Het derde lustrum in een bewogen vakgebied

In 2007 ontstond het PvIB. Niet uit het niets, maar uit bestaande professionele organisaties Genootschap van Informatiebeveiliging (GvIB) en Platform Informatiebeveiliging (PI) die de krachten gingen bundelen. Als ik nu terugkijk op de veranderingen in het vakgebied die de afgelopen vijtien jaar op ons afgekomen zijn, zie je dat er in die periode veel veranderd is. Eerder waren we gericht op het definiëren van standaarden voor het vakgebied zelf en het bijhouden van de ontwikkelingen in de cryptografie, nu zijn we veel meer bezig met de ontwikkelingen in het veld. Nieuwe actoren en aanvalsmethoden en bakken met kwetsbaarheden die door hen gebruikt worden.

De oprichting van het PvIB viel bijna samen met de introductie van de iPhone en de eerste Android smartphones. Dit was een cruciaal moment voor software-architectuur: naast de thin client en de fat client hadden we ineens de client app op een smartphone. Drie jaar later volgde de iPad, de tablet-versie van het slimme apparaat. ‘Building security in’ kreeg nieuwe mogelijkheden. Het smartphoneplatform werd in rap tempo veiliger. De platforms kregen een secure element en biometrische authenticatie - Touch ID in 2012 en Face ID in 2017, mooi uitgelijnd met de lustrumovergangen… Bankierenapps konden veiliger gemaakt worden dan internetbankieren in een browser. En dit was ook hard nodig, gezien andere ontwikkelingen. Complexe cyberaanvallen in opdracht van overheden waren in opkomst. In 2006 werd de term ‘Advanced Persistent Threat’ voor het eerst gehanteerd. Inmiddels zijn er zo’n veertig APT-groepen geïdentificeerd. Ze werden ook bekend onder koosnamen zoals Fancy Bear en Cozy Bear. Stuxnet werd in 2010 ontdekt, maar was waarschijnlijk al veel langer operatief. En we hadden de grote klokkenluiders: Chelsea Manning in 2010, Edward Snowden in 2013, Reality Winner in 2017. In 2008 werd Wikileaks opgezet, tussen 2012 en 2019 verbleef oprichter Julian Assange in de ambassade van Equador in London, waar hij asiel kreeg. Malware maakte de overstap van kwajongensstreken naar georganiseerde criminaliteit. Conficker en Bredolab (2009) waren botnets die door georganiseerde bendes opgezet, beheerd en verkocht werden. Verdere ontwikkelingen introduceerden het concept ransomware: Cryptolocker- GameOver, Petya, Wannacry, NotPetya. Grote kwetsbaarheden werden gevonden: Heartbleed, Rowhammer, Eternal Blue. Meltdown en Spectre leken ook heel serieuze bedreigingen te zijn, maar tot nu toe bleven die gelukkig beperkt. Veel wachtwoorden en andere vertrouwelijke informatie werd gelekt, onder andere van TJ Maxx, SONY, LinkedIn, Target, Equifax en Yahoo! zelfs meerdere malen. Diginotar werd in 2011 misbruikt om malafide certificaten aan te maken en viel om. In 2015 werd de Oekraïense elektriciteitsvoorziening verstoord, in 2021 kwam de Colonial Pipeline hack groot in het wereldnieuws. Met deze gigantische lekken van collecties wachtwoorden werd duidelijk dat wachtwoorden complexer moeten zijn en niet hergebruikt mogen worden. De wachtwoordmanager kwam op, ingebakken in browsers en als aparte applicatie. Deze laatsten schoten als paddenstoelen uit de grond: in 2003 KeePass, in 2006 1Password, in 2008 LastPass en in 2016 BitWarden. Ook probeerden we het wachtwoord te elimineren, maar dat is nog niet gelukt, al zijn er ook daar goede stappen gemaakt met authenticator apps.

Dit landschap van kwetsbaarheden, aanvallers en malware bleef niet onbeantwoord. De professionele securitygemeenschap kwam met antwoorden op dit cybergeweld, ondanks het feit dat de wereld ondergedompeld werd in een financiële crisis van 2008 tot ongeveer 2012. Het vertrouwen in stemcomputers nam af. Sinds 2009 stemmen we weer met het rode potlood. In 2012 werd het NCSC opgericht, waar het tien jaar oude www.GovCERT.nl in opging. In 2016 kregen we de GDPR (AVG) en sinds 2017 kunnen we ons sterk authentiseren aan de overheid met de DigiD-app. De CISO werd gemeengoed. In 1995 trad de eerste CISO aan (Steve Katz), maar het zou lang duren voordat het hebben van een CISO en een security-organisatie een vanzelfsprekendheid werd. In 2009 is dit anders, nu heeft 85% van de grote bedrijven een CISO.

De focus van maatregelen werd verlegd naar detectie en respons. In 2006 werd het eerste SIEM (security information and event management) product geïntroduceerd, nog vrij beperkt in functionaliteit. In 2015 werden analysefuncties toegevoegd, zoals UEBA (user and entity behavior analytics). Antimalware groeide door naar EDR (endpoint detection and response). Kortom, het securityvakgebied is beweeglijker dan ooit. Ik ben benieuwd wat het volgende lustrum hieraan zal toevoegen. Het derde lustrum in een bewogen vakgebied

Lex Borger
security consultant bij Tesorion en oud-hoofdredacteur van iB-Magazine.
Lex is bereikbaar via lex.borger@tesorion.nl

Deze column verscheen in IB4-2022.