefstal) die we af willen dekken. We zien namelijk ook vaak beveiligingsmaatregelen die geen enkele bijdrage leveren aan het afdekken van risico’s en dat is zonde van het geld.

Beveiliging gaat veel verder dan de meeste mensen denken, we mogen het toch wel een specialistisch vakgebied noemen. Hebben we het hier alleen nog maar over fysieke beveiliging ook moeten we de combinatie maken met informatiebeveiliging en risico management. Alleen dan kunnen we de kosten voor beveiligingsmaatregelen efficiënt benutten. En vergeet vooral de organisatorische maatregelen niet, die zijn relatief goedkoop en kunnen een grote bijdrage leveren.

Succes met het inrichten van je beveiliging, mocht je vragen hebben dan weet je me te vinden.

Beveiliging mag minder arrogant

Beveiliging mag minder arrogant, zo zegt de titel maar volgens mij mogen we dit direct vervangen door: beveiliging moet minder arrogant (of is dat dan weer arrogant als ik het zo stel?).

Overal werken klanten het liefst samen met vriendelijke, dienstbare en geduldige mensen. Jammer genoeg is deze omschrijving niet van toepassing op veel securitydeskundigen, behalve wanneer zij in gesprek zijn met andere securityprofessionals (bron).

Als beveiligingsdeskundige hebben we nog steeds een groot imagoprobleem. Natuurlijk zijn er nog steeds “experts” met weinig inlevingsvermogen die alles het liefst willen verbieden. Toch denk ik dat er meer en meer experts opstaan die in het vizier hebben dat beveiliging (in welke vorm dan ook) altijd ondersteunend is aan de business. Met het primaire bedrijfsproces verdient de organisatie haar geld, beveiligingsmaatregelen kosten ogenschijnlijk alleen maar.

De kunst voor ons als beveiligingsexperts is om die maatregelen te vinden die een meerwaarde hebben voor de nieuwe ontwikkeling. In de praktijk merken we nog steeds dat het gemakkelijker is om beveiligingsmaatregelen te adviseren (die van alles verbieden, die het werk onmogelijk maken, etc) dan om mee te denken om de risico’s af te dekken. Oh ja, een risico accepteren kan ook een hele goede maatregel zijn (vanuit de business gezien), als de risico-acceptatie op het juiste niveau binnen de organisatie plaatsvindt dan kan ik daar uitstekend mee leven.

Bij iedere maatregel die uiteindelijk geadviseerd wordt moeten we ons afvragen of de business daar nu echt mee geholpen is en of we nu ook echt een reëel risico afdekken voor de organisatie. Daarbij moeten we steeds bedenken dat maatregelen bestaan uit de combinatie van: technische, procedurele, organisatorische, bouwkundige en elektronische maatregelen.

Trekken we de parallel met fysieke beveiliging dan verbaast het mij dat er nog maar zo weinig wordt gedaan aan esthetisch verantwoorde systemen. Wat bedoel ik daarmee? Waarom zijn er bijvoorbeeld geen mooi weergegeven ruimtedetectoren? Laten we eerlijk zijn, wie wil er nu een lelijke detector aan de muur hebben? Waarom kan die niet mooi zijn? Volgens mij is het een kleine kunst om een rookdetector te verwerken in een plafonnière. Een combinatie die mij over zou halen om er serieus over na te denken. Nu moet ik twee dingen aan mijn plafond hangen, een detector en een lamp…combineren we dat dan biedt dat vele voordelen.

Oh ja, de rookdetector is hier natuurlijk slechts een simpel voorbeeld. Ik ben er van overtuigd dat we op alle gebieden maatregelen kunnen bedenken (die dus ook echt risico’s afdekken) die het het werk voor de medewerkers makkelijker maakt of die er esthetisch mooi uitzien. Kunst voor ons als beveiligingsexperts is om verder te kijken dan onze neus en juist die adviezen te geven waar de business echt mee geholpen is.

Om er dan nog maar een (fysiek) voorbeeldje bij te halen. Het gebruik maken van camerasystemen is van oudsher een beveiligingsissue. Toch zijn er al jaren systemen die ook het aantal bezoekers en bezoeksgedrag kunnen monitoren, daarmee kun je op marketinggebied hele interessante gegevens achterhalen. Een combinatie dus waarmee je de beveiligingsmaatregelen inzet om de business te helpen verbeteren.

Gooien we er toch maar weer eens een van mijn motto’s in: alles kan, maar wel zo veilig mogelijk.