Een beveiligingsincident is zelden de schuld van één iemand
De medewerkers uit de operatie zijn je laatste verdedigingslinie, niet de eerste.
We werken in security graag ‘risico gebaseerd’. Maar mensen zijn notoir slecht in het inschatten van risico’s. Risico analyses zijn een graag gebruikt hulpmiddel voor security specialisten. De NIS2 verplicht het zelfs. Maar alle SWOTs, FMAs en MAPGOODS ten spijt; het blijft een slag in de lucht. Mensen zijn van nature geneigd om de kans dat iets gebeurt te laag in te schatten en de impact te hoog. Daarbij maakt het niet uit in welke samenstelling, met welke methodiek of hoeveel niveaus je werkt. Het is allemaal subjectief en we baseren het op allerlei vaagheden zoals: ons gevoel, eerdere gebeurtenissen, of juist de afwezigheid daarvan ‘het is nog nooit fout gegaan’. Zo weet ik nog dat ik in een risicoanalyse zat en iemand zei: “Dat coronavirus in China, dat zou ook wel eens hier naartoe kunnen komen. Is dat geen risico?”. Zoals ik altijd doe, schreef ik het risico op. We besloten gezamenlijk op een score van kans laag, impact hoog. Maatregelen vonden we niet nodig. Want zeg nu zelf: zoiets is nooit eerder gebeurd!
De menselijke factor in risicobeoordeling
Kortom: we zijn slecht in het inschatten van risico’s. Ja, ook wij security experts doen vaak maar wat. Maar we baseren hier wel een groot deel van onze maatregelen op. We zijn druk in de weer met onze risico acceptatie en met onze risk appetites. Ik denk dat dit in algemene zin zeker nut heeft. Met name om je bewust te worden met welke risico’s je eigenlijk te maken hebt. Daarbij denk ik dat de scores eigenlijk niet eens zo interessant zijn. Het helpt ons als security professionals om onze adviezen kracht bij te zetten en de verantwoordelijken hun verantwoordelijkheid actief te nemen. Ik denk wel dat we aan de scores wat minder waarde zouden moeten hechten. Zie het vooral als een stukje ‘bezint eer ge begint’.
De valkuilen van risico-inschattingen
Waarbij ik nog altijd mijzelf verwonder over hoe wij omgaan met human risk, zoals dat zo mooi heet (is er buiten natuurrampen ook iets anders?). De mens is de zwakste schakel, zo horen we vaak. De grootste risico’s zitten tussen de stoel en het toetsenbord. Waarmee we vaak doelen op de medewerkers in de operatie en zelden de IT-ers natuurlijk. Het kan niet de schuld van IT zijn dat Gert van accountancy op een phishinglink klikte.
‘Fout van politievrijwilliger zette deur open voor hackers’. Heb ik daar nu niet genoeg over gezegd? Nou, nee. Als digitaal onderzoeker bij de Onderzoeksraad voor Veiligheid onderzocht ik IT-storingen in ziekenhuizen en de veiligheid van software in bestuurder ondersteunende systemen (zoals lane keeping assist en adaptive cruise control). Daar leerde ik een aantal belangrijke lessen, die in bredere zin van toepassing zijn op veiligheidsvraagstukken. In de essentie maakt het niet uit of een veiligheidscrisis digitaal of fysiek is. Als je het terugbrengt naar de kern, is de aanloop naar een crisis vaak gelijk. Ik zei het al in mijn laatste column; de digitale kill chain lijkt niet voor niets sterk op de kill chain vanuit het militaire gebruik. Een crisis of incident gebeurt niet in een vacuüm. Het is de omgeving, de context eromheen, die een incident of crisis mogelijk maken.
Lessons learned
Nu kun je een semantische discussie gaan voeren over het woord ‘fout’, maar waar ik het eigenlijk over wil hebben is het feit dat de vrijwilliger die op het linkje klikt totaal niet interessant is. Er had net zo goed kunnen staan ‘persoon klikt op link’. Shocking! Maar welke maatregelen hebben er allemaal gefaald, voordat die link in de inbox terechtkwam en daadwerkelijk schade kon aanrichten na het klikken?
Mensen klikken op links. Dat doen ze elke dag. De hele dag door. En je kunt van hen niet verwachten dat zij elke mail onderwerpen aan een forensisch onderzoek, om te weten te komen of het linkje wel veilig is om op te klikken. Bewustwording en de ‘veiligheidscultuur’ zijn doorgeslagen. Met dank aan de bedrijven die als paddenstoelen uit de grond lijken te schieten om ons te voorzien van de meest geavanceerde nep phishing mail campagnes. Gooi alle firewalls maar open. Knal die DMARC op reporting en laat verder alle domeinnamen die gisteren geregistreerd zijn maar gewoon door. Want onze clickrate was deze maand slechts 13%.
Bewustwording versus technische maatregelen: zoek het evenwicht
Natuurlijk is de wereld niet zo zwart-wit. Nep phishing: bad. Technische maatregelen: good. De techniek kan ook falen. En dat gebeurt geregeld. Maar interessant genoeg lijkt het alsof wij het enige werkveld zijn waarbij we het blijkbaar acceptabel vinden dat een simpele klik op een link (’druk op een knop’) een volledige organisatie onderuit kan krijgen. En in plaats van dat we er dan ALLES aan doen om die knop zo ongevaarlijk mogelijk te maken, gaan we heel veel geld en tijd investeren om mensen te vertellen hoe die knop eruit ziet. En dat die knop er heel goed uit kan zien als de knoppen waar je tig keer per dag op moet drukken. Maar die ene knop waar je niet op moet drukken, die kan er mogelijk nét ietsje anders uitzien dan normaal. Echt een fractie anders. Bijna niet te zien. Wij experts zien het de helft van de tijd ook niet (blijkt meermaals uit polls die ik doe op LinkedIn en elders). Maar als jij als medewerker op die verkeerde knop drukt, dan kan het zomaar zijn dat je morgen in de krant staat. ‘Fout van Fleur zette deur open voor hackers.’ Goh.
De acceptatie van menselijke fouten in security
Dus als het hele scala aan technische maatregelen faalt (of als die er gewoon niet zijn!). Alle maandelijkse nep phishing campagnes ten spijt. Het was Fleur die de deur open zette voor hackers. Want zij klikte op de link.
We werken in security graag risico gebaseerd. En we zijn tegelijkertijd zó slecht in het inschatten van risico’s. De kans dat bij langdurige blootstelling iemand een keer op een link klikt, durf ik als hoog in te schatten. Daarom durf ik tevens te zeggen dat het eigenlijk nooit de schuld van die ene medewerker met dat linkje kan zijn. En dat fout niet hetzelfde is als schuld, dat begrijp ik. Maar dat is niet hoe het voelt voor die medewerker die in de krant staat. We weten dat mensen dit doen. We weten dat mensen voelen of verf nat is, als ergens een bordje hangt ‘Pas op. Natte verf.’
Mijn suggestie: bij de volgende compliance gedreven nep phishing campagne; stuur een verder lege mail met als onderwerp ‘maandelijkse nep phishing mail’. Zet daar de tekst in ‘dit is een phishing test. Klik niet op dit linkje.’ En zet je phishing link eronder. Heb je een organisatie met meer dan 500 medewerkers? Ik ben benieuwd naar je clickrate.
Mensen klikken op linkjes. Zie het, net als assume breach, als een gegeven. En bouw je maatregelen daaromheen.
Over Fleur
Fleur is een ervaren professional met meer dan 10 jaar ervaring in informatiebeveiliging. Ze is CISO bij de overheid en produceert een podcast voor CISOs, genaamd ‘CISO praat’. Haar passie ligt bij het vinden van oplossingen en het adviseren over strategische vraagstukken binnen informatiebeveiliging.
Met een focus op de technische en strategische aspecten, duikt Fleur graag de diepte in en onderzoekt oplossingen, zoals het veilig gebruik van openbare wifi-netwerken en effectieve bescherming tegen phishing. Ze is vooral geïnteresseerd in de balans tussen gebruiksgemak en beveiliging én de uitdagingen van specialistische kennis in een digitaliserende wereld.
In haar columns behandelt Fleur fundamentele uitdagingen voor informatiebeveiligers, zoals de effectiviteit van beveiligingsmaatregelen en het groeiende aanbod van beveiligingsdiensten. Ze hoopt haar lezers te inspireren tot nieuwe inzichten en innovatieve ideeën.