c’t rondetafelgesprek: security

Sinds er computersystemen op brede schaal beschikbaar zijn, maakt ook security een essentieel onderdeel uit van het IT-beheer, en helaas wordt dat een steeds belangrijker issue nu ransomware tot een verdienmodel van cybercriminelen is verworden. We waren benieuwd hoe IT-specialisten daar tegenaan kijken en hoe ze daar in de praktijk mee omgaan.

Uit onderzoek van ABN Amro naar cybercriminaliteit bleek dat in 2024 een op de vijf bedrijven schade daarvan heeft geleden. Bij grote bedrijven was dat bijna 30 procent. In samenwerking met Synology organiseerde c’t een rondetafelgesprek met specialisten op IT-gebied om hun ervaringen en ideeën omtrent security te delen. We nodigden ook een aantal van onze lezers die werkzaam zijn in de IT uit om deel te nemen aan dat rondetafelgesprek. Zij kwamen met zijn zevenen naar Nijmegen, om samen te spreken over security in de IT.

Deelnemers rondetafelgesprek

Gespreksleidster Lisa, zelf ook security consultant van beroep, opende het gesprek met de stelling “De publieke en educatieve sector zijn niet anders dan andere sectoren wat cybersecurity betreft”.

Hoewel de deelnemers het eens waren dat er in theorie geen verschillen zouden moeten zijn – alle sectoren zouden veilig moeten zijn, zonder compromissen – zijn die er in de praktijk wel. De gegevens die in verschillende sectoren worden gebruikt verschillen namelijk wel, en hoe daar binnen de sectoren mee omgegaan wordt is ook anders. Zo hebben de overheid en de gezondheidszorg veel striktere richtlijnen over hoe er met gegevens over burgers of patiënten moet worden omgegaan, terwijl dergelijke richtlijnen eigenlijk ook voor opleidingen en openbare sectoren zouden moeten gelden.

Ook ligt er een taak voor de overheid om hun kennis over veiligheid (denk daarbij aan de instanties zoals de belastingdienst) te delen en meer bewustzijn over veiligheid te kweken bij gebruikers.

Hogescholen en universiteiten gebruiken veel onderzoeksgegevens, maar zeker in de publieke sector gaan extreem veel gebruikersgegevens om. Als gebruiker heb je er echter geen zeggenschap over hoe die gegevens verwerkt worden.

Ook in het onderwijs gaan er veel gebruikersgegevens rond, waarin je geen keuze hebt over hoe er met die gegevens omgesprongen wordt. Daar worden bijvoorbeeld Gmail en Microsoft Office gebruikt, simpelweg omdat iedereen dat kent en er mee om weet te gaan – en omdat in het lagere en middelbare onderwijs vaak niet de kennis aanwezig is of de budgetten beschikbaar zijn om een grondigere IT-beveiliging te realiseren.

In het lagere en middelbare onderwijs gaan allerlei gevoelige privégegevens om, zoals de resultaten van toetsen, maar ook over de thuissituatie of over de (mentale) gezondheid van kinderen. Als ouders of kinderen zelf heb je geen keuze dan om die gegevens te delen met scholen.

Dat geldt tot op bepaalde hoogte ook voor hogere opleidingen, die ook veel privégegevens van studenten beheren en lange tijd moeten bewaren – zoals resultaten van examens en dergelijke. Bovendien moeten de onderzoeksgegevens die hogere opleidingsinstituten genereren ook goed beveiligd worden. Daar is in het algemeen wel meer kennis aanwezig, maar hogere opleidingen zijn ook vaker het doelwit van gerichte aanvallen, zoals onlangs op de TU Eindhoven en Maastricht University is gebeurd.

Dat het openbaar maken van die incidenten tot gezichtsverlies leidt, daar zijn de deelnemers het niet mee eens. Juist door een uitgebreid rapport te publiceren over het proces, en daarmee de oorzaken van de ransomware-aanvallen, helpen die instituten andere organisaties door hen daar bewust van te maken en daardoor de juiste voorzorgsmaatregelen te kunnen laten nemen.

“In het lagere en middelbare onderwijs zijn vaak niet de kennis aanwezig is of de budgetten beschikbaar om een grondigere IT-beveiliging te realiseren”

Interessant genoeg is er een parallel te trekken tussen de landelijke overheid en lokale overheden. Die laatste hebben vaak veel zwakker beveiligde systemen en daar zijn ook de kennis en financiën niet aanwezig.

Grote organisaties en grote commerciële bedrijven zijn voor hackers en criminelen ongetwijfeld interessanter omdat daar meer gegevens weg te halen zijn of omdat daar meer geld te halen valt. Als hackers een manier vinden om binnen te dringen, classificeren ze hoe interessant je bent. Maar we delen allemaal hetzelfde internet, dus we zijn allemaal een doelwit.

Er is echter een verschil tussen willekeurige aanvallen en doelgerichte aanvallen. Die laatste kom je met name tegen bij aanvallen op overheden – ook door buitenlandse mogendheden. Doelgerichte aanvallen worden vaker over een lange periode uitgesmeerd. Door te af te wachten wat een bedrijf of overheid in de planning heeft staan, zorgen cybercriminelen als ze eenmaal toegang hebben af en slaan ze bewust op een moment toe dat maximaal effect heeft of er zo veel mogelijk financieel gewin uit te halen is. Andere mogendheden zijn eerder geïnteresseerd in het beïnvloeden van verkiezingen of van het beleid in andere landen, om zo hun voordeel te halen.

AI is ook in de IT-security aan het doordringen, maar vanuit een veiligheidsoogpunt zijn het vooral de ontwikkelingen in de VS en president Trump die de IT-specialisten bezighouden. Het wordt steeds minder vanzelfsprekend om je gegevens veilig in de Amerikaanse clouds onder te kunnen brengen. Bedrijven zullen op dit moment niet zomaar voor een Amerikaanse cloudaanbieder kiezen, en zijn zelfs bereid om iets meer te betalen als dat betekent dat hun data in Europa wordt bewaard – mits het prijsverschil niet te groot is.

Een lastig element, los van de Amerikaanse cloud, is dat de tools waar zowel IT-beheerders als gebruikers gewend zijn mee te werken, vaak ook Amerikaans zijn, of alleen gebruikt kunnen worden in combinatie met andere diensten van dezelfde aanbieder. Denk daarbij aan Office 365 van Microsoft.

“Vanuit een veiligheidsoogpunt zijn het vooral de ontwikkelingen in de VS die de IT-specialisten bezighouden”

Daar komt dan de grote vraag bij kijken in hoeverre gebruikers bereid zijn om alternatieven voor Word, Excel, Outlook en dergelijk te gebruiken, en in hoeverre de alternatieven ook daadwerkelijk volwaardige vervangers zijn. De meningen bij ons panel zijn verdeeld: er zijn alternatieven, maar het is rampzalig voor gebruikers om met andere tools te werken dan ze gewend zijn. Hun eerste reactie is altijd behoudend om een andere werkwijze toe te passen.

Een deelnemer noemde een experiment van de gemeente München, die was overgestapt op Linux en LibreOffice, dat een jaar of vijf heeft gedaan, en toen weer naar Microsoft Office terugkeerde. Die poging ging om diverse redenen mis, maar daar vallen lessen uit te leren.

Het bedrijf van een andere deelnemer werkt volledig zonder Microsoft-producten. Vanuit een technisch perspectief is het namelijk prima mogelijk om zonder te werken, maar vanuit een gebruikers- of bedrijfsperspectief is dat vaak lastig. Door anderen werd een beetje sceptisch gereageerd of dat in alle gevallen wel haalbaar is. Wellicht dat het huidige politieke klimaat ervoor zorgt dat mensen eerder bereid zijn om naar alternatieve, Europese oplossingen te kijken.

Het zou ook helpen als enkele organisaties naar opensourceprojecten gaan kijken en als koplopers de weg banen voor andere bedrijven om te volgen. Het verschil tussen Europa en de Verenigde staten is altijd geweest dat er meer kapitaal is in de VS, en dat bedrijven risico’s durven te nemen, terwijl we in Europa eerder terughoudend zijn. Nu het klimaat in de VS verandert, is er de mogelijkheid dat er meer kapitaal naar de EU komt. Ook is de kans dan groter dat de mensen met kennis en visie zich naar Europa keren.

Je gegevens veilig houden is in zekere zin een paradoxaal proces: je wilt ervoor zorgen dat je gegevens veilig op één plek blijven, maar digitale gegevens zijn juist ontworpen ze om snel te kunnen verplaatsen en te kunnen kopiëren. Je moet eigenlijk een ‘zero trust’-houding hebben en er vanuit gaan dat er vroeg of laat een beveiligingslek optreedt. Dat komt met name omdat je menselijk handelen niet kunt voorspellen, en de eindgebruiker niet volledig kunt beheersen.

Je moet gegevens zo veilig mogelijk houden door data te laten versleutelen met technieken zoals zero-knowledge encryptie, een ‘sleutelloze’ benadering, zodat zelfs als de server van een serviceprovider wordt gecompromitteerd, niemand toegang kan krijgen tot de versleutelde gegevens zonder de sleutel van de gebruiker. Die techniek vereist momenteel nog grote rekenkracht, maar betekent wel dat ongeacht waar de gegevens opgeslagen zijn – wat dan ook op een plek kan zijn waar je niet de volledige controle over hebt – ze altijd versleuteld blijven.

Daarnaast moet je uitgaan van een ‘privacy first’-beleid en je afvragen waarom bepaalde gegevens over iemand nodig zijn. Dat kunnen zowel persoonlijke informatie zijn als bedrijfsgegevens: waarom hebben we die gegevens, waarom hebben we die nodig en waarom zou je ze moeten delen? Vaak worden er allerlei gegevens aan een account gekoppeld, terwijl dat helemaal niet nodig is, en daardoor ook potentieel veel gegevens in één keer vervreemd zouden kunnen worden.

“We delen allemaal hetzelfde internet, dus we zijn allemaal een doelwit”

Wat is dan de best-practice om gegevens op te slaan, te beveiligen en ze van a naar b te transporteren? De technologie om gegevens veilig te houden is er en is in principe veilig, maar het probleem blijft hoe (eind)gebruikers er mee omgaan. De meeste eindgebruikers zijn namelijk niet technisch onderlegd en als je de wachtwoordeneisen te complex maakt, haken ze af.

Gebruikers zijn gewend aan gemak en veel diensten eisen niet een bepaalde vorm van tweefactor-authenticatie. Het is dus wel essentieel om gebruikers te blijven trainen in beveiliging.

Als een bedrijf is getroffen door een ransomware-aanval, wordt de back-upsituatie op de proef gesteld. Hoewel praktisch alle organisaties inzien dat back-ups een vereiste zijn, blijken de back-ups in veel gevallen niet adequaat te zijn, en is de organisatie goedkoper uit om het losgeld te betalen dan om de back-up te herstellen.

Dat kan verschillende oorzaken hebben: een bedrijf heeft wel back-ups, maar die zijn gebaseerd op een oude situatie en zijn niet meegegroeid met het bedrijf. Of er is alleen focus op dataherstel en niet ransomwareherstel, en ook een transitie van vijf dagen in de week naar 24/7-dienstverlening kan druk zetten op de back-upsituatie.

Voor MKB-bedrijven is het probleem vaak dat de back-upsoftware duur is of dat je per terabyte opslag betaalt, waardoor een goede back-up er bij inschiet. NAS- of serveroplossingen zoals die van Synology kunnen voor MKB een oplossing bieden, want alle apparaten hebben dezelfde softwaremogelijkheden, alleen de hardware verschilt.

In het verleden was een back-up vooral gericht op het herstellen van data, inmiddels gaat het om veiligheid en weerbaarheid, ook om de duur van het terugzetten van een back-up en de kosten daarvan. Voor bedrijven is het essentieel om een back-upstrategie te hebben waar met die elementen rekening wordt gehouden.

De deelnemers waren het er sowieso over eens dat alles geback-upt moet worden. Maar even essentieel is om die back-ups ook te testen – niet alleen om te kijken of het werkt, maar ook om voorbereid te zijn op een situatie waarbij je opeens geen toegang meer hebt tot de bestanden die je in de Amerikaanse cloud hebt opgeslagen. Daarom moet je erop voorbereid zijn om andere, alternatieve tools te moeten gebruiken – bijvoorbeeld geen Azure.

Een oplossing kan dan zijn om niet te kijken naar de infrastructuur, want daar zijn genoeg alternatieven voor beschikbaar. Het is essentieel om nog toegang tot de data in je accounts en de bijbehorende wachtwoorden te hebben. Als je daarvoor volledig afhankelijk bent van een aanbieder, die zelf besluit of wordt gedwongen je de toegang te ontnemen, dan kun je opeens geen kant meer op.

Daarvoor moet je back-ups hebben van je data in een vorm die niet afhankelijk is van een specifieke tool of set van tools. Je kunt de dingen zo inrichten dat het gebruik van Office 365 mogelijk blijft, wat handig is omdat iedereen daarmee weet om te gaan. Tegelijk kun je ook kijken of je niet een andere e-mailprovider kunt gebruiken – die dan wellicht wat minder fancy features biedt, maar voor het meeste gebruik in ieder geval voldoende.

Het panel verschilde in mening over hoe eenvoudig of complex dat te doen is. Het zelf beheren van een e-mailserver kan een complexe klus zijn, en niet ieder bedrijf heeft de kennis in huis om dat te doen.

Vaak is er bij een back-upstrategie ook niet voldoende retentieduur ingecalculeerd, of is er niet getest, of niet goed getest, waardoor blijkt dat de back-ups mislukt zijn. Het probleem kan dan zijn dat de ransomware ook al in de back-ups zit, waardoor het hele restore-proces lamgelegd wordt.

Het is in alle gevallen belangrijk om de back-ups en het herstel te testen. Daarbij kan ook worden gewerkt met het herstellen van systemen in een volledige tweede omgeving, wat het voordeel biedt dat je de back-ups test, weet hoelang het duurt om je systemen te herstellen, zorgt dat de kennis voor het herstel er is, en dat je dat vaker kunt uitvoeren zonder de werkzaamheden te verstoren. Aan de hand van zo’n test kun je bovendien je back-upstrategie aanpassen als blijkt dat er iets tekortschiet.

Back-ups moeten ten minste twee keer per jaar getest worden, maar wordt in de praktijk te weinig gedaan. Of de back-ups van systemen worden afzonderlijk getest, maar niet allemaal – terwijl bij een ransomwareaanval vaak alle systemen getroffen worden. Dan moet je eigenlijk alle systemen in één keer kunnen herstellen. Omdat dat echter niet wordt getest, of omdat het budget dat niet toelaat, blijkt soms dat het herstel van alle systemen weken tot wel maanden zou kunnen duren, waardoor het betalen van het losgeld uiteindelijk goedkoper is.

Bekend bij back-ups is de 3-2-1-regel: 3 kopieën van je data, op 2 verschillende media, waarvan 1 offsite. Die regel wordt voor zeer gevoelige data inmiddels uitgebreid met nog 1 extra kopie die offline of airgapped is, en er nog een immutable, read-only 0-error-kopie is, die gegarandeerd geen fouten bevat.

Een ander aspect waar rekening mee gehouden moet worden, is dat een back-up lang kan duren. Daarom doen veel bedrijven dat ’s avonds of in het weekend, wanneer er meer bandbreedte beschikbaar is. Dat betekent wel dat de back-upserver draait op momenten dat cybercriminelen het liefst toeslaan, omdat er dan geen of minder personeel is die de systemen in de gaten houden.

Het is daarom zaak om een back-up zo efficiënt mogelijk te laten verlopen, bijvoorbeeld via global source deduplication. Daarbij worden alle gegevens op verschillende locaties vergeleken om dubbele blokken te identificeren en te verwijderen, zodat er maar één kopie van elk uniek gegevensblok opgeslagen wordt. Dat resulteert in een efficiëntere opslag. Op die manier kan een back-up ook gedurende werktijden worden uitgevoerd en de back-upserver worden uitgeschakeld buiten werktijden.

Het is sowieso essentieel om een idee te hebben hoeveel data je eigenlijk genereert en dus moet back-uppen. Want als je zoveel data genereert dat het een weekend duurt om de nieuwe gegevens van een week te back-uppen, dan geeft dat alleen al een indicatie van hoelang een volledige restore van alle gegevens kan gaan duren.

Bij een restore is het ook de vraag hoelang een aanvaller al op het systeem is geweest, dus hoe ver je terug moet gaan om een niet-geïnfecteerde restore te hebben. Een oplossing is dat je alleen de gegevens herstelt, niet de servers, en dat je die servers helemaal opnieuw inricht – bijvoorbeeld uit docker-images. Dan hoeft alleen de ruwe data uit de databases te worden hersteld vanuit de back-ups – nadat je hebt gecontroleerd dat die data geen malware bevat uiteraard.

Het is ook zaak om controleprotocollen te gebruiken om verdachte activiteit op te sporen. Als er bijvoorbeeld een gebruikersaccount is dat ongebruikelijk veel activiteit genereert, kan dat een indicatie zijn dat het account gecompromitteerd is. Dat kun je ook zien in incrementele back-ups: als die opeens groter zijn dan normaal, kan dat ook een indicatie zijn van dat iets geïnfecteerd is.

Maar je moet ook weten waar je naar moet kijken, en daar gaat het vaak ook mis. Vaak zijn er al indicaties dat er iets niet klopt, maar is het de vraag wat. Een analyse neemt altijd tijd in beslag, je kunt niet zomaar alles uitschakelen zodra er iets uitzonderlijks gebeurd.

Het herstellen van een omgeving is uiteindelijk vooral tijdsintensief vanwege het opbouwen van systemen, het uitdelen van nieuwe wachtwoorden, het instellen van multifactor-authenticatie, het uitvoeren van netwerkcontrole en het communiceren met alle gebruikers en dergelijke. Ook is het raadzaam om regelmatig penetratietests uit te voeren.

De kwetsbaarheid van een bedrijf kan worden gereduceerd door bewustzijn bij gebruikers te kweken. Daarbij is het van belang om met name kleine stukjes informatie te delen – niet alles tegelijk, want dat zorgt ervoor dat gebruikers overrompeld raken. Ook moet je het blijven herhalen, om het bewustzijnsniveau vast te houden.

Ook moet je het zo makkelijk mogelijk maken. Zo hoef je 2FA niet uit te leggen, maar kun je ze een Fido2 usb-stick geven waarmee ze inloggen en uitleggen hoe ze die moeten gebruiken. En best-practises blijven herhalen, zorgen dat ze verschillende wachtwoorden en wachtwoordbeheerders voor sites gebruiken. Je moet het vooral makkelijker maken voor gebruikers en ze veiligheid leren.

Het is handig om in beeld te krijgen wat gebruikers moeten weten over cybersecurity, en samen kijken naar wat belangrijk is voor hun werk. Je kunt dat doen door ze in eerste instantie maar een beperkt aantal tools aan te bieden. Als ze dan tegen problemen aanlopen, kun je bespreken waarom ze bepaalde dingen willen doen, en kijken wat daar de beste oplossing voor is.

“De kwetsbaarheid van een bedrijf kan worden gereduceerd door bewustzijn bij gebruikers te kweken”

Op die manier creëer je niet alleen bewustzijn over security bij gebruikers, maar wordt je ook als beheerder bewust van hun wensen. Dan kunnen je samen oplossingen bedenken, in plaats van een eenrichtingsverkeer-situatie, waarbij de beheerder bepaalt wat gebruikers mogen of niet. Anders krijg je wellicht dwingende managers aan je bureau met de eis om bepaalde tools te gebruiken.

De deelnemers zien wat dat betreft ook een goede ontwikkeling in de NIS2-richtlijn waar bedrijven zich aan moeten houden. Die richtlijn geeft IT-beheerders indirect ook meer zeggenschap over wat kan en wat niet, en wat er moet gebeuren om niet in juridische problemen te raken.

Het is ook zaak om kinderen al te leren om veilig om te gaan met accounts en wachtwoorden, en een wachtwoordbeheerder te gebruiken. Dat zou eigenlijk ook op school onderwezen moeten worden.

Je moet de angst en onwetendheid weghalen bij phishingmail. Via platforms zoals Hoxhunt, dat via gamingfication je van cyberrisico’s bewust maakt, kunnen gebruikers op ludieke wijze toch goed bewust gemaakt worden van allerlei risico’s. Uiteindelijk is er maar zoveel dat je kunt doen, je kunt niet op alles anticiperen. Effectief opleiden is het belangrijkste.

Een algehele conclusie lijkt te zijn dat security een kwestie is van enerzijds ervoor zorgen dat je je back-upsysteem op orde hebt en anderzijds dat je gebruikers weten wat ze doen.

Dat eerste is een kwestie van een goede back-upstrategie, een verplichte test van het kunnen terugzetten van de gegevens bij een eventuele malware- of ransomaanval en een consistente uitvoer. Je moet zeker weten dat er geen problemen kunnen ontstaan door het uitvallen van (back-up)hardware.

Het opvoeden van gebruikers is een tweede aandachtspunt. Dat is een continu proces dat nooit stopt. Toch lijkt het een kwestie van tijd voordat een gebruiker even onopmerkzaam is en toch op een phishingmail of iets dergelijks klikt. Dat haal je met bewustwording nooit helemaal weg.

Daardoor is het goed te beseffen dat security zo sterk is als de zwakste schakel.

Dit rondetafelgesprek is mede mogelijk gemaakt door Synology. In het kader van hun nieuwe productlijn Active Protect wilden zij graag weten wat er bij de IT-professionals leeft als zorgen of aandachtspunten op het gebied van security.

Active Protect is een schaalbare back-upoplossing die de back-ups en het herstel van voor bedrijven relevante bestanden centraal regelt. Dat kan gaan over laptops van medewerkers tot en met bedrijfsservers. Eenmaal ingesteld hoeven de systeembeheerders en de gebruikers daar verder niet naar om te kijken – tot er ergens een securityprobleem optreedt en een back-up hard en snel nodig is.