Oproep

Door Martijn Hoogesteger 15 apr 2022

Vroeger, toen de wereld nog plat was en de bureaus nog niet verstelbaar, studeerde ik cybersecurity. Oké, dat is maar zes jaar geleden, maar in de cybersecurity telt dat zomaar als een era. Alles verandert snel, en niet alleen omdat IT een enorme veranderende kracht in de wereld is. Voor criminelen is er immers ook veel te halen in de cyberwereld en de wapenwedloop verdubbelt nog weer de snelheid van verandering. Niet alleen de digitale wereld verandert, ook mijn blik erop.

Sorry, aan de helft van al mijn docenten destijds. Toen ik studeerde vond ik alle technische vakken uitermate veel leuker dan het ‘socio-economische’ van cybersecurity. Leren hoe alles technisch werkt (en het vervolgens kapothacken uiteraard) dát was wat mij op dat moment trok. Ik begon, to nobody’s surprise, dan ook als ethical hacker. De impact van kwetsbaarheden duidelijk maken was mijn missie. Snel daarop volgden jaren van Incident Response. De échte dreiging, de échte impact zag ik. Ik kreeg te zien waar het toch elke keer misging en kon er direct wat aan helpen doen.

Langzaam veranderde hier wat voor mij. Elke keer weer was het belangrijkste toch het uitzetten van de juiste acties, het prioriteren van de juiste recovery strategie. Soms trok ik mijn colbertje uit en kroop achter de laptop om een lastig IT-probleem op te lossen of een stuk van het digitaal forensisch onderzoek te doen. Dat was alleen niet wat op dat moment het belangrijkste was, #beginvanheteinde.

Tijdens en na zo’n incident evalueren we natuurlijk ook even. Hoe kon dit gebeuren? Wat moeten ze nu doen? Langzaam begon hier een gedachte te ontstaan. Als je je wilt beschermen tegen de huidige dreigingen, wat moet je dan doen?

Ik ging in gesprek. Vanuit de praktijk, vanuit mijn technische achtergrond. Wat vond ik dat er allemaal moest gebeuren? Altijd weer basisdingen. MFA. Ja, ook voor de belangrijke mensen die uitzonderingen willen. Ja, ook op je gekke back-up VPN. Ja, ook voor je clouddienst. Ja, ja en ja. Nee, geen uitzonderingen. Updates. Ja, overal. Ja, vaker dan eens in de maand ja. Uitzonderingen? Die segmenteer je helemaal weg. En zo gaat het lijstje maar door.

Drommels, wat ik nu deed lijkt toch wel heel erg veel op wat ik vroeger zo doodsaai vond in een collegebank: maatregelen bepalen aan de hand van… risico’s? Nee, dat deed ik niet. Aan de hand van dreigingen, precies op basis van welke acties ze ondernemen. Misschien is dat wel een enorme shortcut, geen vertaling naar risico's. Maar even serieus, als je de basis niet op orde hebt, hoef je er echt nog niet zo diep in te duiken.

En als je al wel wat verder bent en risicomanagement goed wil aanpakken, is het in mijn ogen essentieel dat je die dreiging goed snapt. Verplaats je in hun schoenen. Waar zijn ze op uit? Wat is hun werkwijze? Met wie werken ze samen? Wat voor soort alcohol drinken ze eigenlijk wanneer ze toasten op hun volgende overwinning? Dit is wat ik je oproep om te doen. Of je nou risico’s in kaart aan het brengen bent, of een maatregel implementeert. Verplaats je in jouw aanvaller. Snap hun aanvallen. Begrijp waarom je maatregel hen tegenhoudt. Vertel dit verhaal erbij, waar je dit ook maar aan het doen bent. Met dit verhaal is alles zo veel sterker wanneer je zegt: nee, geen uitzonderingen.

Martijn Hoogesteger
Head of Cyber bij S-RM en is bereikbaar via m.hoogestege@s-rminform.com en vanaf nummer 2-2022 columnist van iB-Magazine