Cybersecurity is een gedeelde verantwoordelijkheid

Iedereen is het erover eens dat in deze digitale tijden cybersecurity meer dan ooit belangrijk is. Tenslotte zijn dingen die door de mens vervaardigd zijn nooit als 100% “veilig” te bestempelen. Denk bijvoorbeeld maar aan opzettelijke backdoors die duiden op een slecht ontwerp en laten zien dat er onvoldoende basiskennis is van een veilige digitale wereld en dat programmeerfouten niet geheel te vermijden zijn. Cybersecurity is dus vooral een gedeelde verantwoordelijkheid.

Geen van de betrokken partijen kunnen cybercriminaliteit in hun eentje bestrijden, maar dienen samen de nodige voorzorgsmaatregelen te ondernemen. Laten we daarom de verschillende verantwoordelijkheden van alle stakeholders eens duidelijk in kaart brengen.

De gebruiker

De belangrijkste taak van de gebruiker is om te betalen voor cybersecuritymaatregelen. Dat kan betekenen dat de IT-afdeling zelf oplossingen toepast of dat een integrator/installateur wordt betaald om het onderhoud te verzorgen. Een systeem gaat gemakkelijk tien tot vijftien jaar mee. Ervan uitgaan dat er niets hoeft te gebeuren om het systeem in goede staat te houden, is erg kortzichtig.

De integrator

Tegenwoordig wordt videobewakingssoftware en de verbonden hardware maar zelden onderhouden. Zodra de systemen zijn geïnstalleerd, worden ze meestal alleen bijgewerkt als er meer apparaten worden toegevoegd of wanneer de gebruiker vraagt om extra functies. Zonder onderhoud zal de cybersecurity na verloop van tijd afnemen. Er is bijna 100% kans dat er een kwetsbaarheid wordt ontdekt in de systeemcontext, oftewel het besturingssysteem, de software of de hardware.

 

Er is bijna 100% kans dat er een kwetsbaarheid wordt ontdekt in de systeemcontext

 

De integrator of installateur heeft daarom de belangrijke taak om ervoor te zorgen dat alle apparaten, laptops, mobiele apparaten, etc. zijn gepatcht met de meest recente updates voor het besturingssysteem en dat een geavanceerde virusscanner wordt gebruikt. De gekozen wachtwoorden moeten ingewikkeld genoeg zijn en voor iedere klant en locatie moet men een ander wachtwoord gebruiken. Daarnaast moet het verkrijgen van toegang tot installaties tot een minimum worden beperkt. Ook al lijkt het veiligheidsrisico nog zo klein, elke kwetsbaarheid moet worden verholpen. In de meeste gevallen is het niet noodzakelijk het direct te verhelpen, maar we raden sterk aan om twee keer per jaar het systeem volledig bij te werken. De installateur moet zijn klanten op de hoogte brengen van deze procedure, omdat het deel van de beveiligingsindustrie dat zich niet met IT bezighoudt zich hiervan niet bewust is.

De adviseur

Ook adviseurs vormen een essentiële schakel, omdat zij de onderdelen van de beveiligingssystemen specificeren. Ze geven niet alleen de juiste productonderdelen en -eigenschappen aan, maar bepalen ook het onderhoud op basis van de levensduur van het systeem. Op deze manier kunnen ze benadrukken dat het van groot belang is om het systeem bijgewerkt te houden.

De distributeur

Voor distributeurs is cybersecurity simpel: zij regelen de logistiek en komen zelf niet met het product in aanraking. Toch moeten ook zij dezelfde aspecten in overweging nemen als installateurs, willen ze een toegevoegde waarde bieden.

 

Distributeurs moeten klanten duidelijk maken wat ze precies kopen

 

In de eerste plaats is transparantie van groot belang. Distributeurs moeten klanten duidelijk maken wat ze precies kopen. Zonder laat de klant zich vooral leiden door de prijs. Ze moeten daarnaast ook garanderen dat ze firmware-upgrades ter beschikking stellen in het geval er kwetsbaarheden ontstaan bij de oorspronkelijke producent. Binnen de industrie wordt een ontdekte kwetsbaarheid in de producten van de originele producent namelijk doorgaans niet verholpen in de producten van de vele OEM-partners.

De fabrikant

De verantwoordelijkheden van fabrikanten zijn duidelijk:

  • Vermijd opzettelijke aspecten zoals backdoors, hard gecodeerde wachtwoorden etc.
  • Stel de juiste middelen ter beschikking om het cybermanagement voor veel apparaten zo eenvoudig en betaalbaar mogelijk te maken.
  • Informeer mensen over de risico’s en hoe ze, zowel intern als extern, vermeden kunnen worden.
  • Neem relevante aspecten op in hardening guides of andere documentatie.
  • Maak het gebruik van standaardmechanismen mogelijk om apparaten zo veilig mogelijk te maken.
  • Informeer de partners over kwetsbaarheden en de beschikbare patches.

De onderzoeker

Kwetsbaarheden worden vaak niet door hackers, maar door onderzoekers ontdekt. Op basis van het soort kwetsbaarheid bepalen zij welke maatregelen nodig zijn om dit te verhelpen. Als het gaat om een eerder kleine inbreuk, dan wordt er contact opgenomen met de fabrikant. Die krijgt vervolgens de tijd om het probleem te verhelpen. Wanneer het gaat om een ernstige veiligheidsinbreuk, zoals een backdoor, dan brengen onderzoekers dit direct naar buiten om de gebruikers van het product te waarschuwen.

 

Lui gedrag van gebruikers werkt nog steeds in het voordeel van hackers

 

De consument

Last but not least: ook ons eigen gedrag is een belangrijk onderdeel van een gevorderd cybersecuritybewustzijn. Hoe vaak wijzig jij het wachtwoord van de router? Hoe ingewikkeld zijn jouw wachtwoorden eigenlijk? Gebruik jij verschillende wachtwoorden of altijd één ‘standaardwachtwoord’ voor de meeste van je toepassingen? Lui gedrag van gebruikers werkt nog steeds in het voordeel van hackers. Door verouderde en eenvoudige wachtwoorden te gebruiken, verhogen consumenten het veiligheidsrisico en stijgt het risico op een hack.

Kortom: Eén stakeholder alleen kan er niet voor zorgen dat een systeem veilig is en blijft. Alleen als alle stakeholders hun verantwoordelijkheid nemen om gegevens veilig te houden, zullen we erin slagen om cybercriminaliteit te bestrijden.

 

Dit is een ingezonden bijdrage van Timo Sachse, Product Analyst bij Axis Communications. Via deze link vind je meer informatie over de diensten van het bedrijf.