Blog - Sinterklaas, verlanglijstjes en de security threat heatmap

Door Robert Metsemakers 16 apr 2021

In een verzonnen vergadering bespreken de deelnemers het gebruik van een heatmap met daarin een groot aantal security threats.

De roetveegpieten roezemoesten tijdens het wachten op de nieuwe Sinterklaas. In zijn eerste 100dagen als directeur IT kwam hij één keer per afdeling naar het werkoverleg. Op dag 90 was de security-afdeling aan de beurt. Sinterklaas kwam binnen en zei: “Ik heb geen geschiedenis gestudeerd en ben ook niet van plan er nu mee te beginnen.” Volgens Linkedin had hij wel Nederlands Recht gestudeerd en qua belangstelling en achtergrond leek hij meer gericht op verantwoordelijkheden en aansprakelijkheden dan op fijnmazige technische analyse. Nadenk-piet had een presentatie voorbereid met een analyse hoe de huidige probleemsituatie qua security ontstaan was. Dat stuk kon hij overslaan. De vergadertafel was vol. Een aantal pieten stond. Logging-piet zat op een archiefkast. “Nee, er zijn niet te weinig stoelen…” zei Sint dreigend. De toon was gezet toen hij onthulde dat je elke euro maar één keer kunt uitgeven. Meerdere pieten zagen hun ‘management bullshit bingokaart’ vollopen. Weldra zou de winnaar bekend zijn!

Nadenk-piet toonde een heatmap op het grote scherm. In het groen-oranje-rood gekleurde kwadrantenschema stonden 17 threats als genummerde bolletjes. “Wat is dat?,” vroeg Sinterklaas. “Dat is de heatmap die we van u moesten overnemen van de Risk-afdeling, zodat de rapportages van onze afdelingen meer op elkaar zouden lijken,” riposteerde Nadenk-piet eerlijk, maar onhandig. Sint wuifde korzelig, ga door, met zijn hand. “We letten als security op beschikbaarheid, integriteit en vertrouwelijkheid en hebben voor alle drie theoretisch mogelijke bedreigingen gevonden. Die zijn aangevuld met hier opgetreden security incidenten die nog eens kunnen
gebeuren. We overleggen regelmatig met branchegenoten over hun security incidenten. Daar hebben we er ook een paar van opgenomen. Het jaarlijkse dreigingsbeeld van NCSC heeft tevens aandacht voor internationale dreigingen. Eentje hebben we overgenomen. Van alle dreigingen heeft een expertgroep geschat wat de kans van een impact bij optreden is. Eerst bruto, dus als we niks zouden doen aan maatregelen. Veel dreigingen zijn extern en de kans hangt af van de intentie van de aanvaller. Daarna hebben we alle getroffen maatregelen opgeschreven en per stuk uitgebreid besproken of ze preventief, detectief of correctief zijn en tegen welke dreigingen ze werken. Daarmee zijn de netto kans en impact bepaald, die daarna zijn ingetekend op de heatmap. Rechtsboven staan de dreigingen die, na het nemen van alle maatregelen tot nu toe, nog steeds vaak kunnen gebeuren en dan een grote impact of schade zullen veroorzaken.” Nadenk-piet zweeg. “Mooi verhaal, al is het mij wat te academisch. Ik hoef security dus alleen geld te geven voor de bolletjes rechtsboven?,” vroeg Sinterklaas.

“Je hebt het niet begrepen” zei Nadenk-piet. Per definitie kan immers geen van de opstellers in de toekomst kijken: er zullen dus dreigingen vergeten zijn. Ook kunnen er dreigingen overbodig op de lijst staan omdat ze uiteindelijk slechts eens per 100 jaar optreden. Kans en impact zijn gebaseerd op subjectieve inschattingen. Weliswaar door deskundige experts, maar via een discussieproces tot een gezamenlijk compromis gebracht. De lijst met maatregelen kan incompleet zijn. Het effect van maatregelen kan te optimistisch ingeschat zijn, zodat de netto kans of impact te laag is berekend. Het benodigde budget is bovendien niet voor de afdeling security. Juist andere afdelingen moeten aan het werk, investeringen doen en eerder afgesproken acties eindelijk eens (volledig) uitvoeren. Dit dacht Nadenk-piet, maar hij zei het volgende: “Het gaat over kansen. We schatten in dat deze threat hier linksboven slechts eens per jaar op zal treden. Maar dat kan wel morgen al zijn. En de threats rechtsonder zullen niet veel impact hebben, denken we, maar dat geldt alleen als alle genomen maatregelen op hetzelfde niveau blijven werken. En deze dreigingen treden zo vaak op dat alle individuele schades bij elkaar toch een behoorlijke impact hebben.” Sinterklaas zei dat hij verdorie Sinterklaas niet was. Daar keek men van op: dit stond niet op de bingokaart. Meteen ging hij toch in op verlanglijstjes. Kinderen stelden hem ieder jaar idiote vragen en hij gaf altijd alleen de eerste drie of vijf gevraagde cadeaus van het lijstje. Waarom kon dit bij security ook niet gewoon zo?

Nadenk-piet durfde niet meer te zeggen dat ook de threats met lage netto kans en impact linksonder niet compleet verwaarloosd konden worden. Bleek om de neus ging hij zitten. Geld-piet kwam hem te hulp. “Het is zoals kosten van schoolgaande kinderen. Die moeten eten, geld voor melk of thee op school, kleding, een fiets, schoolgeld, schoolboeken en een smartphone voor roosterwijzigingen via WhatsApp. Een hele waslijst, maar je kunt niet één van die zaken weglaten. En zelfs als je ze een extra mooie telefoon geeft, hebben ze toch nog een fiets nodig.” Nadenk-piet knikte. Door implementeren van securitymaatregelen veranderen bruto-netto berekeningen en verschuiven de plaatsen van de dreigingen op de heatmap en daarmee de onderlinge prioriteit. Hij vermande zich, stond op en sprak: “We moeten die hele heatmap wegdoen bij security. Het is een aardige grafiektechniek om een uitputtende lijst met de risico’s van door externe auditors vastgestelde issues op te plotten. Maar het is ongeschikt om te kiezen aan welke security threats je de komende periode helemaal niets gaat doen.” Terwijl hij de frisse buitenlucht in liep, dacht hij aan het citaat van Douglas W. Hubbard: "What's worse than doing nothing about risk management would be an organization luring itself into a false sense of security - and wasting resources - by using soft scoring or unproven methods and believing in them."

Bron: Douglas W. Hubbard, http://www.hubbardresearch.com/wpcontent/uploads/2019/06/Broken-Risk-Management-Guide-Hubbard-Decision-Research.pdf

Robert Metsemakers



Robert Metsemakers schrijft op persoonlijke titel en is als ervaren IT-auditor en informatiebeveiligingsexpert beschikbaar voor security-advies en (algemene) schrijfopdrachten via robert.metsemakers@gmail.com

Dit blog verscheen in IB2-2021.