Risico en de praktijk
Op 6 augustus 2018 werd de Taiwanese Chipleverancier TSMC gedwongen de productie stil te leggen door de uitbraak van een computervirus. TSMC, de grootste chipmaker ter wereld, bleek getroffen te zijn door het beruchte Wannacry virus, die naar schatting 10.000 machines had geïnfecteerd. Door het incident werd de productie voor drie dagen stilgelegd. De geschatte kosten hiervan bedroegen €150 miljoen euro, nog afgezien van de bijzonder negatieve impact op de reputatie van de fabrikant. Door dit incident liep Apple, de grootste klant van TSMC, vertraging op in de uitlevering van de nieuwe iPhone.
Spoken uit het verleden
WannaCry vond plaats in 2017, dus hoe is het mogelijk dat TSMC dan toch slachtoffer werd van een virus dat al een jaar bekend was?
Het blijkt dat TSMC duizenden machines actief had die functioneerden op een niet-geüpdatete Windows 7 distributie. In de kern had het bedrijf de risico’s van het niet updaten van kritieke systemen onderschat. Door elementaire maatregelen te nemen, zoals de systemen tijdig te updaten, had de situatie met relatief weinig moeite voorkomen kunnen worden.
Wat is het onderliggende probleem?
Het is gebruikelijk dat hackers op zoek gaan naar kwetsbaarheden in het systeem, wanneer software niet meer ondersteund wordt. Deze aanwezige zwakke plekken zijn nooit gedicht voordat de ondersteuning van het systeem stopt. Hiernaast worden oude kwetsbaarheden van systemen zoals gebruikelijk in detail gepubliceerd nadat ze onderzocht zijn door security experts. Hiermee ontstaat in de praktijk een handleiding die hackers kunnen gebruiken om deze kwetsbaarheden te misbruiken. Vooral in complexe IT-infrastructuren (zoals in de financiële sector) komt het veelvuldig voor dat oude legacy-systemen verbonden zijn met nieuwe producten. Dit heeft tot gevolg dat kwetsbaarheden in oudere systemen als achterdeur gebruikt kunnen worden om toegang te verkrijgen tot het gehele systeem. Het logische gevolg is bovendien dat mogelijkheden voor innovatie beperkt worden door de risico’s van de oudere, gekoppelde systemen.
Legacy in context
Een sprekend voorbeeld luidt als volgt: Microsoft raadde haar eigen klanten het gebruik van Internet Explorer (IE) af. Ja dat klopt, Microsoft zelf waarschuwde tegen het gebruik van een eigen product.1 Hoewel Internet Explorer nog wel met patches wordt ondersteund voor Enterprise omgevingen, is het in de kern een end-of-life product dat alleen nog wordt onderhouden door vele organisaties die oude applicaties, directories en technologieën actief hebben die afhankelijk zijn van IE. Microsoft stelde verder in de blogpost dat IE werd ontwikkeld met nadruk op ‘compatibility’ en gebruiksvriendelijkheid in een tijd dat security een kleine rol speelde in softwareontwikkeling. Hierdoor heeft IE features die het voor hackers mogelijk maakt om toegang te krijgen tot het gehele besturingssysteem. Bovendien is IE zodanig verouderd dat softwareontwikkelaars niet meer testen voor het IE platform en hun aandacht richten op meer moderne browsers. Als de focus dus is gericht op het optimaliseren van bestaande systemen, kan dit beperkingen opleveren voor het gebruik van nieuwe applicaties en wordt het in toenemende mate moeilijker om mee te innoveren.
“Als de focus dus is gericht op het optimaliseren van bestaande systemen, kan dit beperkingen opleveren voor het gebruik van nieuwe applicaties en wordt het in toenemende mate moeilijker om mee te innoveren”. Frank Laan, Business Securitymanager bij Capgemini
Helaas blijkt dat veel organisaties in Nederland soortgelijke problematiek ondervinden. Voorbeelden zijn Nederlandse banken die IBM AS/400 servers hebben draaien uit 1988, Nederlandse overheden die nog steeds Windows XP-systemen gebruiken en bedrijven die verouderde code gebruiken. Deze voorbeelden tonen aan dat veel organisaties moeite hebben met het overwinnen van legacy-obstakels. Naast eerdergenoemde obstakels, zijn er aanvullende risico’s gerelateerd aan verouderde IT-infrastructuur, zoals het uitvallen van diensten, vertragingen, incompatibiliteit en een hoger risico op data-lekken. Mede hierdoor kunnen verouderde IT-systemen het voor organisaties onmogelijk maken om te voldoen aan wetgeving en daarmee hoge boetes riskeren. Hoe kan dit worden opgelost? Het is praktisch onmogelijk om te innoveren en het vernieuwen van legacy IT-systemen gelijktijdig op te lossen. Dus, wat is er dan wel mogelijk?
Overwinnen van de legacy-berg
Of het doel nu een uitgebreide vernieuwing van gedateerde systemen is of het controleren van risico’s, de eerst stap is altijd een risicoanalyse. Dit geldt met name voor organisaties die zowel hun gedateerde systemen als lopende innovatieprojecten willen blijven voortzetten. Het is van groot belang dat organisaties zich bewust zijn van de risico’s die gedateerde systemen met zich meebrengen om de nieuwe systemen voldoende te kunnen beschermen.
Om de risico’s van gedateerde systemen en verslechterde veiligheidsstandaarden in Nederland te adresseren, heeft de overheid een aantal beleidsdocumenten ontwikkeld voor informatiebeveiliging: de baseline Informatiebeveiliging Rijksdienst (BIR). Deze is gebaseerd op de wereldwijd bekende ISO27001:2013- en ISO27002:2013-standaarden voor Informatiebeveiliging en is in mei 2018 verplicht geworden voor alle overheidsinstellingen.2
Het blijkt echter dat verschillende overheidsorganisaties onvoldoende opgewassen zijn tegen de enorme risico’s van oude IT-systemen, en bovendien weten ze minder goed hoe ze moeten beginnen met de implementatie van de richtlijn. Overheidsinstellingen hebben in het verleden moeite gehad met de prioritering van de IT-systemen, en tevens met de vraag hoe de IT legacy te verbeteren. Een Quick Scan gebaseerd op de richtlijnen gesteld in de BIR20173, helpt mogelijke beginpunten identificeren.
Hoe werkt het proces?
De basislijn BIR2017 is gebaseerd op drie basisprincipes van informatiebeveiliging: integriteit, beschikbaarheid en vertrouwelijkheid. Deze fundamentele principes dienen geborgd te worden en het niveau hiervan is afhankelijk van de context. De BIR2017 bevat een uitgebreide lijst met vragen om de risico’s te categoriseren gebaseerd op de kans dat deze risico’s daadwerkelijk uitmonden in een gevaar. Hierna kunnen risico’s als acceptabel bestempeld worden of, wanneer dit niet het geval is, beoordeeld worden om een beeld te krijgen van welke maatregelen nodig zijn om de risico’s alsnog acceptabel te krijgen. Door de BIR2017-vragen toe te passen, met de Legacy IT-systemen in het achterhoofd, kunnen nieuwe risico’s geïdentificeerd worden.
Snel controleren, risico’s minimaliseren
Organisaties die een risico-assessment uitvoeren hebben meer controle op hun gebruikte gedateerde IT-landschappen, doordat zij een overzicht creëren van ‘waaraan te beginnen’. Dit biedt een nieuw perspectief op het maken van beslissingen omtrent innovatie. Hierdoor ligt de focus minder op het realiseren van verandering X door innovatie Y, maar meer op: wat wordt de impact door het implementeren van innovatie Y op de rest van mijn applicatielandschap?
Frank Laan, Business Securitymanager bij Capgemini, is het eens met bovenstaande stelling. Hij is van mening dat een risico-assessment van de bestaande infrastructuur volgens gemeenschappelijke afgesproken minimale standaarden kan leiden tot een soepele en effectieve samenwerking tussen partners en dienstverleners binnen een project.
Nadat het assessment is uitgevoerd, is het belangrijk om de bevindingen in zogenoemde ‘Engagement Assurance’ plannen te documenteren. Dit is dé manier om de scope, verantwoordelijkheden en verwachtingen voor alle betrokken partijen duidelijk te definiëren. Tevens helpt het om potentiële risico’s vroegtijdig te identificeren en zo teleurstellingen in de toekomst te voorkomen. Hierbij hoort regelmatig overleg met de verschillende stakeholders. In dit overleg worden de ‘grijze gebieden’ benoemd, gedefinieerd en toegewezen aan de verschillende betrokken partijen, inclusief de daarbij horende verantwoordelijkheden.
Vooral in grote projecten voor digitale transformatie en innovatie zijn onbekende risico’s binnen de bestaande infrastructuur een grote belemmering. Kwetsbaarheden kunnen een domino-effect veroorzaken, doordat de gedateerde systemen vaak zijn gekoppeld aan de “nieuwe” systemen. Vanwege de complexiteit die hierbij komt kijken is het een uitdaging om inzicht te hebben op potentiële risico’s binnen iedere applicatie. “Er is een breed scala aan geautomatiseerde systemen die klanten kunnen ondersteunen bij het nog effectiever identificeren van kwetsbaarheden binnen de technische applicaties en hierbij de mogelijke veiligheidsrisico’s beter kunnen beheersen”, aldus Laan.
Gebrekkig inzicht & managementaandacht
Ondanks dat systemen kunnen helpen bij het versimpelen van risico-assessments, is het onderliggende probleem hardnekkiger: een gebrek aan kennis van en aandacht voor security. “Helaas hebben veel organisaties een lage mate van volwassenheid op het gebied van security, voortkomend uit het gebrek aan kennis en aandacht op senior managementniveau”, zegt Matthijs Greep, securitymanager bij Capgemini. “Dit is gedeeltelijk te wijten aan de orde van de dag, waarbij de nadruk kan liggen op korte-termijnoplossingen. Wat de uitdaging nog groter maakt is het feit dat security-verbeteringen vaak niet direct zichtbaar of meetbaar zijn, waardoor investeringen onaantrekkelijk lijken. Als resultaat hiervan worden CISO’s vaak als belemmering gezien vanuit het oogpunt van het senior management en de business.
CISO’s worden in het algemeen nog steeds beschouwd als onderdeel van de IT-afdeling in plaats van de gehele bedrijfsvoering, wat resulteert in minder invloed en draagvlak voor informatiebeveiliging. Mede hierdoor ervaren organisaties een enorme uitdaging met het identificeren en reduceren van risico’s binnen de bestaande IT-infrastructuur. Een aanpassing in de bedrijfscultuur is noodzakelijk om een verandering in de rol van de CISO te bewerkstelligen en de bijbehorende verantwoordelijkheden te laten aansluiten bij de dagelijkse ontwikkelingen.4 De alsmaar groter wordende rol van IT stelt eigenlijk verplicht dat informatiebeveiliging moet worden meegenomen in alle belangrijke bedrijfsbeslissingen.
Dit gebrek aan kennis kan verbeteren door externe expertise in te zetten om de grootste risico’s snel te identificeren. Van hieruit is een geleidelijke verandering in de bedrijfscultuur nodig om van een incident-gerichte aanpak te gaan naar een situatie waarbij de organisatie de controle heeft over de risico’s.
Conclusie
Grip krijgen op gedateerde systemen is zeker geen onmogelijke taak. De BIR is een prima fundering waarmee risico’s en verbeteringen met betrekking tot informatiebeveiliging binnen gedateerde en nieuwe IT-oplossingen kunnen worden geïdentificeerd. Een Quick Scan, gebaseerd op de BIR-standaarden is een goed startpunt voor het identificeren van (ernstige) kwetsbaarheden.
We verwachten dat cyberaanvallen zoals Wannacry zullen blijven voorkomen, tenzij publieke en private organisaties de aanpak van hun legacy-IT serieus nemen. Naast het gebruiken van hacking tools bij het zoeken naar bekende kwetsbaarheden in software is een meer pro-actieve aanpak ook vereist. Als wij, in de rol van beschermers tegen cyberaanvallen, cybercriminelen willen bijbenen, dan dient geïnvesteerd te worden in slimme, geautomatiseerde ‘testing-tools’ om zo de kwetsbaarheden te vinden en deze tijdig te dichten voordat de aanvallers ze vinden.
Uiteindelijk vereisen langdurige en impactvolle veranderingen een andere kijk op de bedrijfscultuur. Het is niet meer realistisch om cybersecurity te beschouwen als het domein van de IT-afdeling. Alleen organisaties die inzien dat cybersecurity verweven is in elk deel van een bedrijf en de CISO meer gezag geven binnen het management, kunnen op de lange termijn deze risico’s het hoofd bieden.
Hiernaast dienen organisaties meer bewustzijn te kweken omtrent vernieuwende vormen van cybercrime om een hogere mate van beveiliging te realiseren. Dit kan alleen worden gerealiseerd door draagvlak vanuit management (en hiermee concrete toezeggingen) te creëren om zo de kennis en aandacht voor beveiliging te verbeteren binnen de gehele organisatie. Samenwerking met vertrouwde experts kan hierbij helpen. Elke organisatie die bezig is met innovatie zou zichzelf moeten afvragen of genoeg aandacht wordt besteed aan de bestaande infrastructuur en of ze zich bewust is van de mogelijke risico’s van legacy IT-systemen. In plaats van muren te bouwen om gedateerde systemen, zouden we aan de voorkant hiervan een ‘poortwachter’ moeten plaatsen die zorgt voor risico-identificatie en compatibiliteit met innovatie.
