Ontwikkelingen en dreigingen
Er zijn diverse ontwikkelingen gaande die relevant zijn voor fysieke en digitale beveiliging. Zo is er een toename van dreigingen, is er een steeds grotere afhankelijkheid van IT en groeit het besef tot de noodzaak van het integreren van deze nu nog vaak gescheiden twee werelden.
Groeiende afhankelijkheid van IT
We worden steeds afhankelijker van IT. Dat betekent dat het steeds belangrijker wordt om informatie goed te beveiligen. Daar komt bij, dat we steeds grotere hoeveelheden informatie genereren en communiceren. De ontwikkeling van mobiele netwerken, sociale media, hoge kwaliteit videobeelden en het snelgroeiende aantal aan het internet verbonden apparatuur speelt daar een belangrijke rol in. Het samenvoegen van verschillende soorten informatie zoals data, video en spraak heeft ertoe geleid dat deze informatie over hetzelfde netwerk wordt getransporteerd. Tevens wordt informatie door veel verschillende apparatuur gebruikt en wordt informatie steeds meer buiten de grenzen van organisaties opgeslagen.
Technologische ontwikkelingen voor aanval en verdediging
Op technologisch gebied zijn er verschillende ontwikkelingen. Fysiek is het bijvoorbeeld mogelijk om met drones spionage te plegen, apparatuur te stelen of zelfs mensen aan te vallen. Binnen de IT winnen innovatieve technologieën als kunstmatige intelligentie en machine learning (ML) snel terrein. Criminelen kunnen deze nieuwe technologieën gebruiken als aanvalsmiddelen. Organisaties kunnen ze daarentegen gebruiken om zichzelf te beschermen. Ook kunnen aanvallers middelen misbruiken die bedoeld zijn als verdediging. Het overnemen van een beveiligingscamera door een aanvaller is hier een voorbeeld van. 3
Onvoldoende aandacht voor integratie fysieke en digitale beveiliging
Traditioneel heeft bij beveiliging de focus meestal op fysieke of digitale beveiliging gelegen. Zo heeft de beveiliging van belangrijke personen veel meer aandacht gekregen van fysieke beveiliging en veel minder van digitale beveiliging. Bij digitale apparatuur is er een gebrek aan fysieke monitoring om het manipuleren ervan te kunnen detecteren. Het besef begint steeds meer te komen dat beide dreigingen en de combinatie ervan, aandacht moeten hebben.
Groeiende dreiging vanuit statelijke actoren
Dreigingen vanuit statelijke actoren worden steeds meer zichtbaar en vormen de grootste digitale dreiging.4 Zo gaf de AIVD aan de FBI cruciale informatie over de inmenging van Rusland in de Amerikaanse verkiezingen.5 En statelijke actoren gebruiken soms criminele organisaties waardoor de grens hiertussen aan het vervagen is, met als gevolg dat het steeds moeilijker is om de daadwerkelijke opdrachtgever te achterhalen.
Uitdagingen bij het integreren van fysieke en digitale beveiliging
Om te bepalen hoe organisaties zich tegen gecombineerde fysieke en digitale aanvallen kunnen beschermen, moet er te worden gekeken naar de uitdagingen die organisaties op dit gebied hebben. Verschillende zaken spelen een rol in de scheiding tussen fysieke en digitale beveiliging.
Gedeelde of impliciete verantwoordelijkheid is geen verantwoordelijkheid
Een eerste uitdaging is van organisatorische aard. Beveiliging is vaak op diverse plekken in een organisatie belegd. De beveiliging van informatiesystemen en infrastructuur ligt meestal bij de IT-afdeling. De fysieke beveiliging is de verantwoordelijkheid van facilitaire zaken en is vaak uitbesteed aan een derde partij. Daarnaast zijn er soms aparte afdelingen voor informatiebeveiliging, die onderdeel zijn van het business of risicomanagement. Het ontbreken van eindverantwoordelijkheid leidt ertoe dat er geen gedeeld management van incidenten over deze deelgebieden heen is. Hierdoor worden beveiligingsincidenten gemist, die anders wel waren opgemerkt. Er is dan ook geen eenduidig zicht op beveiligingsrisico’s en -incidenten.
Onvoldoende commitment van hoogste management
Voor digitale beveiliging blijkt dat nog geen 25%van de Chief Information Security Officers (CISO’s) direct aan het hoger management rapporteert.6 In het geval van fysieke beveiliging is de afstand tot het hoger management nog groter. Vaak is de CISO onderdeel van de IT-afdeling en wordt beveiliging vanuit een IT-perspectief benaderd. Hierdoor kan niet goed gestuurd worden vanuit de business op de juiste prioriteiten. Er is vaak onvoldoende budget beschikbaar om door beveiliging prangende bedrijfsissues op te lossen. Hierdoor staat het imago van het bedrijf op het spel en door de komst van nieuwe wetgeving wordt de kans groter dat boetes opgelegd worden. Beveiliging moet dan ook expliciet aandacht krijgen van het hoogste management.
Verschillende bronnen van identiteiten
Het ontbreken van integratie tussen fysieke en digitale beveiliging is onder meer een gevolg van het organisatorisch apart beleggen daarvan. Een uitdaging die daarmee gepaard gaat is de aanwezigheid van meerdere bronnen met identiteitsgegevens. Deze identiteiten zijn cruciaal om een persoon of systeem te identificeren en te kunnen bepalen of die identiteit toegang tot bijvoorbeeld informatie heeft. Wanneer elk organisatiedeel haar eigen identiteiten beheerd, leidt dit tot inefficiënties. Het beheer van één identiteit moet immers tweemaal gedaan worden.
Ook kunnen identiteitssystemen over verschillende data beschikken. Volgens het ene systeem zou iemand nog toegang moeten hebben, terwijl het andere systeem aangeeft dat een medewerker al uit dienst is. Daar waar binnen organisaties wel integratie plaatsvindt van identiteiten voor toegang tot systemen en fysieke toegang, is dit veelal beperkt tot een integratie voor de eigen medewerkers. Voor gasten en externe partijen is er dan vaak nog een apart informatiesysteem. Werken metverschillende bronnen met identiteiten is inefficiënt en resulteert in beveiligingsrisico’s.
Hoe worden fysieke en digitale beveiliging geïntegreerd? En wat levert het op?
Er kunnen diverse voordelen worden behaald met het integreren van digitale en fysieke beveiliging. Deze voordelen ondersteunen een positieve business case, waarmee investeringen kunnen worden verantwoord. Een holistische integratie van digitale en fysieke beveiliging zorgt voor een verbetering van de beveiliging en een verlaging van beveiligingsrisico’s. De verlaging van deze risico’s is op verschillende aspecten te realiseren, zoals organisatie, processen en technologie.
Stuur beveiliging centraal aan met commitment van het hoogste management
De scheiding van fysieke en digitale beveiliging voorkomt in belangrijke mate de samenwerking. Een eerste stap is om de organisatieonderdelen van fysieke en digitale beveiliging bij elkaar te brengen. Dit dient te gebeuren onder leiding van een Chief Security Officer (CSO), zodat er beter kan worden samengewerkt. Door de CSO net onder het hoogste management te plaatsen, krijgen fysieke en digitale beveiliging het juiste commitment en de benodigde middelen. Dit geeft de CSO de benodigde slagkracht om daadwerkelijk integratie te realiseren.
Deel beveiligingsinformatie en werk beter samen
Als de informatie van fysieke en digitale beveiliging wordt samengebracht, wordt het makkelijker om op basis van deze informatie samen te werken. Het samenbrengen van gegevens kan worden gedaan
op basis van een geüniformeerd gegevensmodel, zoals STIX.7 Hierdoor wordt het ook makkelijker om goede beveiligingsinformatie met andere partijen te delen en te ontvangen. Een organisatie is hiermee eerder voorbereid op nieuwe aanvallen. Dat stelt organisaties in staat om tijdig maatregelen te treffen. In Nederland speelt het NCSC8 een belangrijke rol om dit soort informatie tussen partijen te delen.
Correleer beveiligingsinformatie en integreer incidentmanagement
Als de beveiligingsinformatie in een gezamenlijk model wordt ondergebracht, wordt het veel makkelijker om informatie te correleren. Bij geïntegreerd incidentmanagement kan gebruik worden gemaakt van kunstmatige intelligentie om verbanden tussen fysieke en digitale gebeurtenissen te vinden en tijdig te reageren.
In het geval bescherming niet afdoende is, is het belangrijk dat er een adequate respons plaatsvindt. Dit betreft een respons op de detectie van een (potentieel) beveiligingsincident. Zo zouden in het geval van een fysieke inbraak, preventief gegevens en/of cryptografische sleutels kunnen worden gewist van systemen wanneer deze dreigen te worden meegenomen.
Combineer fysieke en digitale beveiligingsmaatregelen
Op het gebied van bescherming en detectie kunnen gecombineerde maatregelen worden genomen. Zo is het mogelijk om voor informatiesystemen alleen toegang te geven, wanneer iemand fysiek aanwezig is. De fysieke aanwezigheid kan worden gerealiseerd door het scannen van een pas of door gezichtsherkenning. Een andere vorm van detectie kan plaatsvinden bij ongeautoriseerde toegang tot
een draadloos netwerk. Er kan dan een camera worden ingeschakeld en op een potentiële dader worden gericht. Dit vergroot de mogelijkheden om aanvallen te voorkomen en te detecteren.
Breng identiteiten samen
Goed identiteitsbeheer is een belangrijke voorwaarde voor een goede beveiliging. Zonder goed te weten wie iemand is, kun je niet goed bepalen wat iemand mag. Door identiteiten centraal bij te houden, hier goed beheer op te doen en waar nodig te synchroniseren, wordt aan een belangrijke voorwaarde voldaan.
Het integreren van verschillende processen en uitfaseren van gescheiden identiteitssystemen resulteert in een kostenbesparing en effectievere operatie. Dit stelt bedrijven in staat om de ambities die leven rondom de informatiebeveiligingsfunctie, te realiseren: het gebruik van beveiliging als drijfveer voor competitief voordeel en een effectievere en efficiëntere organisatie9.
Integreer fysieke en digitale beveiliging!
Wanneer de fysieke en digitale omgeving als twee aparte werelden worden beschouwd, lopen organisaties grote beveiligingsrisico’s. Criminelen maken van deze twee werelden gebruik om geavanceerde aanvallen uit te voeren of kiezen de zwakste schakel in één van deze twee werelden om hun doel te bereiken. Deze dreiging zal in de toekomst alleen maar toenemen. Het is daarom voor organisaties van essentieel belang om een holistische beveiligingsaanpak te kiezen, waarbij de fysieke en digitale beveiliging worden geïntegreerd!
