Omgaan met tegenslagen in een genetwerkte wereld: CCOE-paneldiscussie over cyberbeveiliging
Dit artikel werd oorspronkelijk gepubliceerd door het San Diego Business Journal op 27 mei 2024 en wordt hier met toestemming opnieuw gepubliceerd.
Of het nu gaat om voetbal, honkbal, hockey of Indy Car-races, geen enkel team gaat zonder training een belangrijke kampioenschapswedstrijd in. Bedrijven moeten ook trainen als ze op internet actief willen zijn en veerkrachtig willen zijn in de strijd tegen hackers en andere kwaadwillenden. Sommige van die kwaadwillenden doen het voor het geld, anderen zijn agenten van natiestaten.
Training, tabletop-oefeningen, incidentrespons en noodplanning stonden hoog op de agenda toen het Cyber Center of Excellence ( CCOE) van San Diego en het San Diego Business Journal op maandag 20 mei 2024 hun nieuwste kwartaaluitgave van Cyber Trends 2024 presenteerden .
De panelleden waren Matt Murdock van Synoptek, Kim Young van de stad Carlsbad en Steve Millendorf van Foley & Lardner LLP.
Deze maand leidde Eric Basu de discussie. Basu is een van de oprichters van CCOE, ondernemer en CEO van Haiku, een fabrikant van cybersecurity-trainingssoftware.
De volledige opname van het panel is hieronder te vinden, samen met een aantal fragmenten:
Aantal klachten over cybercriminaliteit neemt toe
De FBI meldt een toename van 150% in het aantal klachten over cybercriminaliteit in alle sectoren in de afgelopen vijf jaar, met een totaal verlies van meer dan 37,5 miljard dollar. Bovendien zijn de wereldwijde kosten van een datalek volgens IBM gestegen tot gemiddeld meer dan 4,5 miljoen dollar.
Meer dan de helft van de kostbare aanvallen is gericht op kleine en middelgrote bedrijven: bedrijven die vaak niet goed voorbereid zijn en zich misschien niet eens bewust zijn van de omvang van het gevaar waarmee ze worden geconfronteerd. Ze zijn ook de economische motor van onze regio. Er is wereldwijd een tekort aan cyberprofessionals om deze aanvallen te verijdelen. Uit de meest recente cijfers blijkt dat Cyberseek.org 448.000 vacatures heeft in de Verenigde Staten en 5.000 alleen al in San Diego.
Het is van cruciaal belang om het systeemrisico aan te pakken. San Diego loopt voorop met meer dan 1.000 cyberbedrijven en het Information Warfare Systems Command van de marine, NAVWAR. De cluster van cyberbeveiliging is goed voor meer dan 26.000 banen. De totale economische impact bedraagt 4 miljard dollar per jaar, wat overeenkomt met het organiseren van 24 Comic-Cons. Het collaboratieve ecosysteem ontwikkelt nieuwe technologieën, verdedigingsmechanismen en cyberstrijders om deze steeds veranderende dreiging het hoofd te bieden.
Uit het rapport van IBM over datalekken blijkt dat maar liefst 95% van de onderzochte organisaties in 2023 meer dan één keer te maken heeft gehad met een datalek. En zoals in het vorige panel werd besproken, worden aanvallen alleen maar geavanceerder door de voortdurende ontwikkeling van AI.
De realiteit van risico's van derden
Basu: Welke contractuele best practices raadt u aan voor technologietransacties die bedrijven kunnen helpen om die risico's te beperken?
Millendorf: Als we ons nu alleen richten op de toeleveringsketen en kritieke infrastructuur, dan denk ik dat je bij elke deal waarbij ze met informatie te maken hebben, zeker persoonlijke informatie, intellectueel eigendom, toegang tot computers, iets wilt hebben. Maar als je je vooral richt op de toeleveringsketen en kritieke infrastructuur, dan wil je ervoor zorgen dat we behoorlijk solide, behoorlijk prescriptieve veiligheidsmaatregelen hebben.
Over het algemeen raad ik aan dat in al deze overeenkomsten wordt vereist dat de leverancier beschikt over een schriftelijk informatiebeveiligingsprogramma, bij voorkeur een programma dat is gebaseerd op een gangbare norm, zoals NIST SP 800-53, het NIST Cybersecurity Framework, ISO 27001 of iets dergelijks. En in het algemeen moeten er voor dit soort sectoren, die ook weer een soort kritieke infrastructuur in de toeleveringsketen vormen, voortdurend onafhankelijke audits in de vorm van penetratietests of kwetsbaarheidsscans worden uitgevoerd. We willen waarschijnlijk dat die tests en kwetsbaarheidsscans minstens één keer per week worden uitgevoerd. We zouden contractuele verplichtingen hebben om dat te eisen.
Als software deel uitmaakt van de toeleveringsketen, wat vaak het geval is, zou ik vragen om voorwaarden voor veilige softwareontwikkelingsprocessen en het testen op kwetsbaarheden. Naast het beschermen van hun IT-infrastructuur, zoals ik zojuist heb vermeld, met kwetsbaarheidstests voor hun systemen, wil ik ook kwetsbaarheidstests voor de software zelf.
Kennismaken met de CVSS-score; penetratietesten
Millendorf: Een ander ding dat ik doorgaans vereis, is het continu monitoren van de CVE-database en het patchen van alles wat een CVSS-score van 7 of hoger heeft. Voor degenen die het niet weten: CVE is een database met kwetsbaarheden. Deze wordt tegenwoordig beheerd door Mitre . De database is openbaar en voor iedereen toegankelijk. CVSS-scores zijn de scores die worden gebruikt om de ernst van een kwetsbaarheid aan te geven, waarbij 1 staat voor niet erg ernstig en 10 voor een groot rood alarm. U kunt zich abonneren op een dagelijkse feed hiervan.
Het is heel eenvoudig om dit te eisen van leveranciers die in deze sector actief zijn. Nogmaals, ik zou dit niet alleen eisen voor de software die ze via hun IT-systemen ontwikkelen. De aanval op SolarWinds is een goed voorbeeld van een derde partij die binnendringt, met de software knoeit en die software vervolgens in een heleboel andere producten voor hun eigen klanten laat terechtkomen. Je hebt kwetsbaarheden die op softwareniveau hadden moeten worden opgemerkt, en je hebt kwetsbaarheden die op IT-niveau hadden moeten worden opgemerkt, waar de software werd ontwikkeld en gedistribueerd.
Iets anders waar ik vaak om vraag, is de mogelijkheid om onze eigen penetratietests uit te voeren. Eerlijk gezegd is dat voor de meeste leveranciers een behoorlijk moeilijke pil om te slikken. Het is alsof je zegt: 'Hé, we gaan je systeem opzettelijk aanvallen en we laten je weten of we er daadwerkelijk in komen. Het is white hat-hacking zonder dat we hen daarvan op de hoogte stellen, wat een beetje een probleem kan zijn als je ze waarschuwingen gaat sturen. Ze zouden waarschuwingen moeten krijgen. Maar als ze niet weten dat [je ze test], kan dat moeilijk te accepteren zijn.
Je moet op zijn minst je eigen onafhankelijke audits kunnen laten uitvoeren. En als je weet dat wat zij via hun eigen onafhankelijke audits bieden onvoldoende is, of als zij in de afgelopen 12 maanden of zo een inbreuk hebben gehad, willen we kunnen ingrijpen en ervoor zorgen dat je alles hebt gerepareerd wat je zei te hebben gerepareerd.
Ik vraag ook vaak om een melding bij een beveiligingsinbreuk. Het maakt me niet uit hoe ernstig het is, wat er aan de hand is. Ik wil weten of er een risico is, vooral als ze mijn gegevens hosten en proberen om een schadevergoeding te krijgen en hopelijk beperkte aansprakelijkheid of op zijn minst een soort superlimiet op aansprakelijkheid voor beveiligingsinbreuken. Hopelijk voor elke beveiligingsinbreuk, maar als ze in ieder geval niet aan hun eigen beveiligingsverplichtingen voldoen, moeten ze daarvoor verantwoordelijk zijn.
Dit brengt me bij een ander punt dat we al even hebben aangestipt. Alle bedrijven zouden een soort incidentresponsbeleid moeten hebben en ervoor moeten zorgen dat ze dit minstens één keer per jaar testen en verfijnen door middel van een soort tabletop-oefening.
Basu: Ziet u het nut in van het verplicht stellen van een soort gestandaardiseerde compliance voor leveranciers, zoals SOC 2 of iets dergelijks?
Millendorf: Ja, dat vind ik wel. SOC is altijd een moeilijkere kwestie dan ISO, denk ik. Ik vind ISO een iets hogere norm. Maar er is tenminste een standaardreeks controles waar ze zich aan houden. Ze zeggen niet alleen: 'Ja, dit ziet er goed uit. Duim omhoog.' Steek je duim in de wind en zorg ervoor dat hij in de juiste richting waait.
SOC geeft u iets. ISO geeft u iets. Als u het baseert op het NIST-cyberbeveiligingskader of SB 853, geeft dat u iets. Er is in ieder geval een basis.
Regulering van cyberveiligheid en privacy
Basu: In tegenstelling tot de Europese Unie heeft de Verenigde Staten, voor zover ik weet, geen enkele wetgeving die cyberbeveiliging en privacy reguleert. Daarnaast hebben verschillende staten hun eigen wetten op het gebied van cyberbeveiliging, datalekken en meldingsplicht. Er is dus veel waar een bedrijf rekening mee moet houden. Vooral voor kleine bedrijven is dit moeilijk, omdat zij zich vooral richten op het runnen van hun bedrijf, het betalen van salarissen en het werven van klanten. Welk advies heeft u voor kleine en middelgrote bedrijven, die ook het doelwit zijn van al deze inbreuken, om aan de privacy- en cyberbeveiligingseisen te voldoen?
Millendorf: Zelfs in de EU wordt de wet daar over het algemeen GDPR genoemd. Er zijn echter enkele variaties. Elk land kan 60 wijzigingen aanbrengen in de bepalingen en in sommige gevallen bepalen wat wel en wat niet meldingsplichtig is. Het klinkt dus uniform in Europa, maar het is niet zo uniform als het eigenlijk lijkt.
En in de Verenigde Staten hebben we ook een aantal sectorspecifieke wetten. De financiële sector heeft de Gramm-Leach-Bliley Act en de gezondheidszorg heeft HIPAA. Er zijn nog een heleboel andere wetten, waarvan er veel hun eigen wetten hebben voor het melden van inbreuken, die niet onder de wetten op staatsniveau vallen. Dus als je in de gezondheidszorg werkt en over persoonlijke gezondheidsinformatie beschikt, valt dat onder HIPAA. Als daar een inbreuk op wordt gepleegd, hoef je je over het algemeen niet bezig te houden met de wetten op staatsniveau. Je hebt eigenlijk alleen maar te maken met één federale wet.
De staatswetgevingen hebben allemaal hun eigen variaties, en dat is een van die gevallen waarin je, als je te maken krijgt met een inbreuk, een goede privacyadvocaat of privacycoach moet inschakelen die echt weet wat de verschillende wetten zijn.
Wat betreft voorbereiding zou ik opnieuw kijken naar de NIST-kaders voor cyberbeveiliging en privacy om een goed beeld te krijgen van wat de beste praktijken rond hun vereisten zijn, in de hoop een inbreuk te voorkomen en de incidentrespons en de daadwerkelijke gevolgen ervan aan te pakken. Ik vind deze kaders erg goed, omdat het kaders zijn. Het zijn geen specifieke vereisten. Ze werken vrij goed voor zowel kleinere bedrijven als voor echt grote organisaties.
Het andere punt dat ik wil noemen, met name voor kleine bedrijven, vind ik een probleem. Dataminimalisatie is essentieel. Kleine bedrijven hebben om wat voor reden dan ook geen tijd om hierover na te denken of beschikken niet over de middelen om alle gegevens te verwijderen. Ze bewaren gegevens jarenlang. Ik had een klant die te maken kreeg met een datalek. Ze dachten dat het alleen om 50 huidige werknemers zou gaan. Maar nee, ze hadden eigenlijk gegevens van de afgelopen 20 jaar van elke werknemer en hun begunstigden die ooit bij het bedrijf waren geweest. Uiteindelijk hebben we ongeveer 800 mensen op de hoogte gebracht. Want heb je deze gegevens echt nodig voor een werknemer die in 2000 in dienst was? Waarschijnlijk niet. Ik denk dus dat het verwijderen van gegevens een van de belangrijkste dingen is die kleine bedrijven moeten doen. Als je de gegevens niet hebt, kan er ook geen inbreuk plaatsvinden.
Laatste gedachten: je aanpassen aan het standpunt van de hacker
Millendorf: Ik denk dat het eerste wat organisaties moeten doen als het gaat om cyberbeveiliging, is echt out of the box denken, zoals een hacker. Dat is heel moeilijk. Wij denken: 'Dit zijn de regels, dus we gaan ze allemaal volgen.' Hackers volgen de regels niet. Daarom zijn het hackers. Dat is waarschijnlijk een belangrijk punt bij het nadenken over de kwetsbaarheid en de impact en of iets uiteindelijk van belang zal zijn.
Training is super belangrijk voor iedereen die met IT-apparatuur werkt, of je nu secretaresse bent of CEO. Ik geef trainingen voor bedrijven. Ik doe dat eigenlijk niet vanuit het perspectief van het bedrijf. Ik geef trainingen over identiteitsdiefstal voor individuen. Want als je dat kunt en je denkt er zelf over na, dan ga je dat ook toepassen in je bedrijf. Maar als je het benadert vanuit het perspectief van je bedrijf, dan denk je: 'Ach, dat is hun probleem. Wat kan mij dat schelen?' Dat is overigens geen goede manier om erover na te denken, maar zo gaat het nu eenmaal.
We hebben ook een paar keer gesproken over incidentresponsbeleid en -procedures, training en het jaarlijks evalueren daarvan tijdens tabletop-oefeningen.
Geen enkel voetbalteam gaat zonder enige training de Super Bowl spelen. Hetzelfde geldt niet alleen voor trainingen, maar vooral ook voor incidentrespons en tabletop-oefeningen: ga goed voorbereid en goed geolied aan de slag. Op die manier weet u wat u moet doen als het onvermijdelijke zich voordoet. U hoeft dan alleen maar te herhalen wat u al hebt geleerd, in plaats van het ter plekke te moeten leren.
Het Cyber Center of Excellence (CCOE) is een in San Diego gevestigde non-profitorganisatie die bedrijven, de academische wereld en de overheid mobiliseert om de regionale cybereconomie en -aanwezigheid te laten groeien en een veiligere digitale economie voor iedereen te creëren.
