29 juni 2016

Lessons learned van een falend securitybeleid

Vrijwel iedere organisatie is zich ervan bewust dat cybersecurity serieus genomen moet worden. Ze willen immers de kansen op downtime, dataverlies of imagoschade minimaliseren.

De praktijk toont echter aan dat ondernemingen de nodige steken laten vallen. Wat kunnen we leren van de fouten die de Amerikaanse Transportation Security Administration (TSA) heeft gemaakt?

De in 2001 opgerichte TSA is verantwoordelijk voor de veiligheid van reizigers binnen de Verenigde Staten. Het vliegverkeer is het speerpunt: de bagage- en passagierscontroles op het vliegveld vallen onder hun verantwoordelijkheid en ook de vluchtbegeleiders aan boord van vliegtuigen dragen de TSA-badge. Hun zorgvuldige en intensieve controleprocedures moeten voorkomen dat een nieuwe '9/11' kan plaatsvinden.

In theorie, althans. De praktijk blijkt weerbarstig. Vijf jaar aan security-audits hebben zorgwekkende resultaten opgeleverd. De cybersecurity van de organisatie is allesbehalve op orde. 4 lessen voor organisaties om de security beter aan te pakken.

Les 1: Nooit meer gepatcht

Bij TSA bleken servers verouderde software te bevatten met talloze kwetsbaarheden. Een recente audit ontdekte een lek waarvoor in 1999 al een fix verschenen was. De IT-beheerders hebben het systeem mogelijk nooit van de juiste update voorzien. Een scan van het datacenter op Orlando Airport was evenmin geruststellend. Het auditteam rapporteerde maar liefst 12.281 lekken, op 71 van de 74 serversystemen.

Het bijwerken van software is een van de basisprincipes van een degelijk veiligheidsbeleid. Zelfs de duurste securitysystemen zijn na enige tijd waardeloos zonder regelmatig bijgewerkte software.

Les 2: disaster recovery

Het ontbreken van een fatsoenlijk plan voor disaster recovery baart de onderzoekers grote zorgen. Op het moment dat de STIP-servers platliggen vanwege een natuurramp of ander ernstig incident, is ook alle informatie over bagage- en passagierscontroles ontoegankelijk.

Het niet beschikbaar hebben van waardevolle data vanwege uitval, kost een organisatie veel geld. Het Ponemon Institute berekende dat het gaat om een kostenpost van gemiddeld 7.125 euro per minuut. Deze kosten worden onder andere veroorzaakt door productiviteitsverlies, en een verlies aan inkomsten doordat klanten een bestelling niet (kunnen) afronden of zelfs overstappen naar de concurrent.

Les 3: het overkomt u wel

Het onderzoeksteam kwam met 11 aanbevelingen, die allemaal zeer basale veiligheidsmaatregelen betroffen. De maatregelen zouden het gros van de securityproblemen van de recente audits en die daarvoor in één keer tackelen. De aanbevelingen varieerden van het vermijden van servers met bekende veiligheidslekken tot het verzorgen van beheermogelijkheden op afstand.


Organisaties kunnen enorme winst boeken met relatief eenvoudige securitymaatregelen. Niet alleen de TSA geeft het verkeerde voorbeeld. Onderschatting van de problematiek is een hardnekkig fenomeen. Onderzoek van TNS NIPO toont aan dat 71 procent van de Nederlandse ondernemers zich veilig waant. 'Dat overkomt mij toch niet', denkt klaarblijkelijk het overgrote deel.

Les 4: neem security onder de loep

Niet alleen de TSA, maar eigenlijk iedere organisatie moet zich continu afvragen hoe het met de IT-security is gesteld. Is er een gedegen updatebeleid? Hoe zit het met identity- en accesmanagement? Wie heeft toegang tot welke systemen en met welke rechten? Maar ook: is er een plan voor als het misgaat? Kan een uitwijklocatie voorkomen dat medewerkers lang niet productief zijn na een brand of inbraak?

Zeker met de aangescherpte meldplicht datalekken in het achterhoofd is het van groot belang dat dergelijke organisatorische kwesties goed ingedekt zijn. Want organisaties die aantoonbaar nalatig zijn geweest met hun datahuishouding, kunnen uiteindelijk forse boetes tegemoetzien.

Relatief eenvoudige basismaatregelen en een helder, gedocumenteerd beveiligingsbeleid voorkomen veel problemen. Uw organisatie, partners en klanten zullen u dankbaar zijn.


Meer over Ewout Visser

Ewout is Director Security Services bij KPN en is verantwoordelijk voor het gehele commerciële security portfolio. Hij heeft een achtergrond in strategische consultancy en meer dan 10 jaar (marketing & sales) management ervaring. Zijn missie is: het toegankelijk maken van security voor iedereen.

- Auteur: Ewout Visser

Gerelateerde artikelen