Menu
Artikel

Drie Force Multipliers voor Security

Reacties uit de praktijk op de keynote van Marc van Zadelhoff

General Manager van IBM Security Marc van Zadelhoff vertelde in zijn keynote over drie zaken die de effectiviteit van je beveiliging sterk kunnen vergroten. Wij vroegen vervolgens in de pauze aan verschillende aanwezigen wat ze in de praktijk kunnen met de visie van Van Zadelhoff.

In zijn keynote, die op de vorige pagina in zijn geheel is te zien, vertelt Marc van Zadelhoff over drie zaken die hij Force Multipliers noemt, Artificial Intelligence maakt het individu beter omdat die beter in staat is om goed geïnformeerd beslissingen te nemen. Orchestration maakt het team beter, omdat iedereen hierdoor weet wat er gedaan moet worden en iedereen weet wat zijn of haar rol is in het geheel. Open Collaboration, tot slot, maakt de hele securitygemeenschap beter, door het delen van informatie en het samen bouwen aan apps en platformen.

In de pauze vroegen we drie mensen of ze deze Force Multipliers ook in hun eigen praktijk zouden kunnen inzetten. Wat zijn de voordelen en waar zitten de voetangels?

Ongoing process bij KLM

Bij KLM zijn ze er nog niet klaar voor om AI in te gaan zetten, denkt Gertjan Kloek, Security Officer van de luchtvaartmaatschappij. "Wij zijn hier nog niet mee bezigt. AI staat nog in de kinderschoenen." Volgens hem kan het nog alleen voor heel simpele taken worden gebruikt, waarmee overigens wel een bepaalde druk op de organisatie weggenomen zou kunnen worden. "Het vergt alleen veel effort om het te bouwen", gaat hij verder, "terwijl we zelf nog aan het leren zijn hoe we met de verschillende soorten informatie moeten omgaan. Pas als je dat weet kun je naar AI."

Ook orchestration is bij KLM een 'ongoing process', vertelt Gertjan. "Steeds komen er weer nieuwe systemen bij en dan moeten we die weer inpassen", zo geeft hij aan. "Soms is het ook een uitdaging dat we op alles veel te diep ingaan. Van iedere situatie weten we alles, en dat kan ook tegen je werken als je een generiek draaiboek gaat maken."

De analogie van Van Zadelhoff over het vliegtuig in de problemen spreekt Gertjan natuurlijk aan, maar hij nuanceert het ook direct. "Een vliegtuig is helemaal ontworpen voor dit soort processen. Maar IT gaat uit van functionaliteit. Daardoor is het veel moeilijker te doorgronden wat er verkeerd kan gaan en hoe je daar dan op moet reageren." Volgens hem moet IT dan ook veel meer ontworpen worden met abuse cases in het achterhoofd.

Van de open collaboration is hij een voorstander, al gebeurt het volgens hem nog te weinig. "Wij kijken naar alle openbare bronnen voor onze informatievoorziening. En als we iets vinden, dan delen we het met onze leverancier. Maar we delen het niet met andere luchtvaartmaatschappijen. Daarin zijn we al veel verder met bijvoorbeeld terroristische dreiging. Die informatie delen we direct."

De verantwoordelijkheid mag nooit ergens anders liggen

Philippe Smets, Security Officer van de Federale Overheidsdienst van het Belgische Ministerie van Binnenlandse Zaken, weet dat AI heel veel voordelen heeft, omdat het zo'n snel lerend systeem is. "Maar dat kan ook gezien worden als een bedreiging wanneer het systeem te veel kennis opbouwt...", gaat hij verder. "En stel dat het dan wordt gehackt, terwijl het in een cloud staat! Daarom moeten wij dit soort systemen altijd on premise houden, afgeschermd van de buitenwereld. In het algemeen belang van de veiligheid van de staat en om de overheidsbelangen te beschermen, kunnen en mogen we dit soort systemen nooit bij derden uitzetten. De verantwoordelijkheid mag nooit ergens anders liggen voor het beheer van een dergelijke kennisbron."

Ook over orchestration is hij duidelijk. "Natuurlijk moet je draaiboeken hebben voor heel specifieke incidenten in jouw omgeving", stelt hij. "En dat is al helemaal belangrijk bij een overheid. Je moet precies weten wie je moet inlichten, op een heel snelle manier en vooral in een korte tijdspanne. Dat is Fast Respond Communication." Maar ook dit moet in een 'Circle of trust' gebeuren, soms ook tussen Europese cyber-response teams. "Omdat het bij ons een databreach vaak ook een politieke impact kan hebben."

De open collaboration waar Marc van Zadelhoff zo hoog van opgeeft vindt hij zeker nuttig. "Je leert van feedback, want het blijft een lerende organisatie." Maar zelf delen doet een overheidsinstelling beter niet.

De board oefent mee bij Aegon

Tot slot spreken we met Rutger Peek, Security Officer van Aegon Nederland. Bij Aegon gebruiken ze AI al wel bij het informatie halen uit documenten, maar nog niet in security. Wel ziet Peek hier veel toekomst in, bijvoorbeeld om het ontwikkelproces te versnellen. "Er zijn niet genoeg security-medewerkers om met alle DevOps-teams mee te kijken. Dan kun je Watson bijvoorbeeld aan het werk zetten om de code te scannen."

Dit zou de druk wegnemen bij het pentesten. "Natuurlijk blijf je testen, maar alles wat je er voor die tijd uit kunt halen is meegenomen. Hoe vroeger je dat kunt doen, hoe efficiënter het proces." Bovendien scheelt volgens Peek het frustratie bij de ontwikkelaars doordat ze niet meer op het laatste moment teruggefloten hoeven te worden door de securityspecialisten.

Het belang van orchestration onderschrijft Peek helemaal. Bij Aegon hebben ze dan ook alle draaiboeken klaarliggen. "En die worden ook regelmatig getest", vertelt Peek. Dat doen we met table top exercise, dat is droog oefenen, maar we zetten ook mystery guests in om situaties na te bootsen. En dan kijken we hoe er wordt gereageerd." De board van Aegon is doordrongen van het belang hiervan, en doet dan ook mee aan de oefeningen.

Toen er eerder dit jaar DDoS-aanvallen werden uitgevoerd op banken gingen bijvoorbeeld de seinen op rood. "Wij hebben een bank en dus keken we direct of het ons ook ging raken, en zo ja, wat dan het backup-plan was." Die procedures zijn allemaal beschreven en worden regelmatig getest. Bovendien worden ze verbeterd, benadrukt Peek. "Doordat het in de praktijk net even anders liep. Je kunt droog oefenen wat je wil, maar als je in het diepe wordt gegooid leer je toch het best."

Het delen van informatie, tot slot, is volgens Rutger Peek ontzettend belangrijk bij security. "Volgens de uitdrukking is kennis macht. Maar kennis delen, dat is kracht.", zo sluit hij af.

4 / 12